Threema: Sicherer Messenger aus der Schweiz nun auch für das Android-Smartphone zu haben
von caschy | 48 Kommentare
Threema kam Anfang 2013 in die Medien. Der kostenpflichtige Messenger versprach Dinge, die andere Messenger nicht halten konnte. Echte Ende-zu-Ende-Verschlüsselung garantiert, dass niemand ausser dem vorgesehenen Empfänger eine Nachricht lesen kann. Im Unterschied zu anderen populären Messaging-Apps (einschliesslich derer, die Verschlüsselung einsetzen), hat bei Threema selbst der Serverbetreiber absolut keine Möglichkeit, die Nachrichten mitzulesen. Ansonsten lassen sich sicher Daten wie Bilder, Text oder auch Videos zu anderen Threema-Nutzern versenden.
[appbox googleplay ch.threema.app][werbung]
Hierbei gibt es drei Kontaktgruppen, die höchste Stufe hat die Farbe grün. Hierbei muss man das Gegenüber getroffen haben, welches wiederum einen QR-Code von eurem Gerät einscannen muss, inklusive eures öffentlichen Schlüssels. Eine entsprechende Liste mit häufigen Fragen und Informationen findet ihr hier. Und nun? Nun steht seit heute die ebenfalls kostenpflichtige Variante für Android zur Verfügung.
[appbox appstore 578665578]Wie immer gilt: Verschlüsselung und Co sind gut und wichtig. Das große Problem neuer Messenger-Apps ist halt immer nur Benutzer-Basis. Nutzt keiner den Messenger, dann greife man vielleicht weiter zu anderen Messengern. Und eben jene dürften hierzulande WhatsApp, Facebook Messenger, Skype und Google Hangouts sein.
Wird geladen ...
Ich habe nicht viel Ahnung was Verschlüsselung angeht aber mich würde es mal interessieren ob andere Leute das auch prüfen können ob so verschlüsselt wird wie angegeben. Ich denke mal nicht das man prüfen kann wie die Daten auf den Servern von Threema behandelt werden und in dort nicht noch die Möglichkeit besteht die Daten zu entschlüsseln.
Also die FAQ von ihnen zu Lesen hilft einem schon. Jedoch ist es nicht Open source und niemand kann es überprüfen, jedoch ist die Frage bei Opensource, wer überprüft das schon?
http://threema.ch/de/faq.html
Grundsätzlich ist Threema ein interessanter Ansatz und in jedem Fall ein weiteres Argument gegen WhatsApp. Ich bleib aber bei XMPP mit der Android-App Xabber. Ich kann sehr den Server twattle.net empfehlen, der sehr stabil ist. XMPP hat alle „Killerfeatures“ von Threema. Grundsätzlich kann man über XMPP auch Dateien austauschen. Das ist aber in vielen Clients noch nicht implementiert, so leider auch bei Xabber. Daher kann ich derzeit mit Xabber direkt keine Bilder oder Videos austauschen.
Bei XMPP mag ich allerdings den OpenSource Ansatz und die vielfältigen Nutzungsmöglichkeiten. Mein kleiner Server zuhause sagt mir so z.B. täglich skriptgesteuert via XMPP aufs Handy, ob es ihm gut oder schlecht geht.
@Paul Hein
Hier ist ein netter PodCast zum Thema mit dem Entwickler:
http://monoxyd.de/20130118-die-wahrheit-017-threema-smartphone-messenger-mit-verschlusselung/comment-page-1
In Deutschland kommt dann bald der DE-Mail-Messager, der sich nicht lange mit so nervigen Klamotten wie Veschlüsselung aufhält. Da macht man dann einfach ein Gesetz, dass den Messenger per Beschluss für sicher erklärt und damit gut… ist doch viel praktischer.
Das Konzept hört sich in der Tat gut an – leider ist meinen Mitmenschen im Allgemeinen Verschlüsselung und Datenschutz etc. eher nicht wichtig. Als ich mal verushct habe, Emailsignatur/Verschlüsselung zu nutzen fragten mich schon manche, was das für komische Mails wäre und für Anhänge. In den lezten 5 Jahren hat sich da leider NICHTS getan. WARTEN AUF DKIM
Wenn die Daten wirklich mit Pub und Private Key etc. verschlüsselt werden, dann können noch so viele Nachrichten gespeichert werden bei denen. Ohne die Schlüssel können sie die Nachrichten nicht lesen. Interessanter Ansatz, aber welcher 0815-Nutzer will den Aufwand betreiben bzw. wie soll man denen verständlich machen, dass dies wirklich nützlich ist?
Ich nutze Threema schon einige Monate, habe natürlich auch schon alles auf der Seite durchgelesen. Habe auch gesehen das man eine Validierungs-Log einstellen kann in der App selbst und somit die Verschlüsselung zu testen. Ich aber halt nicht 🙂
Allein durch die Verschlüsselung glaube ich den Herstellern schon das die Nachrichten nicht abgefangen werden können, jedoch wie sieht es dann bei denen aus?
Die Verknüpfung zwischen den Kontakten soll ja auch, bei jedem kompletten schliessen der App oder spätestens alle 7 Tage, wechseln. Finde ich echt eine gute idee und wie gesagt, für mich im moment die attraktivste App.
Aber muss der Schlüssel nicht irgendwie übertragen werden damit zb. der Empfänger die Nachricht lesen kann?
Ich möchte, dass Verschlüsselung *im Hintergrund* – quasi als unsichtbare Selbstverständlichkeit – abläuft. Als User möchte ich davon nichts sehen.
Wieso verschwinden meine Kommentare hier einfach?
Von Handy aus geht es einen Kommentar zu schreiben, komisch.
@Daniel Muss denn der Schlüssel nicht irgendwie übertragen werden damit der Empfänger die Nachricht dann lesen kann?
Kontalk hat ebenfalls eine Ende-zu-Ende-Verschlüsselung ist aber ein Open Source Project, das noch Unterstützer sucht. https://play.google.com/store/apps/details?id=org.kontalk
@Tony
dafür gibt es ja den öffentlichen Schlüssel, den der Empfänger von einem Schlüsselserver herunterlädt.
Ja, runde Sache glaube ich. Gut, dass du wenigstens für Verbreitung sorgst. Es brauch nur soviel „kritische Masse“ zusammenkommen, damit Whatsapp das nachrüstet 😉
Ist nur die Frage, ob man die kritische Masse erreicht, mit einem von Anfang an kostenpflichtigen Version. Da war Whatsapp schlauer, und ich vermisse hier eine Testversion, um zu schauen ob es meien Whatsapp ersetzen kann, und wie es arbeitet (Identifizierung nummer, Upload des Adressbuches usw…)
@Tonymann das Telefonbuch wird hochgeladen wie auch bei whatsapp. Lies dich mal auf der Seite ein, die haben da sehr viel gut beschrieben wie es funktioniert. Die App gab es zur Erscheinung auch gratis, jedoch wurde es nicht so oft erwähnt in den Blogs, wie jetzt.
@.marc dann liegt der öffentliche Schlüssel also auf dem Server? Und threema selbst kann den nicht nutzen um die Nachrichten zu entschlüsseln?
@Tonymann
„Wie stellen Sie sicher, dass sensible Informationen wie die Handynummern nicht in falsche Hände geraten?
Die App überträgt nur sogenannte Hashes (einwegverschlüsselte Codes) der E-Mail-Adressen und Telefonnummern an den Server, so dass dieser nicht direkt auf die jeweiligen Adressen und Nummern schliessen, sondern einzig feststellen kann, ob es einen passenden Threema-Benutzer gibt. Zudem werden diese Hash-Listen nur für den Abgleich verwendet und gleich nach Beantwortung der Anfrage wieder gelöscht.“
Und was ist mit XMPP (Jabber) und OTR (Off-the-Record Messaging)? Alles frei und Open Source. Das gibt es bereits seit vielen Jahren. Für die Verschlüsselung wird meines Wissens GnuPG verwendet. Clients gibt es auch für ziemlich jede Plattform. Bspw. Pidgin mit OTR-Plugin, Jitsi oder Xabber für Android. Bei Wikibedia findet man noch mehr: https://de.wikipedia.org/wiki/Off-the-Record_Messaging
@Tony
der öffentliche Schlüssel wird dazu verwendet um eine Nachricht zu verschlüsseln. Entschlüsselt kann eine solche Nachricht nur mit dem privaten Key der jeweils nur dem Besitzer bekannt sein sollte. Damit kann sichergestellt werden, dass nur eine bestimmte Person bzw. nur derjenige der im Besitz des privaten Schlüssels ist die Nachricht öffnen kann – Stichwort asynchrone Verschlüsselung
@Harry
Danke. Das bedeutet das nur ich und der Empfänger den privaten Key besitzen? Wie kommt der Empfänger an diesen ran? Also speziell bei Threema jetzt. Wenn ich seine ID scanne während er neben mit sitzt kann ich mit vorstellen das dieser mit übertragen wird, jedoch wie soll das funktionieren wenn ich denjenigen manuell zu meinen Kontakten zufüge?