Sichere Kommunikation - nutzt hier jemand Threema?

cuco

Moderator
Teammitglied
Themenstarter
Registriert
1 Dez. 2011
Beiträge
7.776
Mich würde mal interessieren, wie wichtig euch sichere Kommunikation auf dem Smartphone ist. Es gibt ja nun diverse Messaging-Apps für Smartphones. Aber entweder läuft sie
- so unsicher ab, dass man alle Daten mitlesen kann (Google-Dienste, WhatsApp, ...)
- oder ist viel zu umständlich für den Normaluser (PGP und andere Verfahren, bei denen der Schlüssel manuell ausgetauscht werden muss)
- oder sie ist plattformabhängig (Apple iMessage, whistle.im, ...)
- oder sie hat technisch bedingte Nachteile, die sie unpraktikabel machen (z.B. OTR basierte Lösungen zum Schlüsselaustausch, was nur funktioniert, wenn beide Endgeräte gleichzeitig online sind oder TextSecure/WhisperPush, was ausschließlich auf SMS beschränkt ist)

Da ich keiner von den Leuten bin, die sagen "Ich hab ja nichts zu verbergen, soll doch jeder mitlesen können", habe ich halt nach einer vernünftig verschlüsselten Lösung gesucht. Ich möchte schließlich nicht, dass nachher Bilder oder Nachrichten von mir sonstwo auftauchen, selbst wenn es nichts schlimmes ist. Ich gehe ja auch nicht nackt auf die Straße, weil ich ja "nichts zu verbergen habe" und ziehe mir trotzdem etwas an ;) Außerdem habe ich im Bekanntenkreis auch vor einer Weile erfahren müssen, was durch Generalüberwachung (die ja stattfindet, wie wir spätestens seit Snowden wissen sollten) alles passieren kann...

Aber Verfahren und Messenger wie WhatsApp, Mail, SMS und Co. kann nicht nur die NSA sondern mit mehr oder weniger geringem Aufwand auch jeder Privatmensch abhören und sich einen Spaß aus den abgefangenen Daten machen. Wiederum wird man nie jemanden dazu bekommen, großen Aufwand auf sich zu nehmen, wenn es doch so bequeme Lösungen wie WhatsApp gibt.

Ich bin deswegen inzwischen bei der App namens "Threema" gelandet, weil sie echte Ende-zu-Ende-Verschlüsselung bietet und man dabei auf (fast) keinen Komfort verzichten muss. Alle Nachrichten und Daten werden so übertragen, dass niemand (auch kein NSA, FBI, der Computernerd von nebenan oder der Hersteller der App) mitlesen kann. Durch asynchrone Verschlüsselung ist das auch sicher und der private Key verlässt dabei nie das Handy - der öffentliche Key muss dagegen nicht manuell verteilt werden, sondern wird über die Threema-Server mit den anderen Kontakten synchronisiert. Da die Server in der Schweiz stehen, gibt es auch keine Pflicht, Abhörschnittstellen oder ähnliches bereitzustellen. Würde aber eh wenig bringen, da man die Daten "unterwegs" nicht entschlüsseln kann. Ich bin absolut positiv begeistert davon und habe auch keine Lösung gefunden, die mithalten kann. Ziemlich genau so komfortabel wie WhatsApp, ähnliches Funktionsumfang - nur eben vernünftig verschlüsselt.

Nachteil ist aber natürlich, dass jeder Kontakt, mit dem man schreiben will, auch Threema haben muss. Und da WhatsApp bekanntlich viel mehr Leute erreicht und im ersten Jahr auch noch kostenlos ist, ist es verdammt schwer, die Leute dazu zu bringen, sich auch Threema zu holen.


Mich würde nun mal interessieren: Nutzt ihr sichere Messenger auf eurem Smartphone? Welchen und warum? Und wenn ihr keinen nutzt: Warum nicht?


