Häufig gestellte Fragen

Chiffry ist eine Kommunikationsplattform, die abhörsichere Telefonie mit verschlüsseltem Nachrichtenversand kombiniert und seinen Nutzern zahlreiche Sicherheits- und Komfortfunktionen anbietet. Trotz unseres umfangreichen Sicherheitskonzepts für eine verschlüsselte Kommunikation mit Ihren Freunden, Verwandten und Kollegen erhalten wir das gewohnte Chaterlebnis bei.

Als einziger Anbieter nutzt die Anwendung den hochsicheren Schlüsselaustausch auf Basis moderner Elliptischen-Kurven-Kryptografie mit 512 Bit ECDH. Alle Funktionen sind mit einer modernen Ende-zu-Ende-Verschlüsselung versehen.

Chiffry ist Träger des Qualitätszeichens „IT-Security made in Germany“. Dies bedeutet, dass die gesamte Entwicklung der Plattform ausschließlich in unserem Hause stattfindet und aus eigenen Mitteln finanziert wird. Unsere Server befinden sich in einem deutschen Rechenzentrum, das nach ISO 27001 zertifiziert ist. Somit unterliegen wir dem Bundesdatenschutzgesetz – auch im Hinblick auf Metadaten. Damit offerieren wir unseren Nutzern eine nachvollziehbare Gesetzestransparenz im Gegensatz zu internationalen Mitbewerbern.

Chiffry orientiert sich bei der Entwicklung der Sicherheitskonzepte und bei der Auswahl der Verschlüsselungsverfahren an den BSI-Richtlinien, welche die Erfüllung und Einhaltung weiterer Sicherheitsstandards implizieren.

Chiffry ist verfügbar für Android, iOS, Windows Phone und Blackberry. Derzeit befinden wir uns in der Entwicklung einer Desktopversion für Windows und Mac OS.

Die kostenlose Basisversion von Chiffry bietet alle nötigen Grundfunktionen, um mit Ihren Kontakten vertraulich zu kommunizieren. Sie können Text- und Sprachnachrichten schreiben, Videos, Kontakte, Dateien sowie Standorte versenden sowie empfangen. Es gibt keine Nachteile in der Verschlüsselung im Vergleich zur Premium- oder Businessversion.

Die Premiumversion bietet zusätzlich zu den Basisfunktionen die Möglichkeit Dateien bis zu 10MB zu versenden, größere Gruppenchats, und Broadcasts (Verteilerlisten) zu erstellen, einen PIN- oder Emoji-Sperrbildschirm mit Capture-Protection zu nutzen, sowie Chats zu sichern und wiederherzustellen.

Die Businessversion enthält zum einen die Funktionen der Premiumversion sowie die Integration firmeneigener Server um eine intern abgesicherte Kommunikation zu gewährleisten. Auf einem Smartphone können Business- und Basis- oder Premiumversion gleichzeitig installiert werden. Somit wird das private mit dem geschäftlichen Umfeld auf einem Endgerät vereint und ermöglicht zeitgleich die Trennung der beiden Kommunikationskreise. Zudem kann die Business-Version durch beispielsweise die Integration des eigenen Unternehmensdesign (Whitelabel) kundenspezifisch angepasst werden.

Derzeit auf der Roadmap / in Entwicklung sind:

selbstzerstörende Nachrichten

verschlüsselter Speicher

Telefonkonferenzen

ein Chiffry internes Kontaktbuch

eine Desktopversion

Chiffry wird immer werbefrei bleiben. Wir finanzieren uns durch den Vertrieb der Premium-sowie Businessversion für Behörden und Unternehmen. Die Basisversion wird auch in Zukunft dauerhaft kostenlos bleiben.

Chiffry verschlüsselt alle Daten, auch Telefonate, mit Verwendung der symmetrischen Ende-zu-Ende-Verschlüsselung. Dabei orientieren wir uns auch hier an den aktuellsten Empfehlungen des BSI und setzen den 256-Bit AES-Verschlüsselungsalgorithmus im GCM-Modus ein. Dies ermöglicht den Aufbau eines sicheren Übertragungskanals zwischen den verschiedenen Endgeräten und den Chiffry-Servern. Die Daten sind dort ausschließlich in verschlüsselter Form auffindbar und können selbst von Chiffry nicht eingesehen werden. Außerdem werden sie nach der Zustellung von unseren Servern komplett gelöscht.

Chiffry ist eine Schwestergesellschaft der DIGITTRADE GmbH. Die Firma ist Mitglied im Bundesverband für IT-Sicherheit TeleTrusT und Träger des Qualitätszeichens „IT-Security made in Germany“.

