News Messenger: Threema ist seit heute fast vollständig Open Source

[Sanco]

Wenn ich den Playstore über den Pc besuche kriege ich einen Preis von 1,49$ angezeigt aber ich kann die App nicht kaufen/installieren da das Feld "ausgegraut" ist. Übers Handy kann ich se zum Preis von 1,99€ kaufen.

 

[grill]

Wer mich erreichen möchte soll Threema nutzen oder anrufen, dazwischen gab es nie etwas anderes.

Der Nächste: Wer mich erreichen möchte soll Matrix nutzen oder mich anrufen.
Der Nächste: Wer mich erreichen möchte soll Telegram nutzen oder mich anrufen.
Der Nächste: Wer mich erreichen möchte soll Signal nutzen oder mich anrufen.

Verstehst du das Problem?

 

[Otsy]

Was bringt eine WhatsApp Alternative wenn sie keiner meiner Kontakte nutzt

Was bringt deinen Kontakten eine WhatsApp-Alternative, wenn du sie nicht nutzt? Das traditionelle Henne-Ei-Problem.

 

[KitKat::new()]

Verstehst du das Problem?

Bei Matrix nicht, weil das Protokoll theoretisch jeder Messenger unterstützen kann

 

[ThePlayer]

Am Anfang hieß es, es wäre ein Jahr kostenlos und dann 99 Cent im Jahr. Die haben sie aber bei mir und vielen anderen nie eingefordert.

Ich habe 1x dafür 1 Euro gezahlt. Seit dem auch nie wieder. Naja aber ob 1, 2 oder 4 Euro einmalig für eine App ist wenig. Und er das als Grund nennt es nicht einzusetzen dem ist nicht mehr zu helfen.

 

[grill]

weil das Protokoll theoretisch jeder Messenger unterstützen

Allerdings macht das Verfahren den Massanger zu einer Totgeburt für jeden Ottonormalo.
https://matrix.org/docs/guides/whatsapp-bridging-mautrix-whatsapp

 

[Vexz]

Der Nächste: Wer mich erreichen möchte soll Matrix nutzen oder mich anrufen.
Der Nächste: Wer mich erreichen möchte soll Telegram nutzen oder mich anrufen.
Der Nächste: Wer mich erreichen möchte soll Signal nutzen oder mich anrufen.

Verstehst du das Problem?

Klar ist das ein Problem, aber Daten an Facebook hergeben und einfach WA nutzen wie fast jeder, will eben nicht jeder. Manche Leute legen einfach Wert auf Datenschutz, weshalb man lieber zu Matrix oder Signal greift. Muss jeder für sich selbst entscheiden und mit der Entscheidung leben.

 

[KitKat::new()]

@grill Dieses "Verfahren" braucht man nur, wenn der Messenger Matrix nicht unterstützt.
z.B. WhatsApp unterstützt Matrix nicht, wenn man also WhatsApp Chats in Matrix haben möchte, muss man eine umständliche Drittanbieter-Bridge nutzen.

 

[AW4]

"Vollständig" - bis auf den Server...

Was ja kein Problem ist.

Das ist sehr wohl ein Problem.
Ein OpenSource-Server böte zum einen die Möglichkeit für breiteres Review des Codes, zum andern aber auch das Nachstellen und Untersuchen von Szenarien auf eigener Infrastruktur.
Aber selbst, wenn der auch OpenSource wäre... ein "fremder" Server (= nicht deiner, worüber du volle Kontrolle hast) ist immer ein Problem. (Auch bei OpenSource kann man vorm Erzeugen der Binaries beliebige Änderungen vornehmen, die ihren Weg niemals in den OpenSource-Zweig finden werden. Traue keiner Software, die du nicht selbst geschrieben UND kompiliert hast!)

Threema macht zu dem Server nen Crypto-Tunnel auf. [...]

Ja gut. Das hilft dir jetzt aber nichts, wenn du dem Server nicht trauen kannst...
Dein Client erzeugt ein Private-Public-Key-Pair, behält den privaten, mit dem verschlüsselt und entschlüsselt werden kann und schickt den öffentlichen, mit dem nur verschlüsselt werden kann, zum Server.
Wenn dir jetzt jemand eine Nachricht schickt, wird beim Server nach deinem öffentlichen Schlüssel gefragt, die Nachricht damit lokal beim Sender verschlüsselt und die verschlüsselte Nachricht an den Server geschickt.
Der Server schaut jetzt nach, welche Geräte von dir online sind und verschickt die verschlüsselte Nachricht.
Deine Clients entschlüsseln dann die Nachricht lokal mit dem privaten Schlüssel und zeigen sie für dich lesbar an.

Soweit so eigentlich gut.
Das Problem ist hier jetzt: Deine Clients sehen nur das was der Server ihnen zeigt.
Es läuft alles über den Server!
Zu keinem Zeitpunkt findet ein direkter Austausch zwischen deinen Clients und den Clients des Absenders statt.
Das heißt, dass der Server effektiv als Man-In-The-Middle agieren kann.
Er könnte zu jeder Zeit (auch ohne Scherereien mit den Schlüsseln) Nachrichten blockieren/vorenthalten oder aber (nur mit Scherereien mit den Schlüsseln) mitlesen, Texte verändern oder/und ersetzen, oder niemals vom Gesprächspartner verfasste Nachrichten zustellen.

Abhilfe kann da nur der händische Abgleich der Fingerprints der Public-Keys deiner Kontakte liefern. (Ausgenommen das Blockieren von Nachrichten, das geht immer.)
...aber wer macht sowas schon und dann auch noch konsequent?

Das gesagt:
Jedes Messaging-Konzept, das nicht von Grund auf direkt auf Client-zu-Client-Kommunikation (P2P) setzt, ist immer automatisch anfällig für Man-In-The-Middle-Attacken.

 

[modena.ch]

Hashen ist übrigens kein Sicherheitsgewinn/wirksame Verschleierung der Telefonnummern

Der Hash ist TLS verschlüsselt.

 

[KitKat::new()]

Jedes Messaging-Konzept, das nicht von Grund auf direkt auf Client-zu-Client-Kommunikation (P2P) setzt, ist immer automatisch anfällig für Man-In-The-Middle-Attacken.

Inwiefern ist P2P da ausgenommen?
Bei P2P kann sich genauso ein MITM einschleußen.

Der Hash ist TLS verschlüsselt.

Und diese Verschlüsselung wird am Server aufgelöst
Wenn du nicht willst, dass Threema an deine Kontakte im Addressbuch kommt, solltest du diese ganz einfach nicht hochladen.

 

[V3nDr4r]

Kostet Geld. Nutzt keiner, den ich kenne. Werden auch die meisten nie anfassen, weil es Geld kostet.

So ist es bei mir im Freundes- und Bekanntenkreis auch. Die meisten nutzen WhatsApp, weil man es "kennt" und die meisten es nutzen. Ich benutze ansonsten auch Telegram.

 

[modena.ch]

Und diese Verschlüsselung wird am Server aufgelöst
Wenn du nicht willst, dass Threema an deine Kontakte im Addressbuch kommt, solltest du diese ganz einfach nicht hochladen.

Muss wohl aufgelöst werden, ja.

Laut Threema befinden sie diese Telefonnummern niemals ausserhalb des Rams des Servers
und werden nach Abgleich gelöscht.

Daher muss man vertrauen, bis zum nächsten Audit, welches dann nur für die
dann aktuelle Version gilt.

Aber wie gesagt, diese Funktion ist rein optional und muss nicht verwendet werden.

 

[AW4]

Inwiefern ist P2P da ausgenommen?
Bei P2P kann sich genauso ein MITM einschleußen.

Ist es nicht, aber das habe ich auch nicht geschrieben.
Bei P2P hast du zumindest eine Chance MITM zu vermeiden, bzw. einzuschränken.
Bei Kommunikation über einen Server hast du schlicht keinerlei Chance mehr. Da ist der Mann in der Mitte faktisch fest eingebaut.

 

[KitKat::new()]

Ist es nicht, aber das habe ich auch nicht geschrieben.

Las sich für mich stark impliziert

Bei P2P hast du zumindest eine Chance MITM zu vermeiden, bzw. einzuschränken.

ja, z.B. via Verifizierung

Bei Kommunikation über einen Server hast du schlicht keinerlei Chancen. Da ist der Mann in der Mitte faktisch fest eingebaut.

Verifizierung (bei Threema, Matrix, Signal nicht mehr als Emojis zu vergleichen oder einen QR-Code zu scannen) als keinerlei Chancen zu bezeichnen, halte ich für sehr sehr übertrieben.

 

[BrollyLSSJ]

Danke für die News. Wegen dem Open Source Gedanken habe ich mal die 2 EUR investiert. Nutzt zwar keiner meiner Kollegen, aber haben ist besser als brauchen ;-). Signal habe ich aber schon seit einigen Monaten (oder Jahren) installiert. Das nutzen auch kaum welche.

 

[DJMadMax]

Nö, nicht wirklich. Ich würde es gerne testen aber ich gebe kein Geld aus nur um etwas zu testen, was am Ende evtl. nicht meinen Erwartungen entspricht. Dazu kommt solange im Freundeskreis nicht eine Kritische Masse da ist bringt die beste Software der Welt nichts wenn sie keiner nutzt.

Jau! Und weil jeder so denkt, ist die Welt heute genau so, wie sie ist. Menschen sind einfach furchtbar primitiv.

 

[###Zaunpfahl###]

Danke für die News. Wegen dem Open Source Gedanken habe ich mal die 2 EUR investiert. Nutzt zwar keiner meiner Kollegen, aber haben ist besser als brauchen ;-). Signal habe ich aber schon seit einigen Monaten (oder Jahren) installiert. Das nutzen auch kaum welche.

Ich will jetzt nich anprangern, aber allgemein finde ich das sehr Interessant.
Mich würde wirklich Interessieren ob du für Signal auch schon einmal gespendet hast?

Ich mein Signal ist wirklich vollständig Open Source und überall gratis, Threema nicht. Signal kann man eben nicht kaufen.

 

[BrollyLSSJ]

@###Zaunpfahl###
Ja, aber auch nur 5 EUR. Ist aber schon länger her.

 

[Mort626]

Warum benutzt keiner Wire alles Opensource also auch server und kostenlos und man braucht keine Telefonnummer angeben um sich zu registrieren weiterer Vorteil.

Man muss auch bei Threema keine Telefonnummer angeben.

Ergänzung (22. Dezember 2020)

Ne, eher absolut unsicher. Eine App zeigt dir irgendwelche Bildchen an, die angeblich den Fingerprint repräsentieren. Ob das stimmt? Kannst du nicht wissen. Ob vom Server noch kurz per MITM ein anderer Key untergeschoben wurde, so dass der Mitteslman mitlesen kann? Weißt du auch nicht.

Wird nicht passieren. Threema überprüft, ob der Schlüssel vom Server mit dem Schlüssel aus dem QR-Code übereinstimmt.

Ergänzung (22. Dezember 2020)

Echt jetzt? Wegen 2-3€ (jetzt in der Aktion)?
Wo hast du schon mal mehr Geld liegen lassen? Ich hoffe du hast kein neues oder ein Jahr altes Handy gekauft , sonst hast du dort nämlich hunderte € liegen lassen...wenn du dir 2-3€ nicht leisten möchtest.

Versteh dieses Test-Fetish auch nicht. Ich glaube er will nur partout einen Grund, es nicht benutzen zu müssen. Fast als gäbe es nicht etliche (kostenlose!) Vergleichsberichte...