Sichere Kommunikation - nutzt hier jemand Threema?

cuco

Moderator
Teammitglied
Themenstarter
Registriert
1 Dez. 2011
Beiträge
7.776
Mich würde mal interessieren, wie wichtig euch sichere Kommunikation auf dem Smartphone ist. Es gibt ja nun diverse Messaging-Apps für Smartphones. Aber entweder läuft sie
- so unsicher ab, dass man alle Daten mitlesen kann (Google-Dienste, WhatsApp, ...)
- oder ist viel zu umständlich für den Normaluser (PGP und andere Verfahren, bei denen der Schlüssel manuell ausgetauscht werden muss)
- oder sie ist plattformabhängig (Apple iMessage, whistle.im, ...)
- oder sie hat technisch bedingte Nachteile, die sie unpraktikabel machen (z.B. OTR basierte Lösungen zum Schlüsselaustausch, was nur funktioniert, wenn beide Endgeräte gleichzeitig online sind oder TextSecure/WhisperPush, was ausschließlich auf SMS beschränkt ist)

Da ich keiner von den Leuten bin, die sagen "Ich hab ja nichts zu verbergen, soll doch jeder mitlesen können", habe ich halt nach einer vernünftig verschlüsselten Lösung gesucht. Ich möchte schließlich nicht, dass nachher Bilder oder Nachrichten von mir sonstwo auftauchen, selbst wenn es nichts schlimmes ist. Ich gehe ja auch nicht nackt auf die Straße, weil ich ja "nichts zu verbergen habe" und ziehe mir trotzdem etwas an ;) Außerdem habe ich im Bekanntenkreis auch vor einer Weile erfahren müssen, was durch Generalüberwachung (die ja stattfindet, wie wir spätestens seit Snowden wissen sollten) alles passieren kann...

Aber Verfahren und Messenger wie WhatsApp, Mail, SMS und Co. kann nicht nur die NSA sondern mit mehr oder weniger geringem Aufwand auch jeder Privatmensch abhören und sich einen Spaß aus den abgefangenen Daten machen. Wiederum wird man nie jemanden dazu bekommen, großen Aufwand auf sich zu nehmen, wenn es doch so bequeme Lösungen wie WhatsApp gibt.

Ich bin deswegen inzwischen bei der App namens "Threema" gelandet, weil sie echte Ende-zu-Ende-Verschlüsselung bietet und man dabei auf (fast) keinen Komfort verzichten muss. Alle Nachrichten und Daten werden so übertragen, dass niemand (auch kein NSA, FBI, der Computernerd von nebenan oder der Hersteller der App) mitlesen kann. Durch asynchrone Verschlüsselung ist das auch sicher und der private Key verlässt dabei nie das Handy - der öffentliche Key muss dagegen nicht manuell verteilt werden, sondern wird über die Threema-Server mit den anderen Kontakten synchronisiert. Da die Server in der Schweiz stehen, gibt es auch keine Pflicht, Abhörschnittstellen oder ähnliches bereitzustellen. Würde aber eh wenig bringen, da man die Daten "unterwegs" nicht entschlüsseln kann. Ich bin absolut positiv begeistert davon und habe auch keine Lösung gefunden, die mithalten kann. Ziemlich genau so komfortabel wie WhatsApp, ähnliches Funktionsumfang - nur eben vernünftig verschlüsselt.

Nachteil ist aber natürlich, dass jeder Kontakt, mit dem man schreiben will, auch Threema haben muss. Und da WhatsApp bekanntlich viel mehr Leute erreicht und im ersten Jahr auch noch kostenlos ist, ist es verdammt schwer, die Leute dazu zu bringen, sich auch Threema zu holen.


Mich würde nun mal interessieren: Nutzt ihr sichere Messenger auf eurem Smartphone? Welchen und warum? Und wenn ihr keinen nutzt: Warum nicht?


Abschließend natürlich mein Tipp: Holt euch Threema :p Nur wenn es verbreitet ist, kann es funktionieren. Mein Kumpel, der mich dazu gebracht hat, hat schon 40 seiner Freunde auch bei Threema, ich hab inzwischen nach ca. 2,5 Monaten Benutzung auch knapp 20. Viele meiner Freunde dagegen haben aber wiederum halt auch nur 1-5... Aber: Irgendwer muss ja anfangen :D Die App ist für iOS und für Android ab 4.0 verfügbar und kostet gerade mal 1,79€ (iOS) bzw. 1,60€ (Android). Weniger als ein Bier oder ein Getränk in der Kneipe/Disco/Bar/... Kann man mal investieren ;)
Ich möchte dabei übrigens betonen: Ich habe nichts mit der Firma, die hinter Threema steckt, zu tun. Ich bekomme kein Geld für Werbung oder ähnliches. Ich bin einfach überzeugt von der Lösung und möchte mal wissen, wie ihr überhaupt allgemein zu sicherer Kommunikation steht.
 
Zuletzt bearbeitet:
Hallo!

Ich habe ein kleines Problem mit Threema. Ich habe gestern mein Austausch iPhone bekommen und habe das iTunes Backup zurückgespielt. Threema funktioniert auch. Allerdings hat er mir eine neue ID verpasst.
Kennt jemand eine Möglichkeit die Alte ID wieder zu setzen ohne die Konversationen zu verlieren?

Danke!
 
Ich weiß nicht, wie es unter iOS mit dem iTunes-Backup ist, aber unter Android funktioniert das nur, wenn man Backups mit z.B. Titanium Backup inkl. Root-Rechten macht. Oder die "saubere" Lösung: In Threema selbst "Meine Backups" wählen und mit dem Diskettensymbol eines anlegen.
Wäre schade, wenn das im iTunes-Backup nicht drin ist (k.A. wieso das nicht drin sein sollte? Oder wird das etwa unverschlüsselt gesichert?) - aber nachträglich gibt es leider keine Möglichkeit, seine ID wiederherzustellen.
 
Jap. Ich muss auch sagen, dass das für mich gerade eher wie Marketing bzw. Image-Aufbesserung von WhatsApp klingt, denn:
- nur Nachrichten werden verschlüsselt
- keine verschlüsselten Datentransporte wie Bilder, Kontakte, ... die gehen weiter ohne Ende-zu-Ende-Verschlüsselung über WhatsApp
- nur bei Nachrichten zwischen Android-Geräten. Von und nach iOS läuft es auch ohne E2E-Verschlüsselung
- TextSecure steht unter GPL - müsste damit nicht der WhatsApp-Code auch unter die GPL und damit veröffentlicht werden?
- Wie prüfe ich, ob die Verschlüsselung tatsächlich aktiv ist und auch der versprochenen entspricht?
- Wie wird der Private-Key generiert? Aus Zufallswerten offenbar nicht, oder? Und wie sicher Verschlüsselungen auf Basis von Pseudo-Zufallszahlen tlw. sind, hat Snowden uns gezeigt :rolleyes:
- Und das wichtigste: Wo liegt der Private-Key? Wenn WhatsApp immer noch genau so komfortabel funktioniert wie bisher (also dass z.B. alles nach einer Neuinstallation des Handys und nach dem Installieren von WhatsApp wieder wie vorher funktioniert), dann scheint es so, als wenn der Private-Key bei WhatsApp liegt. Dann ist die Verschlüsselung sowie komplett sinnlos. Das ist wie Dateien verschicken mit Verschlüsselung und dem Key im Namen...
- Liegen die Daten (insb. der Private-Key) verschlüsselt auf dem Handy?
- Wo ist die Validierung der Keys um Man-In-The-Middle-Attacken erkennen zu können?

Ganz abgesehen von der Frage, ob es nicht Hintertüren gibt und was nicht sonst so noch im Hintergrund unverschlüsselt übertragen wird :)

Und wie der Artikel ja auch sagt, ändert das vielleicht was an der Verschlüsselung bei WhatsApp, aber noch nicht am Datenschutz. Trotzdem überträgt WhatsApp immer noch im Klartext die Adressbücher aller Nutzer "zum Abgleich" an seine Server. Trotzdem kann man WhatsApp noch immer nicht ohne Telefonnummer nutzen, was die Benutzung auf Tablets erschwert und nicht jeder möchte seine Nummer rausgeben. Auch kann man immer noch nicht die Übermittlung des Online-Status und des blauen Gelesen-Hakens abschalten.

