Sichere Kommunikation - nutzt hier jemand Threema?

Moin
cyberjonny schrieb:
... der den Code unter die Lupe nimmt. Allerdings ist zum einen die Wahrscheinlichkeit bei Open Source signifikant höher,
Zum Vergrößern anklicken....
Ist sie nicht.
Bis vor kurzem (Heartbleed) gab es bei den meisten OS Projekten niemanden, der sich systematisch um die Sicherheit gekümmert hätte. Alle waren mit dem: "... man könnte, wenn man wollte, ..." zufrieden.
Erst seit dem hat sich die Erkenntnis durchgesetzt, das Sicherheit nicht durch die Option an sich entsteht, sondern nur dadurch, das man Sicherheitslücken auch systematisch sucht.
Das ist aber auch bei Closed Source Software angekommen, und immer mehr Software im CS-Bereich wird von unabhängigen Experten auf Sicherheitsmängel hin untersucht.

=> Kein wesentlicher Unterschied.

cyberjonny schrieb:
... zum anderen ist ein Anbieter, der seinen Code transparent als Open Source zur Verfügung stellt für mich schon einmal per se vertrauenswürdiger als ein Anbieter, der dies nicht tut, ...
Zum Vergrößern anklicken....
Warum?
Es gibt genügend Fälle, in denen genau das schon passiert ist (absichtlich oder versehentlich). Sowohl bei CSS als auch bei OSS.
Das ist an die Öffentlichkeit gelangt, weil die eben gefunden wurden. Sowohl bei OSS, als auch bei CSS.

=> Kein wesentlicher Unterschied.

cyberjonny schrieb:
... da hier zumindest davon auszugehen ist, dass nicht wissentlich und willentlich eine Backdoor eingebaut wurde. ...
Zum Vergrößern anklicken....
Gegenbeispiel ist die Software JonDoe, bei der genau das passiert ist. JonDoe

cyberjonny schrieb:
... doch, ich bleibe dabei: Open Source bedeutet eine potenziell höhere Sicherheit, ...
Zum Vergrößern anklicken....
Es gibt keine potentiell höhere Sicherheit.


Sicherheitlücken in CSS zu finden ist regelmäßig aufwändiger, als bei OSS. Das ist der wesentliche Unterschied.
Mehr Sicherheit entsteht nur, wenn aktiv nach Sicherheitslücken gesucht wird. Und dann ist OSS im Vorteil. Aber eben nur dann.
Dafür steht bei CSS meistens schneller ein Budget für sowas zur Verfügung, als bei OSS.

RomanX
 
Zuletzt bearbeitet:
Das Problem ist, dass wir hier beide mit "Bauchgefühl" argumentieren.

Ich stimme dir grundsätzlich zu, bis auf die Sache, dass ich glaube, dass der Code bei OSS trotz allem eher/häufiger angeschaut wird als bei CSS. Du hingegen glaubst, dass dies nicht so ist. Leider kann ich auf die schnelle keine belastbaren Zahlen dazu finden, falls es die überhaupt gibt. Aber allein die Tatsache, dass du einzelne Beispiele finden kannst, die deine Thesen stützen, sagt noch nichts über deren allgemeine Richtigkeit/Gültigkeit aus.
 
"Anschauen" ist da leider ein sehr schwaches Wort. Zwischen "anschauen", "lesen" und "verstehen" ist da ein großer Unterschied.
Anschauen kann sich den Code auch ein 2 Jähriger. Lesen ein Volksschüler und verstehen ist nochmal schwieriger.

Heartbleed wurde nicht durch "anschauen" gefunden.
 
Zuletzt bearbeitet:
Threema bekommt nun auch Ende-zu-Ende-verschlüsselte Peer-2-Peer-Anrufe: https://threema.ch/de/blog/posts/threema-anrufe-beta
Threema-Anrufe: öffentlicher Betatest
07.Aug 2017
Anpfiff zu Ende-zu-Ende-verschlüsselten Sprachanrufen in Threema. Bald können Sie Telefonate führen, die ebenso sicher sind wie Threema-Nachrichten. Um beim offiziellen Start grösstmögliche Zuverlässigkeit zu gewährleisten, durchlaufen Threema-Anrufe eine öffentliche Betaphase (Android und iOS).
Wenn Sie Anrufe in Threema testen und etwaige Fehler berichten möchten, nehmen Sie jetzt am Betaprogramm teil.
Threema-Anrufe bieten hervorragende Sprachqualität. Zudem wurde bei der Umsetzung der neuen Funktion auf maximale Sicherheit und Datensparsamkeit geachtet:
  • Bei Threema-Anrufen wird nicht eine Telefonnummer, sondern die anonyme Threema-ID zur Identifizierung verwendet; dadurch fallen weniger auswertbare Metadaten an
  • Threema-Anrufe sind Ende-zu-Ende-verschlüsselt und somit abhörsicher; die Schlüssel werden auf den Geräten generiert und verlassen diese nie
  • Der Verbindungsaufbau erfolgt im Hintergrund über Threema-Nachrichten, daher sind Sprachanrufe genauso vertrauenswürdig wie Chats und werden mit der entsprechenden Vertrauensstufe gekennzeichnet
  • Wenn möglich, wird eine Direktverbindung zwischen den Gesprächsteilnehmern aufgebaut (Peer to Peer)
  • Für die Audio-Codierung wird eine konstante Bitrate verwendet, somit sind aufgrund der Grösse der übermittelten Datenpakete keine Rückschlüsse auf den Inhalt möglich
  • Die Sprachanruf-Funktion basiert auf offenen Standards
Selbstverständlich lassen sich Sprachanrufe auf Wunsch vollständig deaktivieren. Weitere Einzelheiten werden bei der offiziellen Veröffentlichung bekanntgegeben.
Zum Vergrößern anklicken....

Die Teilnahme an der Beta findet sich hier: https://threema.ch/de/public-beta

Und noch eine Info:
Liebe Betatester

Wir freuen uns sehr, Ende-zu-Ende-verschlüsselte Threema-Anrufe für Android und iOS anzukündigen.Damit Sie sichere Anrufe mit einer grossen Anzahl von Kontakten testen können, starten wir einen öffentlichen Betatest.Ihre Kontakte können die Beta-Version in Kürze ebenfalls herunterladen. Weitere Informationen hier: https://three.ma/anrufebeta

Nach dem Abschluss der öffentlichen Testphase wird der Beta-Test wieder auf registrierte Tester limitiert.

Viel Spass beim Testen von Threema-Anrufen!
Zum Vergrößern anklicken....
 
mir wäre es ja lieber, sie würden endlich mal mit dem Desktop Client für iOS um die Ecke kommen, nachdem es den für Android schon seit Anfang des Jahres gibt :rolleyes:
 
Ja... Mich würde auch freuen, wenn sie einige der Features, die sie vor Jahren mal angekündigt haben, endlich umgesetzt werden würden. Ganz besonders die Multi-Device-ID, bei der man eine ID auf mehreren Geräten nutzen kann. Wäre vor allen Dingen auch ein Merkmal, was viele Messenger gar nicht können (WhatsApp z.B.) oder nur in verkrüppelter Form (Telegram z.B. nur wenn man die Verschlüsselung abschaltet).
Damit könnte man dann auch einen Desktop-Client anbieten, der unabhängig vom Handy wäre. Sowas wurde ja damals groß im Sommer für den "Herbst" angekündigt. Seitdem sind aber schon ein paar Herbste vergangen ^^
 
cuco schrieb:
Damit könnte man dann auch einen Desktop-Client anbieten, der unabhängig vom Handy wäre
Zum Vergrößern anklicken....
DAS wäre in der Tat sehr geil! Ich hoffe jetzt nur, dass die Desktop Anwendung für iOS nicht den gleichen Weg nimmt wie diese Ankündigung :(
 
Einen selbstständig lauffähigen Clienten wird es meines Wissenes nach nicht geben. Threema bevorzugt meines Wissens eine browserbasierte Lösung.
 
Ja leider... Die Verbindung zum Handy muss halt auch stehen (genau wie bei WhatsApp), so lange man nicht mehrere Geräte mit der gleichen ID benutzen kann. Und für den Web-Client musste auch erst ein Praktikant kommen und das Ding als proof of concept bauen, bevor der mal forciert wurde...
 
cuco schrieb:
Und für den Web-Client musste auch erst ein Praktikant kommen und das Ding als proof of concept bauen, bevor der mal forciert wurde...
Zum Vergrößern anklicken....
Gibt's da einen für Threema der mit iOS zusammenarbeitet? Damit wäre mir ja schon mal ziemlich geholfen!
 
Laut dieser Seite ist der Client wohl auch für iOS in Planung ("noch nicht verfügbar"): https://threema.ch/de/faq/web_use
Bei Threema dauert das aber ja immer etwas länger (was ich eher gut finde, lieber vernünftig und sicher, als möglichst schnell aber mit Lücken wie ein Scheunentor). Andererseits haben sie schon manchmal Dinge versprochen, die dann nie kamen, und irgendwann "heimlich" wieder aus den Ankündigungen verschwanden. Daher mal schauen. Hilft wohl wirklich nur (lange) abwarten.
Bei iOS ist vermutlich auch das große Problem, dass Anwendungen eigentlich nicht im Hintergrund arbeiten dürfen. Lange Zeit durften sie es gar nicht, inzwischen mit sehr strengen Auflagen und nur nach Zustimmung des Nutzers. Eventuell macht das die Programmierung des Clients auch anspruchsvoller (oder ggf. auch schwer bis unmöglich). Bei WhatsApp hat es AFAIK auch deutlich länger gedauert, bis es mal das Web-Interface für iOS gab.

//EDIT: Oder meinst du mit "einen" einen Praktikanten? :D
 
cuco schrieb:
//EDIT: Oder meinst du mit "einen" einen Praktikanten?
Zum Vergrößern anklicken....
Nee, meinte schon das, auf was Du verlinkt hast - und nachdem es ja damals WhatsApp auch erst mal nur als WebClient gab, hätte ich die Hoffnung, dass sie zumindest das implementieren bis eine echte Desktop Anwendung kommt. Echt nervig!
 
Neben der bisherigen Möglichkeit, die Verschlüsselung zu überprüfen und den bisherigen Sicherheitsaudits sind die Threema-Clients nun auch Open-Source, inkl. reproducible builds, so dass man auch überprüfen kann, ob das, was aus dem Store kommt, auch dem entspricht, was aus dem Quelltext kompiliert wird - zumindest bei Android, Apple schiebt dem ganzen leider derzeit einen Riegel vor. Quelltexte sind auf GitHub.

Außerdem wird nun auch wieder an der Multi-Device-Fähigkeit gearbeitet. Ein Überblick, wie das ganze gelöst werden soll, ohne dabei die Sicherheit oder die Privatsphäre zu unterlaufen, gibt es hier: https://threema.ch/en/blog/posts/md-architectural-overview
 
Nach dieser Messenger-Matrix wird u.a. Threema auch aus Datenschutzsicht empfohlen: https://social.tchncs.de/@kuketzblog/105407673507473906
Ich selbst nutze Wire (familienintern) sowie matrix und xmpp und finde xmpp über Conversations auch sehr komfortabel. Hier eine schöne Anleitung: https://media.kuketz.de/blog/artikel/2016/conversations/Anleitung_Conversations.pdf

Bei Wire funktioniert es sehr gut mit multi-device, für alle möglichen Betriebssysteme. Wire hat sich zuletzt mehr auf Geschäftskunden konzentriert. Private Nutzung ist aber weiterhin kostenlos, wenn auch mit eingeschränkten Funktionen (bspw. Videoanruf nur zu zweit). Die Privatversion ist auf der Homepage etwas versteckt, daher hier der Direktlink: https://wire.com/de/download/
 
@cuco Wie ist der Stand bei signal: Gibt es nun die Möglichkeit, es ohne Telefonnummer als Identifier zu nutzen?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben