Erkenntnisse Anderer

Lesezeit: 3 Minuten

Artikel zu schul.cloud/stashcat

Freie-Messenger.de zu stashcat

Link: https://www.freie-messenger.de/warum/warumnicht/stashcat/

Im Abschnitt "Fragen zum Produkt" findet man die offizielle Aussage, dass es sich um eine Closed Source Lösung handelt, die im Rahmen des Polizei-Rollouts von stashcat®, der Basistechnologie, überprüft und freigegeben wurde. Wie der Artikel aufzeigt, liegt der Unternehmenssitz der heinekingmedia GmbH in Hannover (Niedersachsen). In Niedersachsen gehört neben einigen Schulen auch die Polizei den Nutzern, was wir in Bezug auf die Probleme der Plattform kritisch sehen - wobei wir natürlich die genau eingesetze Variante von stashcat nie überprüft haben/konnten.

"Verschlüsselung ohne Forward Secrecy und mit Problemen" von golem.de

Link: https://www.golem.de/news/nimes-polizeilicher-kryptomessenger-mit-problemen-1805-134596-2.html

In diesem Artikel wird beschrieben, dass es stashcat bereits einige Fehler im System hatte und beinhaltet die offizielle Aussage, dass die RSA-Keys der Nutzer auf dem Server abgelegt werden. Dies würde den gesamten Sinn von Ende-zu-Ende-Verschlüsselung jedoch aufheben.

Der Audit CIPH-2017-1 der CIPHRON GmbH

Link https://www.ciphron.de/information-security/ciphron-lab-blog/ciph-2017-1-stashcat

Die CIPHRON GmbH hat bereits 2017 im Rahmen eines Audits von stashcat einige Schwachstellen in der Kommunikationstechnik von stashcat in Bezug auf den Austausch von private-keys gefunden. Das Aufdecken von Schwachstellen und Beheben dieser durch den Hersteller ist immer ein Schritt in die richtige Richtung, es ist aber schade, dass sich nach 2017 hein weiterer öffentlicher Audit finden lässt.

Kommentare und Bewertungen

Bewertung von stashcat auf Trusted.de

Link: https://trusted.de/stashcat > Bewertung von 'N.N'

Dieser Nutzer hat stashcat anscheinend als Kunde auf einem eigenen Server deployed und einen Blick in die Datenbank geworfen - kam zur Erkenntnis dass die Daten unverschlüsselt sind. Wir können nicht nachprüfen, ob dies immernoch der Fall ist - solche Daten sollten allerdings nie unverschlüsselt abgespeichert werden.