Die meisten User werden aber die Nachricht wohl so interpretieren, dass WhatsApp nun sicher und damit genau so gut wie die gängigen Alternativen ist. Der Punkt geht dann an WhatsApp - Imagekampagne geglückt.
 
Jap. Ich muss auch sagen, dass das für mich gerade eher wie Marketing bzw. Image-Aufbesserung von WhatsApp klingt, denn:
- nur Nachrichten werden verschlüsselt
- keine verschlüsselten Datentransporte wie Bilder, Kontakte, ... die gehen weiter ohne Ende-zu-Ende-Verschlüsselung über WhatsApp
- nur bei Nachrichten zwischen Android-Geräten. Von und nach iOS läuft es auch ohne E2E-Verschlüsselung
Kann ja noch werden.
- TextSecure steht unter GPL - müsste damit nicht der WhatsApp-Code auch unter die GPL und damit veröffentlicht werden?
Nicht zwingend, Open Whisper kann den Code ja lizensieren wie sie wollen, zumindest wenn er ihnen komplett gehört.
- Wie prüfe ich, ob die Verschlüsselung tatsächlich aktiv ist und auch der versprochenen entspricht?
Das ist wohl der schwierigste Punkt. Ob die Verschlüsselung aktiv ist erkennt man am einfachsten mit einem Proxy wo man das Zertifikat selbst erzeugt und am Handy hinterlegt, dann hat man den Traffic als Klartext. Wenn dann auch der Inhalt Klartext ist...
- Wie wird der Private-Key generiert? Aus Zufallswerten offenbar nicht, oder? Und wie sicher Verschlüsselungen auf Basis von Pseudo-Zufallszahlen tlw. sind, hat Snowden uns gezeigt
Vermutlich durch OS-Funktion, bei Android wahrscheinlich /dev/random
- Und das wichtigste: Wo liegt der Private-Key? Wenn WhatsApp immer noch genau so komfortabel funktioniert wie bisher (also dass z.B. alles nach einer Neuinstallation des Handys und nach dem Installieren von WhatsApp wieder wie vorher funktioniert), dann scheint es so, als wenn der Private-Key bei WhatsApp liegt. Dann ist die Verschlüsselung sowie komplett sinnlos. Das ist wie Dateien verschicken mit Verschlüsselung und dem Key im Namen...
Frage der Implementierung, prinzipiell kann es auch komfortabel jetzt schon funktionieren, ohne das die Keys bei WA liegen.
- Liegen die Daten (insb. der Private-Key) verschlüsselt auf dem Handy?
Würde ich jetzt nicht als Problem von WA (oder anderen Apps) bezeichnen, sondern generell als OS-Problem.


WA nervt allerdings, keinen Desktop-Client, wäre besser wenn sich was anderes durchgesetzt hätte...
 
Um/ab 12:00 Uhr heute wird es zumindest für Entwickler spannend.

//EDIT: ich nehms zurück. Wirklich 0,02CHF pro Nachricht über dieses Gateway???
 
Zuletzt bearbeitet:
Oh ja... Da ging einiges drunter und drüber. Erst wurde es gestern plötzlich aber "heimlich" angekündigt für heute 12 Uhr. Dann war es plötzlich doch schon Stunden vorher online und in der Pressemitteilung stand plötzlich 17 Cent pro Nachricht. Das wurde dann später auf 1,7 Cent pro Nachricht korrigiert. Noch immer geistert auch im Netz rum, dass die Einrichtung kostenlos sei - auf der eigenen Homepage von denen steht aber, dass es 32CHF für die Einrichtung kostet, wenn man Threema verschlüsseln lässt und 64CHF, wenn man selbst (und damit wieder wirklich Ende-zu-Ende) verschlüsselt.

Das ist doch ein Hohn... Gestern nach der Mail dachte ich: Das ist eine geile Idee! Threema wird endlich cool ;) Mein Nachbar hatte schon geplant, wie man das Server-Monitoring darauf umbauen könnte. Schließlich stand in der Mail, dass die Lösung OpenSource sein wird und von Geld war nirgendwo die Rede.

Tja, nach heute muss ich sagen: Schade, dass man dafür Entwicklungszeit geopfert hat. Das wird im privaten Umfeld ein absoluter Rohrkrepierer und wohl kaum einer von uns wird das "in-the-wild" mal sehen. Vielleicht gibt es ein paar Firmen, die ihre Alarmierungen, Serverwarnungen oder ähnliches darüber verschicken. Aber ob sich das dann wirklich lohnt? Keine Ahnung, ich glaube nicht...

Schade, eine "echte" OpenSource Anbindung und ohne Kosten pro Nachricht wäre wirklich Klasse gewesen. Plötzlich hätte man Threema z.B. in MultiMessenger integrieren können und vieles mehr. Eine einmalige Gebühr für die Freischaltung wäre ja ok gewesen, irgendwo drüber muss sich ja Threema auch finanzieren.

So kann ich nur sagen: Hoffentlich basteln sie endlich mal an der Multi-Device-Fähigkeit und außerdem an der schon lang angekündigten Verbesserung der Gruppenverwaltung (was auch immer genau dahinter steckt - Mehr Leute pro Gruppe? Leute aus dem Gruppen wieder löschen?)
Denn die letzten "großen" Änderungen waren echt nur für die Katz. Abstimmungsfeature. Gateway mit knapp 2 Cent pro Nachricht. Was soll denn das werden? Austoben der Entwickler und Ausschlachten bis zum letzten Cent?

Da muss man schon drastische Worte rausholen - und das sage ich als inzwischen Threema-"Fanboy"... Zum Glück hab ich doch noch genug Objektivität behalten, um nicht alles hochzujubeln, nur weil Threema dransteht.
 
Zuletzt bearbeitet:
Tja, die Idee ist/war gut... die Umsetzung... :facepalm:

Ich hoffe ja nach wie vor, dass TextSecure aka Signal sich durchsetzt - und zwar außerhalb von WhatsApp. Leider stehen die Chancen wohl nicht so gut.
 
An sich bin ich auch für TextSecure, aber diese Gruppensache fehlt da echt
 
Alle Nachrichten und Daten werden so übertragen, dass niemand [...] mitlesen kann.

hrhrhr Ich weiß alles :thumbsup:



ich nutze Threema schon recht lange. An sich bin ich ja ein Befürworter von Datenschutz etc pp. Aber das was du machst, klingt irgendwie ziemlich nach Schleichwerbung...
 
Habe Threema auf meinem Phone, jedoch nutze ich es selten. Primär nun Telegram, da auch die Desktopversion mittlerweile "stable" ist und hervorragend auf etwaigen OSs arbeitet.
 
Leider muss ich zugeben, dass ich Whatsapp nutze, da in meinem Bekanntenkreis kein einziger mit Threema oder einer anderen eher sicheren Lösung kommuniziert.
Was nutzt es mir dann, dass ich sicher bin, aber keiner mehr mit mir redet (schreibt)? :confused:

gatasa
 
Als die Übernahme von Whatsapp durch Facebook angekündigt wurde, war das Geschrei von Leuten groß, sie würden sich jetzt endgültig von Whatsapp verabschieden und auf einen verschlüsselten Messenger wechseln.
Passiert ist genau das, was einige Leute schon prophezeit haben: Die breite Masse nutzt weiterhin Whatsapp, es gibt einige alternative Messenger (Telegram, Threema, TextSecure...), die eine gewisse Populatität gewonnen haben und das wars. Ich habe mittlerweile (wenn man den FB-Messenger mitrechnet) sieben Messenger auf dem Telefon instaliert und das nur wegen jeweils ein oder zwei Personen. Der Witz ist übrigens, dass diese Personen alle genau dasselbe Problem haben, sie haben also alle ebenfalls noch Whatsapp.

Bei Telegram kommt übrigens noch dazu, dass dort die verschlüsselten Konversationen nicht ewig funktionieren - wenn ich mit jemandem verschlüsselt schreibe und dann ein oder zwei Monate Pause mache, funktioniert der verschlüsselte Chat anschließend nicht mehr. Das Problem gibt es bei Threema zwar nicht, aber da kostet die App eben, was auch wieder etliche Leute abschreckt.
 
Von meinem Adressbuch haben inzwischen mit gut 100 Kontakten mehr Leute Threema als die knapp 90 Leute, die mein WhatsApp darin findet. :thumbsup:
Ich hab daher auch nur WhatsApp und Threema drauf, weitere Messenger nutze ich nicht. Da wird sonst auch nur der RAM meines Smartphones knapp. Inzwischen kann man auch wirklich überlegen, WhatsApp loszuwerden :)

Das mit den Kosten für Threema verstehe ich ja immer nicht. Erstens: Irgendwo drüber muss sich ein Dienst ja finanzieren, das finde ich bei "kostenlosen" Diensten immer suspekt. Da hab ich das Gefühl, dass der Kunde auch gleich die Ware ist und eventuell Metadaten oder App-Nutzungsdaten erhoben und verkauft werden... Außerdem kostet Threema AFAIK weniger als 2 oder 3 Jahre WhatsApp. Und auch weniger, als ein einziges Drink in der Bar/Disco/... Das gibt man auch ohne zu zögern für einen Freund aus, aber sich eine App in der Preiskategorie zu kaufen, schreckt die Leute ab. Tja, aber was hilfts ^^
 
Von meinem Adressbuch haben inzwischen mit gut 100 Kontakten mehr Leute Threema als die knapp 90 Leute, die mein WhatsApp darin findet. :thumbsup:
Ich habe 9 Leute bei Threema, 5 davon inaktiv. 6 bei Telegram, 5 davon aktiv. 2 bei Textsecure, einer davon aktiv. WA nutze ich nicht. Bei 53 Kontakten mit Smartphone ist das sehr armselig.

Da wird sonst auch nur der RAM meines Smartphones knapp. Inzwischen kann man auch wirklich überlegen, WhatsApp loszuwerden :)
Wenn die Apps ordnungsgemäß GCM nutzen, sollte das keinen Unterschied machen. Bei Telegram kann man das einstellen oder auf einen eigenen Push Dienst zurückgreifen - praktisch für googlefreie Handys.
 
Wenn die Apps ordnungsgemäß GCM nutzen, sollte das keinen Unterschied machen. Bei Telegram kann man das einstellen oder auf einen eigenen Push Dienst zurückgreifen - praktisch für googlefreie Handys.

Das kann ich so nicht bestätigen:
Screenshot_2015-03-25-14-57-11.png

Wie man sieht, ziehen die Apps (hier Threema und WhatsApp) auch dann noch RAM, wenn sie nicht aktiv sind. Skype war hier lange Zeit Spitzenreiter mit 85-90MB RAM, was auf meinem damaligen Handy mit 512MB (von denen nur ca. 390MB für System und Apps zur Verfügung standen, da der Rest für die Hardware reserviert war) ziemlich "Spaß" machte... Zum Glück hat sich das verändert ^^
 
Das sind gerade auch die negativ-Beispiele schlechthin. Versuchs mit Telegram oder Textsecure, die werden immer von den Google Diensten geweckt und bis dahin sind die nicht aktiv.

Achja, ich nutze auch seit einiger Zeit kein Textsecure und kein Threema mehr, gerade da defakto keiner aktiv ist und ich nicht extra deswegen die Google Dienste laufen haben möchte - wobei Threema ja auch pollen kann?

Hat mal jemand conversations benutzt? Ist ein klasse xmpp Client, der bei mir überhaupt nicht beim Akkuverbrauch auffällt. Habe den natürlich über google play gekauft vor einiger Zeit und per F-Droid geladen. Ein Summer of Code Projekt ist es, dass dafür das axolotl Protokoll von Textsecure implementiert wird, neben der vorhanden Unterstützung für PGP und OTR.
 
Zuletzt bearbeitet:
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben