Threema ist ab sofort Open-Source

Jan Gruber

Chefredakteur Magazin und Podcasts
AT Administration
AT Redaktion
Mitglied seit
01.11.16
Beiträge
10.369


Jan Gruber
Ein wichtiger und interessanter Schritt in Sachen Sicherheit und Offenheit den der Schweizer Messenger Threema heute vollzogen hat. Ab heute liegt der Quellcode offen vor, damit wird die Anwendung Open Source.

Populär wurde der Messenger vor allem im Rahmen der Snowden-Enthüllungen im Jahr 2013, damals wurde die App von knapp 50.000 Leuten genutzt. Heute sind wir bei acht Millionen. Kern der Anwendung ist die End-zu-End-Verschlüsselung, ähnlich wie bei Signal und Wire. Im Vergleich zu diesen Apps hatte Threema aber einen wesentlichen Kritikpunkt: Der Quellcode konnte nicht eingesehen werden.
Threema ab sofort Open-Source


Seit dem heute liegt der Quellcode nun vollständig vor. So teilt das Unternehmen mit:
Threemas kryptographische Verfahren sind seit jeher umfassend dokumentiert, die korrekte Anwendung der Verschlüsselung liess sich immer schon selbständig nachprüfen, und externe Audits haben die Sicherheit des Systems wiederholt bestätigt.

Jetzt gehen wir noch einen Schritt weiter. Um volle Transparenz zu schaffen und auch noch die leisesten Zweifel auszuräumen, ist der gesamte Quellcode der Threema-Apps ab sofort öffentlich einsehbar. Der Code unterliegt der AGPLv3-Lizenz, und dank Reproducible Builds lässt sich (vorerst unter Android) verifizieren, dass er mit dem übereinstimmt, welcher den Apps in den Verkaufsplattformen zugrunde liegt.
Aktuell gibt es den Messenger, zur Feier des Schritts, mit 50 Prozent Rabatt. Mit Threema Web gibt es eine Möglichkeit den Messenger auch auf dem Mac zu nutzen.

[appbox appstore id578665578]

Via Company Blog

Den Artikel im Magazin lesen.
 

Benutzer 239155

Gast
OpenSource hat mit Sicherheit zunächst mal nur am Rande zu tun. Kein Produkt wird sicherer, nur weil es Open Source ist. Allerdings können mehr Leute nach Sicherheitsproblemen suchen, wodurch die Sicherheit tendenziell eher verbessert werden kann.

Allerdings ist ein Threema-Client aus den Quellen, nach ersten Tests, bestenfalls eingeschränkt brauchbar. Beispielsweise lässt sich mit einem eigenen Build wohl keine Threema-ID generieren. Ich muss also doch noch das Paket aus dem jeweiligen App Store installieren. Bei iOS gibt es ohnehin keine Alternative. Damit wird Open Source ad Absurdum geführt, denn ich kann wieder nicht davon ausgehen, dass bei mir das installiert ist, was ich in den Quellen gesehen habe.

Bis jetzt ist zudem nur der Client Open Source. Der Server ist es nicht. Man kann sich also kein eigenes System bauen. Aber selbst wenn auch der Server Open Source werden sollte, ist das noch lange nicht gut. Das sieht man am Beispiel Signal.

Nicht, dass ich falsch verstanden werde!
Threema und SIgnal sind die derzeit besten Instant Messenger, innerhalb der geschlossenen Systeme. Ich vermisse aber die Verbreitung von Jabber/XMPP mit OMEMO. Für iOS gibt es nicht einen wirklich funktionierenden Client. Ich habe ChatSecure, Monal und Siskin IM ausprobiert (teilweise seit 2016). Bei allen ist spätestens in verschlüsselten Gruppen Schluß. Benachrichtigungen kommen nicht an oder gleich zig-fach. Es kommen Benachrichtigungen, aber die Nachricht selbst kommt nicht. Da frage ich mich, sind die iOS-Entwickler alles solche Versager oder schmeißt Apple Knüppel zwischen die Beine?
 

Sequoia

Swiss flyer
Mitglied seit
03.12.08
Beiträge
10.672
Threema ist nicht schlecht, und dass es Open Source wird, ist ein guter Schritt. Wobei es hier nur den Client, nicht das Protokoll betrifft.
Das Protokoll von Threema ist sicher auch nicht schlecht, aber, und das ist ein großer Haken, garantiert es keine Perfect Forward Secrecy.
Das verhindert, dass zukünftig niemand den Schlüssel vom Handy stehlen kann, und somit die gesamte Kommunikation entschlüsseln kann. Zugegeben, das Szenario ist sehr weit her geholt, aber eine Implementierung wäre ein Leichtes und es ist umso erstaunlicher, dass Threema das nicht im Protokoll verankert hat.

Signal ist super, hat aber das große Problem, wie viele andere Messenger auch, dass es dem kommenden Fyve-Eyes-Gsetz unterliegt. In Australien ist Dies z.B. schon gültig.

Telegram ist in Verruf geraten, dass es ein Cloud-Messenger ist, und somit nicht End-To-End-Verschlüsselt. Soviel Vordergründig. Aber, und das wird in dem Zusammenhang nie publiziert: die Übertragung zum Cloud-Server erfolgt verschlüsselt. Die Daten liegen stark fragmentiert auf verschiedenen Servern weltweit. Diese zusammenzufügen ist aufwändig. Der Vorteil der Fragmentierung liegt darin, dass lokale Gesetzesänderungen in diversen Ländern somit keinen Einfluss darauf haben, dass ganze Nachrichten rekonstruiert werden können.
Somit, das ist mein Fazit aus tiefergehender Beschäftigung mit dem Thema, scheint Telegram den aktuell besseren Ansatz zu haben, zumindest war den Zugriff von Behörden auf Daten betrifft.
 
  • Like
Wertungen: 10tacle

Benutzer 239155

Gast
Die Daten liegen stark fragmentiert auf verschiedenen Servern weltweit.
Ja! Sogar verschlüsselt. Aber genau das ist der Designfehler! Die Schlüssel sind in der Hand von Telegram! Dort haben sie nichts zu suchen. Schlüssel gehören ausschließlich in die Hände des jeweiligen Nutzers.

Diese zusammenzufügen ist aufwändig.
Das Zusammenfügen erfolgt mit jeder Nutzung von Telegram. Wenn der Algorithmus bekannt ist, ist nichts mehr aufwändig.

Der Vorteil der Fragmentierung liegt darin, dass lokale Gesetzesänderungen in diversen Ländern somit keinen Einfluss darauf haben, dass ganze Nachrichten rekonstruiert werden können.
Unsinn! Wenn ich aus Deutschland Telegram nutze und meine Daten auf Servern in den USA, Russland, China, Indien und Australien verteilt sind, können sie auch aus Deutschland rekonstruiert werden. Sonst würde ich Telegram ja selbst nicht nutzen können.

Somit, das ist mein Fazit aus tiefergehender Beschäftigung mit dem Thema, scheint Telegram den aktuell besseren Ansatz zu haben, zumindest war den Zugriff von Behörden auf Daten betrifft.
Bei tiefergreifender Beschäftigung, wird Telegram immer unsicherer. Im Grunde sind Geheimdienste froh, dass der IS so gerne Telegram genutzt hat und die Aktion von Russland gegen Telegram war eine Nebelkerze.
 

MichaNbg

Prinz Albrecht von Preußen
Mitglied seit
17.10.16
Beiträge
5.840
Letzteres.

Sogar WhatsApp ist in gewisser Weise „sicherer“ als Telegram. Auch wenn nicht immer transparent für den Anwender. Die Mehrheit glaubt ja auch, dass Daten bei Apple e2e verschlüsselt wären und Apple keinen Zugriff auf ihre Backups und iCloud sagen hätte.
 

Sequoia

Swiss flyer
Mitglied seit
03.12.08
Beiträge
10.672
Das ist leider nicht gänzlich richtig.
Du kannst hier die FAQ ein mal durchlesen. Dort ist schon viel zum Protokoll und der Verschlüsselung geschrieben. https://core.telegram.org/techfaq#q-i-39m-a-security-expert-and-i-think-your-protocol-is-not-secur
Zudem ist es bisher keinem Geheimdienst (zumindest, was man nach Recherche herausfindet), gelungen, telegram zu entschlüsseln.
Vor zwei Jahren hat das BKA Nutzer bei Telegram infiltrieren können. Das lag allerdings einzig daran, dass kein Passwort zur 2FA vergeben wurde und die Bestätigungsmail-SMS abgegriffen wurde.

Zudem wird die reine Art der Verschlüsselung zwar richtigerweise thematisiert, aber das ist nicht alles. Denn viel wichtiger und gefährlicher für den normalen Nutzer ist nicht, dass jemand die Nachrichten lesen muss, sondern zum Thema Datenschutz die Erfassung der Metadaten.
Es wird einem doch immer suggeriert, dass End-To-End-Verschlüsselung das A und O ist. Ist es eben nicht. Das A und O für den normalen Nutzer sind sie Metadaten, die abgegriffen werden können. Und das betreibt bekanntlich Facebook mit bravuröser Exzellenz.

Was und wie bei Apple verschlüsselt wird, kann man ganz transparent hier nachlesen:
 
  • Like
Wertungen: dg2rbf

Benutzer 239155

Gast
Zudem ist es bisher keinem Geheimdienst (zumindest, was man nach Recherche herausfindet), gelungen, telegram zu entschlüsseln.
Da solltest Du Dir nicht so sicher sein! Besonders die Israelis sollten nicht unterschätzt werden und die gehören zu unseren Partnern. Also sind sie auch Partner des BND.

Was und wie bei Apple verschlüsselt wird, kann man ganz transparent hier nachlesen:
Nicht iCloud Drive und iCloud Fotos mit iCloud als Zwischenspeicher für nicht sofort zustellbare Nachrichten aus iMessage vermischen!

Aber wir weichen ab. Mir ging es nur darum, Telegram als das beste Konzept darzustellen. Das ist es nicht.
 
  • Like
Wertungen: Mure77

Mure77

Moderator
AT Moderation
Mitglied seit
25.06.07
Beiträge
10.225
Ich sehe meine Daten nirgendwo sicher, eine Wahl hat man heute leider nicht mehr, mach mit oder isoliere dich sozial, das ist leider der Lauf der Dinge. Das war aber auch alles abzusehen.
 
  • Like
Wertungen: dg2rbf

Benutzer 239155

Gast
Ich sehe meine Daten nirgendwo sicher, eine Wahl hat man heute leider nicht mehr, mach mit oder isoliere dich sozial, das ist leider der Lauf der Dinge. Das war aber auch alles abzusehen.
Das ist ein Totschlagargument. Damit könnte man auch blindlinks über die Straße laufen, denn der Straßenverkehr ist auch nicht sicher.

Es geht nie um absolute Sicherheit, die soclhe Aussagen wie von Dir beinhalten. Es kann immer nur um Risikominimierung geben. Was das angeht, sind die Konzepte von Telegram Nebelkerzen, die letztendlich die Leute für dumm verkaufen.

Datensicherheit wird von aller Welt benutzt, aber mir zeigen die Diskussionen, dass den wenigsten bewusst ist, welche Aspekte dabei betroffen sind und welche Lücken die verschiedenen Systeme beinhalten und man darf nie einen Aspekt für sich alleine sehen. Es sprengt leider diesen Thread, wen ich dazu detaillierter schreibe.
 
  • Like
Wertungen: rootie

Mure77

Moderator
AT Moderation
Mitglied seit
25.06.07
Beiträge
10.225
Das ist ein Totschlagargument. Damit könnte man auch blindlinks über die Straße laufen, denn der Straßenverkehr ist auch nicht sicher.

Es geht nie um absolute Sicherheit, die soclhe Aussagen wie von Dir beinhalten. Es kann immer nur um Risikominimierung geben. Was das angeht, sind die Konzepte von Telegram Nebelkerzen, die letztendlich die Leute für dumm verkaufen.

Datensicherheit wird von aller Welt benutzt, aber mir zeigen die Diskussionen, dass den wenigsten bewusst ist, welche Aspekte dabei betroffen sind und welche Lücken die verschiedenen Systeme beinhalten und man darf nie einen Aspekt für sich alleine sehen. Es sprengt leider diesen Thread, wen ich dazu detaillierter schreibe.
Ich will nichts totschlagen, ich halte Telegram auch für Müll, deswegen bin ich nicht dort. Wenn man jemanden tracken will dann wird man ihn tracken können, zumindest von staatlicher Seite aus. So lange man keinen Mist macht ist man eh unter dem Radar.
 

Benutzer 239155

Gast
Ich habe Dich aus dem Kontext des Threadverlaufs genauso verstanden. So eine Aussage wie von Dir höre ich nur allzu oft, um alles mögliche zu rechtfertigen und daher habe ich sie für die kommentiert, die den Kontext nicht lesen.

Auch "man sei unter dem Radar" ist so nicht richtig. Seit Snowden weiß man, dass es keine zielgerichtete Überwachung mehr gibt. Vielmehr wird einfach alles abgehört, in der Hoffnung, es irgendwann mal brauchen oder entschlüsseln zu können und dann kann man durch blöde Zufälle von irgendeiner sogenannten KI ganz schnell auf das Radar kommen.

Deshalb halte ich maximale Datensparsamkeit und maximale Transparenz für essentiell. Am besten noch föderativ organisiert, so wie es das ganze Internet ist, aber kaum ein Instant Messenger oder soziales Netzwerk.
 
Zuletzt bearbeitet von einem Moderator:

Mure77

Moderator
AT Moderation
Mitglied seit
25.06.07
Beiträge
10.225
Ich habe Dich genauso verstanden. so eine Aussage wie von Dir höre ich nur allzu oft, um alles mögliche zu rechtfertigen.

Auch "man sei unter dem Radar" ist so nicht richtig. Seit Snowden weiß man, dass es keine zielgerichtete Überwachung mehr gibt. Vielmehr wird einfach alles abgehört, in der Hoffnung, es irgendwann mal brauchen oder entschlüsseln zu können und dann kann man durch blöde Zufälle von irgendeiner sogenannten KI ganz schnell auf das Radar kommen.

Deshalb halte ich maximale Datensparsamkeit und maximale Transparenz für essentiell. Am besten noch föderativ organisiert, so wie es das ganze Internet ist, aber kaum ein Instant Messenger oder soziales Netzwerk.
Ich rechtfertige nichts. Ich sage nur man kann sich dagegen nicht mehr wehren, außer man isoliert sich sozial, diese ganzen Daten und Messenger und Geräte gehören halt leider mittlerweile einfach dazu. Es geht auch ohne, klar. Wir geschrieben, es führt über kurz oder lang in die Isolation.

Das soll nichts beschönigen oder als egal abwinken, es ist halt einfach so. Mir passt auch so vieles nicht, auch bei Apple.
 

Benutzer 239155

Gast
Ich habe nicht geschrieben, dass Du etwas rechtfertigst, sondern dass man mit so pauschalen Aussagen alles mögliche rechtfertigen kann und dass das auch von sehr vielen gemacht wird.

Ich bin auch mit der Aussage nicht einverstanden, man könne sich nicht wehren. Erstens zeugt das von einer gewissen Resignation und führt wiederum dazu, dass man für sich alles mögliche rechtfertigt, nur um sich angeblich nicht zu isolieren. Und zweitens kann man sich sehr wohl wehren und seine Spuren minimieren. Das geht sogar oft ohne Qualitätseinbußen, wie Threema und Signal beweisen und die kritikwürdigen Reste sogar auch noch besser machen.

Dagegen gibt es andere, die mit Pseudosicherheit werben, in Wirklichkeit aber die Nutzer dazu bringen Daten preiszugeben, die sie in anderen Lebensbereichen nicht herausgeben würden. Oder wer wäre bereit, vom Supermarkt sein Adressbuch kopieren zu lassen?
 
Zuletzt bearbeitet von einem Moderator:
  • Like
Wertungen: Mure77 und rootie

jensche

Roter Astrachan
Mitglied seit
27.10.04
Beiträge
6.341
Welcher Messenger ist nun gut?

Ich wollte heute Signal testen. Den scheinen ja alle zu empfehlen. Jedoch ist dort das ganze System kacke. Verifikatikons SMS kommen extrem verzögert an und auch kann man sich nicht anrufen lassen für den Code. Also gute Idee. Scheisse umgesetzt. Also Total Fail.


Also letztendlich doch bei Whats App bleiben?
 

Anhänge:

Sequoia

Swiss flyer
Mitglied seit
03.12.08
Beiträge
10.672
Threema...
Wobei man bei Telegram sagen muss, dass "Rechtliche Zuständigkeit" ja gerade grün sein müsste. Denn das ist ja eben der Punkt. Wechselnd, ohne Firmensitz. Daher kann auch nicht ein Staat Einfluss nehmen.

Wobei ich bei Signal keine Probleme in irgendeiner Art hatte.
Das läuft auch super. Leider zu unbekannt. Und eben rechtliche Zuständigkeit USA (Hinweis auf Five Eyes).
 
Zuletzt bearbeitet:
  • Like
Wertungen: Mure77