Unsere Firma nutzt nur eigene Server, welche ausschließlich wir kontrollieren / warten und die sich in Deutschland befinden. Ihre gesamte Kommunikation über Chiffry erfolgt verschlüsselt und kann weder ausgelesen noch nachverfolgt werden. Sofort nach der Zustellung Ihrer Nachrichten erfolgt auf unseren Severn automatisch die Löschung. Dadurch gewährleisten wir, dass Ihre Kommunikation ausschließlich für Sie und Ihre Gesprächspartner bestimmt ist.

Den Servern stehen die verschlüsselten Meta-Daten nur bis zur Zustellung der Nachricht in Minimalform zur Verfügung. D.h. spätestens nach Zustellung oder 21 Tagen werden sowohl die Nachrichten als auch die dazugehörigen Meta-Informationen unwiderruflich gelöscht.

Mit jedem Datenaustausch erzeugt die App einen neuen 256-Bit AES-Schlüssel und übermittelt diesen an den Empfänger nach dem Briefkastenprinzip mit Hilfe der modernen Elliptischen-Kurven-Kryptografie (512 Bit ECDH).

Den Schlüsselaustausch kann man sich vereinfacht wie folgt vorstellen: Bei der Registrierung des Nutzers wird automatisch ein privater- sowie einen passender öffentlicher ECDH-Schlüssel im Hintergrund generiert. Dadurch entsteht ein voneinander abhängiges Schlüsselpaar. Der Private befindet sich nur auf dem mobilen Endgerät des Nutzers. Der Öffentliche hingegen wird auf den Chiffry-Servern aufbewahrt. Der Austausch des AES-Schlüssels erfolgt anschließend durch das ECDA-Schlüsseleinigungsverfahren. Zum Vergleich: Online-Banken verwenden in der Regel 2.048 bis 4.096-Bit RSA-Verschlüsselung. Unsere Verschlüsselungsmethode hingegen ist 10³⁸-Mal komplexer.

Dies bedeutet, dass die gesamte Entwicklung wie die Programmierung der Plattform ausschließlich in Deutschland bei der Firma DIGITTRADE statt findet und aus eigenen Mitteln finanziert wird. Unsere Server befinden sich in einem deutschen Rechenzentrum, welches nach ISO 27001 zertifiziert ist. Somit unterliegen wir dem Bundesdatenschutzgesetz – auch im Hinblick auf Metadaten und offerieren unseren Nutzern eine nachvollziehbare Gesetzestransparenz.

Uns ist die Begegnung mit unseren Nutzern sehr wichtig. Per Chiffry +28 CHIFFRY (+28 244 33 79) gewährleisten wir den direkten Kontakt zu unserem Entwickler-Team und ermöglichen gleichzeitig den Austausch von Anmerkungen, Ideen und Wünschen auf Anwenderseite. Auch im unabhängigen Chiffry-Forum können Nutzer ihre Erfahrungen mit der entstandenen Community sowie unserem Entwickler-Team direkt teilen.

Als Grundlagen für den Aufbau der Sicherheitsarchitektur und der Auswahl der Verschlüsselungsmethoden fungieren die BSI-Richtlinien TR-02102-1 und TR-03111. Unter anderem berücksichtigen wir ebenfalls die weltweit anerkannte Norm ISO 27001. Sie dokumentiert eine risikobewusste Unternehmensführung und ein professionelles Management der Informationssicherheit im Unternehmen. Zudem stehen unsere Server in Deutschland in einem nach ISO 27001 zertifizierten Rechenzentrum.

Durch das Einsetzen von fälschungssicheren Signaturen, sogenannte Chiffry-Zertifikate (512-Bit ECDSA), können Nutzer eindeutig identifiziert werden und ein Abfangen der Nachrichten wird vermieden.

Die Chiffry-Premiumversion beinhaltet neben einem möglichen PIN-Sperrbildschirm einen Emoji-Sperrbildschirm. Die Auswahl von 25 verschiedenen Emojis-Bildchen verfügt im Vergleich zu klassischen 8-stelligen Ziffern-PIN über deutlich mehr Eingabemöglichkeiten. Insgesamt erhöht sich die Zahl denkbarer Kombinationen um das 1.525-fache. Zusätzlich schützt die implementierte Capture Protection vor dem Ausspähen des Zugangscodes durch verräterische Fingerabdrücke auf dem Smartphone-Display. Bei jeder Code-Abfrage wird die Anordnung der Emoji erneuert und verhindert somit die Entstehung von Eingabe- bzw. Abdruckmustern.

Der Quellcode ist nicht öffentlich zugänglich. Für Kunden der Chiffry Businessversion bieten wir die Gelegenheit Vorort ein Code-Audit durchzuführen. Hierzu sind sowohl ein NDA als auch ein ernsthaftes Kaufinteresse notwendig.

Die Chiffry GmbH würde mit der Preisgabe des Quellcodes ihr gesamtes gesamtes Kapital veröffentlichen und somit das Risiko eingehen, dass die Software beliebig kopiert werden kann.

Ihre verschlüsselten Nachrichten inkl. Metadaten werden sofort, nachdem diese dem Empfänger erfolgreich zugestellt wurden, gelöscht. Ebenfalls werden Nachrichten nach 21 Tagen bei Nichtzustellung automatisch gelöscht. Unsere Server befinden sich in Deutschland und unterliegen somit dem Bundesdatenschutzgesetz.

Installieren Sie Chiffry im jeweiligen App-Store und starten Sie anschließend die App. Achten Sie bitte auf eine aktive Internetverbindung mittels WLAN oder Ihren Mobilfunkanbieter. Auf der Registrierungsseite der App geben Sie Ihre Telefonnummer ein und tippen auf registrieren. Per SMS wird Ihnen ein Bestätigungscode zur Verifizierung Ihrer Handynummer und Registrierung zugesendet. Nach erfolgreicher Überprüfung wird die Eintragung abgeschlossen und die Kontaktliste geöffnet.

Chiffry zeigt nur die Kontakte an, welche bereits Chiffry installiert haben. Tippen Sie im Kontakt-Menü auf den Options-Button und auf Kontakte abgleichen. Wenn ein Chiffry-Nutzer nicht gefunden wird, überprüfen Sie die Telefonnummer in Ihrem Adressbuch auf Richtigkeit.

Ja, der Zugriff kann unterbunden werden. Folglich werden dann keine Kontaktnamen angezeigt. Damit Kontakte in diesem Fall angezeigt werden, ist zuerst der Empfang einer Nachricht der entsprechenden Person notwendig. Derzeit planen wir ein Chiffry internes Kontaktbuch, welche komplett unabhängig vom normalen Kontaktbuch funktioniert.

Sobald ein anderes Gerät versucht sich mit Ihrer Handynummer bei Chiffry anzumelden, erhalten nur Sie den Registrierungslink per SMS. Das andere Gerät kann ohne diesen Link nicht registriert werden.

Nachricht wird versendet

Nachricht ist auf dem Server angekommen und wird zum Kontakt weitergeleitet

Nachricht wurde zugestellt

Nachricht wurde gelesen

Nachricht konnte nicht zugestellt werden (Bsp.: wenn Sie ein altes Zertifikat haben)

+355 Albanien

+376 Andorra

+374 Armenien

+61 Australien

+32 Belgien

+387 Bosnien und Herzegowina

+55 Brasilien

+359 Bulgarien

+1 Kanada / USA

+53 Kuba

+45 Dänemark

+49 Deutschland

+372 Estland

+298 Färöer

+358 Finnland

+33 Frankreich

+995 Georgien

+350 Gibraltar

+30 Griechenland

+852 Hong Kong

+246 Indien

+353 Irland

+354 Island

+972 Israel

+39 Italien

+385 Kroatien

+371 Lettland

+423 Liechtenstein

+370 Litauen

+352 Luxemburg

+60 Malaysia

+960 Malediven

+356 Malta

+389 Mazedonien

+373 Moldawien

+377 Monaco

+382 Montenegro

+31 Niederlande

+47 Norwegen

+43 Österreich

+48 Polen

+351 Portugal

+40 Rumänien

+7 Russland

+378 San Marino

+46 Schweden

+41 Schweiz

+381 Serbien und Kosovo

+248 Seychellen

+65 Singapur

+421 Slowakei

+386 Slowenien

+34 Spanien

+94 Sri Lanka

+66 Thailand

+420 Tschechien

+380 Ukraine

+36 Ungarn

+44 Vereinigtes Königreich

+84 Vietnam

+375 Weißrussland

+357 Zypern

Zunächst einmal: Ja, wir lesen den Chiffry-Kanal regelmäßig und freuen uns über jeden Beitrag.

Auf Grund des großen Feedbacks ist es uns derzeit leider nicht möglich, jede Nachricht persönlich zu beantworten. Wir versichern Ihnen jedoch, dass alle Verbesserungsvorschläge unsere weitere Entwicklung beeinflussen und wir häufig auftretende Fragen in diesem FAQ beantworten. Sollten Ihre Fragen weder durch dieses FAQ noch durch das Handbuch, welches im Download-Bereich zu finden ist, beantwortet werden, wenden Sie sich bitte an info@chiffry.de und Sie erhalten innerhalb kürzester Zeit eine Antwort Darüber hinaus möchten wir noch das Forum eines Nutzers empfehlen, in welchem wir uns beteiligen: http://www.chiffry-forum.de/

Die maximale Lebensdauer des Zertifikats von einem Jahr dient der Sicherheit der Kommunikation. Ein Monat bevor es auslaufen würde, wird es automatisch erneuert und Ihren Gesprächsteilnehmern mitgeteilt, so dass kein Abbruch in Ihrer Kommunikation erfolgt.

Die Emoji-Eingabemethode nutzt die leichtere Merkfähigkeit von Bildern, die stellvertretend zur Authentifizierung des Nutzers verwendet werden. Diese Bilderfolgen können bei der Eingabe durch das Konstruieren kurzer Geschichten leichter eingeprägt werden.
Mit Hilfe der größeren Anzahl an Eingabemöglichkeiten (25 Emojis) erreicht man im Vergleich zu herkömmlichen 8-stelligen PINs eine Vervielfachung möglicher Kombination (1525x).
Zusätzlich hilft die implementierte ‚Capture Protection‘ vor dem Ausspähen des Zugangscodes durch verräterische Fingerabdrücke auf dem Smartphone Display. Hierzu wird bei jeder Code-Abfrage die Position der Emojis verändert und somit ein Abdruckmuster auf dem Display unbrauchbar.

Die Updates können Sie über den Google PlayStore oder auf http://get.chiffry.de herunterladen. Sie können eine bestehende Chiffry-Installation mit der neuesten Version überschreiben. Eine Deinstallation der alten Version ist dabei nicht nötig.

Sie benötigen ein Smartphone mit folgenden Eigenschaften:

Android ab Version 2.3.3

eine eigene Mobilfunktelefonnummer mit SIM-Karte

aktive Internetverbindung über WLAN oder über Ihren Mobilfunkanbieter

Zur Registrierung Ihrer Telefonnummer bei Chiffry müssen Sie SMS empfangen können.

Google Cloud Messaging (GCM) ist ein von Google bereitgestellter Dienst, der eine stetige Verbindung von einem Google Server zum Smartphone hält. Hierbei kann der Hersteller einer App eine Benachrichtigung an die installierte App auf dem Smartphone senden. Diese kann dann von der App ausgewertet werden. Diese kann dann von der App ausgewertet werden.

Damit Nachrichten ordnungsgemäß zugestellt werden können, benötigt die Chiffry-App eine aktive Verbindung zum Chiffry-Server. Bei einigen Nutzern kam es teilweise zu Verzögerungen der Nachrichtenzustellung. Gründe hierfür waren unter anderem, dass die App gezielt über den Task-Manager geschlossen wurde oder Energiespar-Apps bzw. in Android Systemen integrierten Energiesparmodi (bewusst/unbewusst) genutzt wurden. Um dennoch eine stabile Nachrichtenzustellung zu ermöglichen, haben wir GCM implementiert. Bei aktivierter Option wird lediglich ein Token versendet der Chiffry auf dem jeweiligen Smartphone identifiziert. Hierbei werden keine weiteren Informationen versendet, weder Nachrichteninhalte noch personenbezogene Daten.

Funktionsweise von GCM in Chiffry:

per GCM wird lediglich o. g. Token übertragen um die App „aufzuwecken“

ein GCM-Push wird immer dann ausgeführt, wenn die App keine Verbindung zum Chiffry-Server hat und neue Nachrichten für den Nutzer auf dem Chiffry-Server eingehen

Beispiel:
Nutzer A möchte mit Nutzer B eine Konversation starten. Bei Nutzer B ist Chiffry durch Energiespar-Optionen im Hintergrund nicht aktiv. Nutzer A sendet eine Nachricht für B an den Chiffry-Server. Der Chiffry-Server bemerkt, dass es keine aktive Verbindung zu B gibt. Darauf hin wird über GCM ein Push an B gesendet, um die Chiffry-App zu starten. Auf dem Smartphone von B startet der Chiffry-Prozess und die Nachricht wird direkt vom Chiffry-Server an die App übertragen. A und B starten eine gemeinsame Konversation und tauschen eine Reihe von weiteren Nachrichten aus. Diese werden alle direkt zwischen Chiffry-Server und der App übertragen, d. h., es gibt keine weiteren GCM-Push-Aktivitäten.
Meta-Daten:
Von Google könnte lediglich erfasst werden wann und wie oft der Chiffry-Server einen Push an einen Nutzer sendet. Dieser Push gibt aber weder Aufschluss darüber mit wem der Chiffry-Nutzer in Kontakt steht noch wie viele Nachrichten zu welchem Zeitpunkt ausgetauscht werden.

Chiffry-Coins sind eine Chiffry-interne Währung zum Erwerb der Premiumversion in iOS. Jeder Coin ist ein Monat wert und wird direkt nach dem Kauf auf dem Benutzerkonto als Premiumzeit gutgeschrieben.