Abschließend natürlich mein Tipp: Holt euch Threema :p Nur wenn es verbreitet ist, kann es funktionieren. Mein Kumpel, der mich dazu gebracht hat, hat schon 40 seiner Freunde auch bei Threema, ich hab inzwischen nach ca. 2,5 Monaten Benutzung auch knapp 20. Viele meiner Freunde dagegen haben aber wiederum halt auch nur 1-5... Aber: Irgendwer muss ja anfangen :D Die App ist für iOS und für Android ab 4.0 verfügbar und kostet gerade mal 1,79€ (iOS) bzw. 1,60€ (Android). Weniger als ein Bier oder ein Getränk in der Kneipe/Disco/Bar/... Kann man mal investieren ;)
Ich möchte dabei übrigens betonen: Ich habe nichts mit der Firma, die hinter Threema steckt, zu tun. Ich bekomme kein Geld für Werbung oder ähnliches. Ich bin einfach überzeugt von der Lösung und möchte mal wissen, wie ihr überhaupt allgemein zu sicherer Kommunikation steht.
 
Zuletzt bearbeitet:
....
Ich bin deswegen inzwischen bei der App namens "Threema" gelandet, weil sie echte Ende-zu-Ende-Verschlüsselung bietet und man dabei auf (fast) keinen Komfort verzichten muss.
Das ist nichts neues, gibt es bereits seit Jahrzehnten, und auch "nachrüstbar" bei diversen (auch offenen) IMs.

Alle Nachrichten und Daten werden so übertragen, dass niemand (auch kein NSA, FBI, der Computernerd von nebenan oder der Hersteller der App) mitlesen kann.
Was dir nur leider überhaupt nichts bringt wenn das Quell- oder Zielsystem absolut unsicher ist, und das ist ja gerade die eigentliche Problematik zur Zeit.

...Da die Server in der Schweiz stehen, gibt es auch keine Pflicht, Abhörschnittstellen oder ähnliches bereitzustellen.
Ich wusste nicht das es eine derartige Pflicht in Deutschland gibt, man möge mich aber bitte korrigieren. Zumal die Software wieder auf Geräten läuft die evtl. die o.g. Schnittstelle besitzen (könnten), oder anderweitig kompromittiert werden.

Was spricht gegen einen bereits etablierten IM, z.B. Jabber / XMPP? Gibt es kostenlos, auf nahezu jeder Plattform, auch Android. Dazu kennt es Verschlüsselung, ist dezentral, und open source. Oder irgendein bekanntes IM-Netzwerk + Plugin, oder oder oder...
WhatsApp ist wie erwähnt "verschlüsselt", "vernünftig" ist immer eine Frage des Aufwandes und der Zeit. Und wie Threema in zwei oder drei Jahren aussieht kann sich jeder denken.



Abschließend natürlich mein Tipp: Holt euch Threema :p ... Irgendwer muss ja anfangen :D
Irgendwer sollte das eher mal beenden! Wo ist Potfalla wenn man ihn mal braucht. :D




Entschuldige meinen etwas "bissigen" Post, mir geht das IM-Wechsel-Dich Spielchen seit vielen Jahren tierisch auf den Keks.


TL;DR:

standards.png
 
Zuletzt bearbeitet:
Moin

Ich verwende Threema auch.

@beserene: Threema ist kein IM und soll auch keiner sein. Es ist ein sicherer Ersatz für SMS. Und den Job macht es ausgesprochen gut.

Threema und andere Messenger (Whatsapp, ...) funktionieren wie SMS. Sie sind zwar auch zum Chatten geeignet, der Fokus liegt aber eindeutig auf der asynchronen Kommunikation (Kurznachrichten).
Threema verwendet z.B. die Google Cloud für die Verbindung und funktioniert auch bei schlechter oder unregelmäßiger Verbindung gut. Und das ohne dafür regelmäßig mit dem Server Kontakt aufzunehmen und Ressourcen zu verbrauchen.
In dem Punkt ist Threema jedem mir bekannten IM deutlich überlegen.


Die Instant Messenger (Jabber, ICQ, ...) funktionieren nur mit einer dauerhaften und möglichst stabilen Verbindung gut. Der Fokus liegt dabei hauptsächlich auf der Chatfunktion. Man kann die meisten zwar auch als Ersatz für Kurznachrichten verwenden, dafür sind sie aber nicht gemacht und das kostet daher deutlich mehr (Ressource, Strom, ...)

Ich habe früher (vor Threema) Jabber verwendet, weil die anderen Messenger für mich keine Option sind. Aber so richtig rund lief das ganze nie.


@cuco
Wenn mir jemand gelegentlich mal Nachrichten schicken will, kann er das per SMS oder Threema machen. Andere Alternativen biete ich nicht an.
Und ich will ohnehin nicht mit Leuten befreundet sein, denen es völlig egal ist, an wen sie meine Kontaktdaten weitergeben. Das ist auch ein Argument, mit dem man die meisten Menschen überzeugen kann.


RomanX
 
Das ist nichts neues, gibt es bereits seit Jahrzehnten, und auch "nachrüstbar" bei diversen (auch offenen) IMs.
...und das basiert meistens auf OTR. OTR hat aber den riesigen Nachteil, dass zum Zeitpunkt des Schlüsselaustauschs (und das muss mit jeder Session wieder passieren) beide Teilnehmer gleichzeitig online sein müssen, um sich auszutauschen. Ist einer nicht online, wenn man ihm schreiben möchte, kann man nicht verschlüsseln...
Außerdem muss man bei jedem Teilnehmer manuell die OTR-Session eröffnen und dafür erstmal wissen, dass er einen Messenger hat, der OTR kann. Viel zu unpraktikabel für den Normaluser.
Und bei meinen Tests mit OTR hatte ich mehr fehlgeschlagene Verbindungen als erfolgreiche. Absolut nervig, wenn es so buggy läuft. Mal ganz abgesehen davon, dass selbst bei angeblich aufgebauter OTR-Verbindung manchmal nur "Müll" ankam, also verschlüsselter Text, der nicht entschlüsselt werden konnte.

Was dir nur leider überhaupt nichts bringt wenn das Quell- oder Zielsystem absolut unsicher ist, und das ist ja gerade die eigentliche Problematik zur Zeit.
Naja, Apple behauptet natürlich, dass es keine Hintertür gibt. Vielleicht ist es sogar wahr, denn eine Hintertür auf dem Endgerät ist viel nerviger und auffälliger, als einfach den Datenverkehr abzufangen. Der Android-Quelltext ist OpenSource. Wenn er eine Lücke hat, kann man sie finden (heißt natürlich nicht, dass man sie daher schon gefunden haben würde - der Quelltext ist riesig). Aber es wäre gefährlich, hier eine einzuschleusen. Und auch hier trifft es wieder zu, dass eine Hintertür viel zu aufwändig wäre und auffallen würde. Laufend geht dann im Hintergrund Traffic mit den abgefangenen Daten raus. Wofür? Die Daten kommen doch schon bei der regulären Übertragung einmal durchs Netz. Also da abfangen und nicht auf dem Endgerät.
Nach aktuellem Stand kann man das Endgerät wohl niemals als sicher abfangen, aber abgehört wird nach aktuellem Kenntnisstand zumindest im großen Rahmen nur während der Übertragung und nicht auf dem Endgerät. Aber selbst wenn: Es gibt auch Nackt-Scanner am Flughafen. Und trotzdem zieht man sich Kleidung an, obwohl man mit dem Scanner durchschauen kann ;) Keine Verschlüsselung benutzen, weil es ja evtl. eine Möglichkeit gibt, trotzdem an die Daten zu kommen? Wenn man es gar nicht probiert, kann es nicht funktionieren.

Ich wusste nicht das es eine derartige Pflicht in Deutschland gibt, man möge mich aber bitte korrigieren. Zumal die Software wieder auf Geräten läuft die evtl. die o.g. Schnittstelle besitzen (könnten), oder anderweitig kompromittiert werden.
Von Deutschland wüsste ich es jetzt auch nicht. Aber z.B. in den USA ist es so. Wodurch Dienste wie Google, Facebook, WhatsApp und Co. grundsätzlich Schnittstellen bereitstellen müssen...

Was spricht gegen einen bereits etablierten IM, z.B. Jabber / XMPP? Gibt es kostenlos, auf nahezu jeder Plattform, auch Android. Dazu kennt es Verschlüsselung, ist dezentral, und open source. Oder irgendein bekanntes IM-Netzwerk + Plugin, oder oder oder...
Siehe oben, wo ich die Nachteile und Probleme von OTR geschrieben habe. Hast du OTR mal wirklich in der Praxis zur Kommunikation zwischen zwei Smartphones genutzt? Pain in the ass...

WhatsApp ist wie erwähnt "verschlüsselt", "vernünftig" ist immer eine Frage des Aufwandes und der Zeit. Und wie Threema in zwei oder drei Jahren aussieht kann sich jeder denken.
Klar ist Verschlüsselung immer ein Katz-und-Maus-Spiel. Aber zum aktuellen Stand schon eine Verschlüsselung einzusetzen, die sich erstens in Sekunden knacken lässt und zweitens auch nur eine Transportverschlüsselung ist, ist ungefähr so effektiv, wie über eine Postkarte den Satz "Nicht Lesen! Nur für den Empfänger bestimmt" zu schreiben. Eine Transportverschlüsselung nur zwischen Sender und Server bzw. Server und Empfänger würde bei effektiver Verschlüsselung immerhin schon mal den Computernerd am Nachbartisch, der z.B. im gleichen öffentlichen WLAN ist, abhalten alles mitlesen zu können. Aber auf dem Server liegen dann alle Nachrichten wieder im Klartext vor. Der Anbieter kann alles sehen, auswerten, weitergeben, usw. Womit wir dann auch noch wieder bei den oben angesprochenen Schnittstellen zu diversen Geheimdiensten und Regierungen wären... Abgesehen davon nutzt WhatsApp eine Verschlüsselung, die jeder mit seinem Laptop in Sekunden knacken kann. Skripts dafür kursieren im Netz. Wenn du möchtest, nimm doch mal das Skript, setz dich mit deinem Laptop bei Starbucks/McDonalds/BurgerKing/in die Nähe eines Telekom-HotSpots/... und schau, was deine Umwelt so über WhatsApp verschickt. Nichts einfacher als das :)
Klar ist auch, dass eine Verschlüsselung früher oder später allein durch die steigende Rechenleistung geknackt werden kann. Bei vernünftiger Verschlüsselung dauert das aber laaaaange. Siehe z.B. AES. Seit 2000 standardisiert, zu heutigem Zeitpunkt nicht in vertretbarer Zeit knackbar (zumindest wenn man entsprechende Vorkehrungen trifft). Threema nutzt die NaCl-Bibliothek (Open Source) für die Verschlüsselung, die auf elliptischen Kurven basiert. Nach heutigem Stand nicht knackbar und vermutlich auch in 10 Jahren noch nicht. Und was ist in 10 Jahren? Lass uns dann doch mal neu schauen :) Ansonsten kann man ja auch die Verschlüsselung nochmal ersetzen. Threema ist ja kein Protokoll und kein Standard, sondern ein Client.

Irgendwer sollte das eher mal beenden! Wo ist Potfalla wenn man ihn mal braucht. :D
Und dann doch wieder WhatsApp einsetzen "ohne" Verschlüsselung? Verschlüsselung ganz aufgeben und Mails/SMS/unverschlüsselte Nachrichten senden? Oder auf Clients setzen, die nicht richtig funktionieren oder nur für Nerds benutzbar sind?

Entschuldige meinen etwas "bissigen" Post, mir geht das IM-Wechsel-Dich Spielchen seit vielen Jahren tierisch auf den Keks.
Wenn es mal einen vernünftig verschlüsselnden und gut verbreiteten Messenger geben würde, würde das vielleicht ja aufhören. Bisher gibt es ihn allerdings nicht. Mit Threema vielleicht den vernünftig verschlüsselnden, nun fehlt nur die Verbreitung.

Ja das Bild kenne ich, ist viel wahres dran :) Wenn wir aber 14 Standards haben, von denen keiner wirklich funktioniert, braucht es vielleicht den 15., der dann vernünftig ist.


Moin

Ich verwende Threema auch.

@beserene: Threema ist kein IM und soll auch keiner sein. Es ist ein sicherer Ersatz für SMS. Und den Job macht es ausgesprochen gut.
Threema und andere Messenger (Whatsapp, ...) funktionieren wie SMS. Sie sind zwar auch zum Chatten geeignet, der Fokus liegt aber eindeutig auf der asynchronen Kommunikation (Kurznachrichten).
Threema verwendet z.B. die Google Cloud für die Verbindung und funktioniert auch bei schlechter oder unregelmäßiger Verbindung gut. Und das ohne dafür regelmäßig mit dem Server Kontakt aufzunehmen und Ressourcen zu verbrauchen.
In dem Punkt ist Threema jedem mir bekannten IM deutlich überlegen.


Die Instant Messenger (Jabber, ICQ, ...) funktionieren nur mit einer dauerhaften und möglichst stabilen Verbindung gut. Der Fokus liegt dabei hauptsächlich auf der Chatfunktion. Man kann die meisten zwar auch als Ersatz für Kurznachrichten verwenden, dafür sind sie aber nicht gemacht und das kostet daher deutlich mehr (Ressource, Strom, ...)

Ich habe früher (vor Threema) Jabber verwendet, weil die anderen Messenger für mich keine Option sind. Aber so richtig rund lief das ganze nie.


@cuco
Wenn mir jemand gelegentlich mal Nachrichten schicken will, kann er das per SMS oder Threema machen. Andere Alternativen biete ich nicht an.
Und ich will ohnehin nicht mit Leuten befreundet sein, denen es völlig egal ist, an wen sie meine Kontaktdaten weitergeben. Das ist auch ein Argument, mit dem man die meisten Menschen überzeugen kann.


RomanX
Naja, wo IM anfängt und SMS aufhört, ist vermutlich eine schwammige Grenze und Threema ist wohl eher irgendwo dazwischen oder sogar Richtung IM. Aber er nutzt eben schon den Vorteil der serverbasierten Kommunikation - bei denen nicht beide Teilnehmer gleichzeitig online sein müssen, um eine Nachricht zuzustellen oder einen Verschlüsselungskanal aufzubauen.
Sonst kann ich dir nur zustimmen. Jabber und Co. laufen (im Gegensatz zu Threema) einfach nicht zuverlässig, erst Recht nicht, wenn man noch Verschlüsselung nutzt.

Ich habe noch WhatsApp und werde es wohl auch noch lange haben, verzichten kann ich darauf derzeit nicht wirklich. Aber ich freu mich natürlich um so mehr, dass sich Threema etwas verbreitet, so dass man bei denen, die es schon haben, auf sichere Kanäle ausweichen kann.
 
ich verwede kein threema, denn für mich sprechen mehrere gründe dagegen:
  • closed source
  • abhängigkeit von einem anbieter, keine möglichkeit einen anderen anbieter zu verwenden oder selbst einen passenden server zu betreiben
  • die push-nachrichten laufen über google
ich bleibe daher bei jabber mit otr.
 
Closed Source - ja es gibt aber keine Open Source Alternative...
Bei der Anbieterabhängigkeit sieht es ähnlich aus.
Die Push-Notifications laufen über Google, ja. Die Nachrichten sind aber leer, es wird nur zur Signalisierung genutzt. Alternativ muss man es nicht nutzen und kann auch Polling nutzen.

Jabber mit OTR ist einfach keine Alternative für asynchrone Kommunikation und erst Recht nicht für Nicht-Techniknerds...
 
- oder sie ist plattformabhängig (Apple iMessage, whistle.im, ...)
Whisle.im ist plattformabhängig?
Sicher, die Clients für iOS und Windows Phone sind noch in Arbeit.
Aber durch den Webclient ist die Software trotzdem auf vielen Geräten einsetzbar.
 
Ja, ist vielleicht etwas unglücklich ausgedrückt, aber das meinte ich damit. Webclient ist nett und für den PC vielleicht auch ok. Für das Smartphone aber maximal eine Behelfslösung - und somit ist es derzeit nur wirklich für Android verfügbar. Minimum sollte wohl sein, dass Android und iOS unterstützt werden.
 
Übrigens kann Threema nun auch endlich Gruppenchats unter Android (und natürlich damit auch eine Mischung aus iOS und Android Usern in der Gruppe)
 
Wenn man verschlüsselt chaten will kann man auch das XMPP Protokoll mit OTR nutzen. Das ist kostenlos.
Ich habe auf dem Rechner Pidgin als Client und auf dem Android Xabber am laufen.
 
Hast du schon mal versucht, via OTR jemandem eine Nachricht zu schicken, der gerade nicht online (Akku alle, schlechter Empfang, ...) ist? Es geht nicht.
Hast du schon mal versucht, einem nicht-Technik-affinen Menschen zum Benutzen von OTR zu bringen? Es ist zu kompliziert.
Hast du schon mal versucht, rauszufinden, ob dein Gegenüber OTR kann, damit du ihm nur schreibst, wenn er auch OTR hat? Du kannst nie vorher wissen, ob er OTR kann. Nur auf gut Glück Sessions aufbauen und schauen, ob der andere dich fragt, was du ihm da für einen komischen Kram schickst - dann kann er es nämlich nicht.
Hast du schon mal versucht, OTR zu benutzen, wenn die Leute unterschiedliche Clients haben? Das geht regelmäßig schief und es kommt nur Datenmüll an oder man braucht zig Versuche, bis die OTR-Session steht.
Hast du schon mal versucht, Dateien mit OTR verschlüsselt zu versenden? Einen Standard gibt es nicht, meist wird das nichts.
Hast du schon mal versucht, einen verschlüsselten Gruppenchat per OTR zu führen? Geht auch nicht...

OTR hat für mich einfach gigantische prinzipbedingte Nahteile. Eine Weile habe ich mich auch damit auf dem Handy rumgeschlagen. Unter anderem auch mit kostenpflichtigen Implementierungen, die das dreifache von dem kosten, was Threema kostet. Funktioniert hat das nie...
 
Klar hat OTR Nachteile. Aber wenn man nicht will das die Dienste mitlesen oder die Daten ausgewertet werden dann muss man auch mal nicht den einfachen Weg gehen.
Ich habe mich mit PGP Email Verschlüsselung beschäftigt. In Summe habe ich 20h gebraucht bis ich durchgestiegen bin. Da habe ich aber auch Schlüssel auf einem Offline System erzeugt. Hier mehr Erklärung: http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/


 
Klar hat OTR Nachteile. Aber wenn man nicht will das die Dienste mitlesen oder die Daten ausgewertet werden dann muss man auch mal nicht den einfachen Weg gehen.
Aber warum sollte man es sich kompliziert machen, wenn es auch eine einfache Lösung gibt?

Ich habe mich mit PGP Email Verschlüsselung beschäftigt. In Summe habe ich 20h gebraucht bis ich durchgestiegen bin. Da habe ich aber auch Schlüssel auf einem Offline System erzeugt. Hier mehr Erklärung: http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/

Stimmt, ein privater Schlüssel darf natürlich auch das Gerät nie verlassen. Auch nicht zum Generieren. Bei PGP finde ich es auch schade, dass es insg. einigermaßen aufwändig ist. Hab mich aber schon länger nicht mehr mit PGP auseinander gesetzt.

Klingt auch interessant! Mal anschauen.
 
wenn die einfache lösung die anforderungen nicht erfüllt, greift man eben zu etwas anderem, was dann vielleicht komplizierter ist.
 
Ich verwende auch Threema, habe allerdings auch noch WhatsApp für die Ignoranten am laufen :huh:
 
So, Threema installiert. Macht einen sehr guten Eindruck und die Server sind in der Schweiz positioniert.

Weniger gut, gerade mal einer meiner Kontaktliste (rund 700 Einträge) benutzt diese App. Grund dürfte die geringe Kenntnis über diese App sein sowie dass es keine kostenlose Version gibt.
 
Moin Helios

WhatsApp ist auch nicht kostenlos.
Und wie mit allen neuen Apps muss man da halt ein wenig Überzeugungsarbeit leisten.


RomanX
 
Da hast du wohl recht, Roman. Habe WhatsApp ebenfalls seit kurzem installiert, mich jedoch noch nicht grossartig damit auseinandergesetzt.

LG Uwe
 
Moin
Habe WhatsApp ebenfalls seit kurzem installiert, mich jedoch noch nicht grossartig damit auseinandergesetzt.
Die wichtigste Info dazu.

Du hast damit alle Kontakte aus deinen Adressbüchern an einen amerikanischen Anbieter verkauft.

RomanX
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben