[Netzwelt] Verschlüsselung des Messengers Threema ist laut Audit sicher

Der Messenger Threema, welcher auf Smartphones und Tablets zum Einsatz kommt, welche mit Android, iOS oder Windows Phone laufen wurde von Cnlab Security AG, einem schweizer Sicherheitsunternehmen, einem Audit unterzogen. Cnlab kommt hierbei zu dem Ergebnis, dass die Ende-zu-Ende-Verschlüsselung des Messengers keine Schwächen aufweist. Der Sicherheitslevel sei mit dem anderer Instant-Messaging-Dienste vergleichbar. Mit welchen der Vergleich gezogen wurden, sagt Cnlab allerdings nicht.

Das Ergebnis des Audits kann hier als PDF-Datei heruntergeladen werden.

Quelle: heise.de

 

[m.d.u.]

Hab seinerzeit auch mal versucht ein paar Leute von Threema zu überzeugen.

Zweifelsohne ist Threema eine der besten Alternativen zu WhatsApp. Aber vielleicht ist die Zeit für Threema einfach noch nicht gekommen. Früher oder später werden sich die Menschen mehr und mehr mit dem Thema "Sicherheit" auseinandersetzen (müssen), z. B. damit:

"Du kannst es heute ausüben, indem Du Deine Kommunikation verschlüsselst, Deine Abhängigkeit von proprietäreren, zentralisierten Diensten verringerst und stattdessen auf Dezentralisierung und Freie Software setzt."

 

[tit4n]

Und wenn sich jemand mit der Entstehung von Threema, dem Entwickler, dem Thema open/closed Source näher befassen möchte, dem
empfehle ich folgend Podcast, wo der Entwickler von Threema interviewed wird und man auf enspannte Weise zuhören kann

Spoiler

http://monoxyd.de/podcasts/DieWahrheit017-SmartphoneMessengerThreema.mp3

tit4n

 

[sia]

@tit4n: gibt's ein Transcript?

 

[Leety]

Ich bin sehr zufrieden mit Threema und ich vertraue auf das Unternehmen, sollte da was sein, warum sollte man sein Unternehmen schaden?

 

[Abul]

Ich hatte Threema vor ca 1,5 Jahren schon mal drauf, 5 Kontakte nutzten das damals. Nach dieser News habe ich Threema nochmal installiert um zu schauen ob sich was geändert hat. Ergebnis: 5 Kontakte nutzen Threema.

 

[bevoller]

Abgesehen davon, dass sich so eine Nachricht auch erst mal verbreiten muss, gehst du von falschen Voraussetzungen aus.
Entscheidend für die Nutzung ist nicht die Bestätigung der vorher angenommenen Sicherheit, sondern die Notwendigkeit.
Wer nichts zu verbergen hat, sieht keinen Grund, andere Tools als WhatsApp zu nutzen - auch wenn diese sicher und sinnvoll sind.

 

[sia]

Ich weiß nicht, ob WhatsApp-User Englisch verstehen können, aber ich lasse das trotzdem mal hier:

Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say.

 

[Der3Geist]

Ist es nicht so, das Whatsapp doch mittlerweile eine Verschlüsselung hat ?
Außer bei Gruppenchats soll es das doch schon eine ganze weile geben.
Dann würde es auch keinen grund mehr geben, auf Threema zu wechseln.

 

[sia]

@Der3Geist: Transportverschlüsselung ≠ Ende-zu-Ende-Verschlüsselung.

 

[Der3Geist]

@Der3Geist: Transportverschlüsselung ≠ Ende-zu-Ende-Verschlüsselung.

Whatsapp hat genau wie Threema mittlerweile eine End zu End Verschlüsselung.
Was soll daran schlecht sein ? und warum soll Threema da nun besser sein ?

 

[sia]

@Der3Geist: Quelle? Es gab kein unabhängiges Audit. Das Audit für Threema zweifle ich allerdings auch an

Die EFF sieht das mit Threema etwas lockerer: https://www.eff.org/secure-messaging-scorecard
(ich würde einen Messenger nur nutzen, wenn er fünf grüne Häkchen in der Scorecard hat)

 

[drfuture]

Die Ent2End bei Whatsapp geht aber nur innerhalb von Android (war zumindest zuletzt so) von Android <> Ios ist nix mit verschlüsselung

 

[m.d.u.]

Wer nichts zu verbergen hat, sieht keinen Grund, andere Tools als WhatsApp zu nutzen - auch wenn diese sicher und sinnvoll sind.

"Wer nichts zu verbergen hat, ..."
Was für ein Unsinn! Ich lasse doch zu Hause auch nicht die Haus- oder Wohnungstüre offen stehen, nur weil ich nichts zu verbergen habe. Wozu existiert seit eh und je das Postgeheimnis?! Ich möchte ganz unabhängig vom Inhalt schließlich auch nicht, daß mein ganz altmodisch, konventionell verschickter Brief von Jedermann gelesen wird. Nichts anderes verlange ich von einem modernen "instant messaging". Es ist heutzutage definitiv noch nicht absehbar, wo uns die grenzenlose Datensammelwut der einschlägigen Nachrichtendienste (NSA, GCHQ, FSB, u.v.a.m.) hinführen wird.

 

[Kenobi van Gin]

@Abul: Vielleicht hast du die falschen Bekannten
Ich nutze Threema jetzt seit ca. einem Jahr und von meinen gut 350 Kontakten im Handy nutzen immerhin 31 Threema. Darunter sind die 5 Kontakte, mit denen ich am meisten um am meisten Privates kommuniziere. Natürlich nutzen mehr meiner Bekannten WhatsApp, aber etwa 10 % sind ein Anfang denke ich.

 

[m.d.u.]

Natürlich nutzen mehr meiner Bekannten WhatsApp, etwa 10 % sind ein Anfang denke ich.

Das ist die richtige Sichtweise. Immerhin mal ein Anfang. Und nicht zu vergessen: Es gab auch eine (WhatsApp)Zeit vor dem vom Größenwahn befallenen Multimilliardenunternehmen "Zuckerberg".

 

[sia]

Warum auch immer man closed-source-Software in Basisdiensten des WWW verwendet. Kommt ja auch niemand drauf, nen IIS für ernsthafte Webanwend... oh. Vergesst, was ihr gerade gelesen habt.

 

[virtus]

OTR und XMPP gab es schon in der Blütezeit von ICQ - also lange vor WA.
Das ist eher eine Frage der kritischen Masse und der Vermarktung...

OTR ist allerdings nur für live Übertragungen geeignet. Eine OTR Sitzung gestartet, sobald einer der Gesprächspartner die Sitzung verlässt, muss erst eine neue Sitzung aufgebaut werden, damit wieder anständig verschlüsselt werden kann. Bei Mobiler Kommunikation kann allerdings nicht immer vorausgesetzt werden, dass beide Clients gleichzeitig online sind und insbesondere einer der Clients nur darauf wartet, dass der andere zufällig gerade zu diesem Zeitpunkt eine Crypto-Session starten möchte.
Sprich: Du kannst mit OTR nur arbeiten, wenn beide Clients gleichzeitig online sind und nur an einem Gerät. Session-Sharing ist nicht möglich. D.h. insbesondere, wurde eine Session an einem Gerät begonnen, dann kann sie auch nur dort geführt werden.
Bei Geschichten wie WA brauchst du andere Verschlüsselungsalgorithmen, da käme eher PGP in Frage. Du müsstest also mit PGP (für Emails) vergleichen.

Ist es nicht so, das Whatsapp doch mittlerweile eine Verschlüsselung hat ?
Außer bei Gruppenchats soll es das doch schon eine ganze weile geben.
Dann würde es auch keinen grund mehr geben, auf Threema zu wechseln.

Heise hat sich dem Thema WA und E2E-Verschlüsselung in diesem Jahr gewidmet.
Dabei wurden einige konzeptionelle Probleme nachgewiesen, u.A.:
1 Der Transport baut auf einem bereits gebrochenen Crypto-System auf.
--> Damit ist die Verschlüsselung an der Stelle hinfällig.

2 WhatsApp-Server geben vor, ob verschlüsselt gesendet werden soll oder nicht.
--> WA kann jederzeit, bspw. auf Zuruf Dritter oder durch Manipulation, die Verschlüsselung aussetzen, sodass Klartext-Nachrichten gesendet werden.

3 Die Generierung und der Verbleib der zur Ver- und Entschlüsselung benötigten Zertifikate ist unklar.
--> WA könnte wahlweise eigene oder Zertifikate Dritter einschleusen, so dass diese die Kommunikation ebenfalls entschlüsseln können. Außerdem könnte WA die Zertifikate ggf. vom Client abrufen und direkt mit diesen die Vertraulichkeit der Unterhaltung unterminieren.

Quelle: heise.de