News Messenger: Threema ist seit heute fast vollständig Open Source

[SVΞN]

Artikel-Update: Server bleibt weiterhin proprietär
Wie aus den Open-Source-Dokumentationen von Threema hervorgeht, sind zwar die Clients für Android und iOS sowie einige der benötigten Schnittstellen des Messengers in der Zwischenzeit quelloffen, der Server hingegen ist allerdings – anders als beispielsweise bei Signal oder Wire – nach wie vor proprietär ausgelegt.

Der Instant-Messenger Threema ist somit nur „fast“ vollständig Open Source, weshalb der Autor den Titel dieser Meldung entsprechend angepasst hat.

Die Redaktion bedankt sich für die zahlreichen Hinweise aus der Community, die zu diesem Update geführt haben.

 

[Svartpilen]

Ich würde einen Client für Desktop-Rechner begrüßen. Bei mir läuft die Weboberfläche sehr junky.

 

[je87]

Du meinst, es lag mehrheitlich an den Kosten?

Es ist Jahre her. Aber das "Argument" wurde auf jeden Fall oft genannt.

 

[xammu]

Februar 2014

Damals wars schon Mainstream
kam im Dezember 2012 raus und ich bin sein Juni 2013 dabei

 

[N_O_K_I_A]

Okay, dann bin ich doch uncool.
Danke für den Hinweis

 

[Warrior_DD]

Was ist der Mehrwert von Whats App darauf zu wechseln? Ziemlich jeder hat Whatsapp den ich kenne, keiner andere Messenger.

 

[Autokiller677]

Das mit dem Datenschutz (einige sprechen ja dabei von Verschlüsselung) hat sich doch sowieso bald. Ich hab noch nicht danach geschaut, Bekannter rief mich aber die Tage wutentbrannt an und sagte, dass die EU wohl ein Gesetzt verabschiedet hat indem es heißt, dass auch hier in die Verschlüsselungen "Hintertüren" eingebaut werden sollen / müssen.

Das Gesetz sieht für mich eher so aus, als dass der NDB mit Befugnissen ausgestattet wurde, die sie im Ausland alle längst schon haben. Davon ab mit diversen Kontrollinstanzen ausgestattet ist der Schweizer Nachrichichtendienst massiv besser unter Kontrolle als z.B. der Deutsche.
Dort würd ich mir mehr Sorgen machen.

Weiterhin bei 10 dieser Überwachungsanfragen pro Jahr, die von Richtern genehmigt werden müssen,
ist das alles Andere als eine Massenüberwachung.

Ne, hier geht es nicht um Sachen, die im Ausland längst möglich sind, siehe hier: https://www.heise.de/news/Crypto-Wa...n-Resolution-zu-Entschluesselung-4988717.html
Es geht knallhart darum, dass man Messenger Nachrichten mitlesen können will, auch ohne ein Endgerät zu kontrollieren. Und das geht nur mit einem Generallschlüssel für die E2EE, die damit wirkungslos ist.

"Ende-zu-Ende-Verschlüsselung stelle ein "ernsthaftes Risiko für die öffentliche Sicherheit" dar"
https://www.heise.de/hintergrund/Mi...sichere-Verschluesselung-4967574.html?seite=5

Man sieht also, woher der Wind weht.
Im Ausland träumen auch viele seit Jahren von sowas, insbesondere die Five Eyes.

Und was die Überwachungsanfragen angeht - anfangs war in dem Entwurf noch von den Strafverfolgung und Justiz die Rede. Dann hat man den Terroranschlag von Wien genutzt, um das durch "Competent Authorities" zu ersetzen - damit sind dann wahrscheinlich auch die Geheimdienste eingeschlossen (https://www.heise.de/hintergrund/EU-Regierungen-planen-Verbot-sicherer-Verschluesselung-4951415.html). Und gerade dort lehrt uns die Vergangenheit ja, dass die am liebsten alles & immer abhören, und sicher versuchen werden, sich um die Anfragen zu drücken oder irgendwie eine General-Genehmigung zu bekommen.

Familie und etwa ein Drittel meiner Kontakte nutzt es. Bin sehr zufrieden! Der Einmalpreis ist lächerlich, das ist kein Hinderungsgrund.

Kannst du so sehen, dann ignorierst du aber, dass es psychologisch eine große Hürde ist und die Makrtdurchdringung massiv behindern kann.

Viele Leute haben auch einfach keine Zahlungsmittel im App / PlayStore hinterlegt, weil sie nicht aus versehen was kaufen wollen oder so.

Man kann die Telefonnummern gehasht und TLS verschlüsselt auf dem Server hochladen, dort werden sie mit den Threema IDs verglichen welche du dann abgeglichen bekommst und danach wird das Ganze aus dem Ram des Servers gelöscht und nie gespeichert. Ist aber optional.

Da aber manche / viele meiner Kontakte ihre Nummer dann nicht hochgeladen habe, bringt das doch nix oder? Die finde ich dann ja nicht. Also alles Käse, wenn man schnell feststellen will, mit wem man da jetzt schreiben kann. Stattdessen muss ich jeden Kontakt über einen anderen Kanal anfragen, ob er so eine ID hat...

 

[shinXdxd]

Oder gibt es einen Grund, diesen Anbietern mehr Vertrauen zu schenken?

Bei Signal und Matrix ist auch der Server-Code Quelloffen. Bei Threema nur der Klient.

 

[kachiri]

Bei Signal und Matrix ist auch der Server-Code Quelloffen. Bei Threema nur der Klient.

Warum ist "Quelloffen" eigentlich ein Sicherheitsmerkmal? Mag sein, dass ich dann genau weiß, wie der Anbieter arbeitet und er hält, was er verspricht. Gleichzeitig weiß auch jeder Angreifer, welche Lücken er ggfs. ausnutzen könnte

 

[AncapDude]

Hab alle alternativen Messenger drauf und was wird genutzt? WhatsApp. Die Masse kriegt man nicht umgezogen.

 

[Autokiller677]

Warum ist "Quelloffen" eigentlich ein Sicherheitsmerkmal? Mag sein, dass ich dann genau weiß, wie der Anbieter arbeitet und er hält, was er verspricht. Gleichzeitig weiß auch jeder Angreifer, welche Lücken er ggfs. ausnutzen könnte

Du (oder andere) können den Code prüfen & sicherstellen, dass keine Hintertüren drin sind.
Falls der Hersteller die Entwicklung irgendwann mal aufgibt, können andere weitermachen.

Lücken finden Angreifer auch so (und normalerweise nicht durch Code-anschauen, sondern durch ausprobieren). "Security by obfuscation" - also Geheimhaltung des Codes und andere Maßnahmen - funktioniert nicht, und ist schon so häufig krachend gescheitert, dass das heute niemand mehr macht, der ein bisschen von Sicherheit versteht.

Man kann Gründe haben, ein Programm nicht open-source zu machen - Intelectual property, man will nicht, dass es jemand forkt und die Userbasis dadurch spaltet oder was auch immer. Sicherheit hingegen sollte nie ein Grund sein.

Beispiel: Schau dir einfach mal an, wie viel Sicherheitsupdates es jeden Monat für Windows gibt - viele davon, weil jemand externes den Fehler gefunden hat und MS gemeldet hat, statt ihn auszunutzen.
Große Firmen haben deshalb mittlerweile "Bug Bounty" Programme, wo du viel Geld bekommen kannst, wenn du einen schweren Fehler an die meldest, statt ihn auf dem Schwarzmarkt zu verhöckern.

 

[shinXdxd]

Warum ist "Quelloffen" eigentlich ein Sicherheitsmerkmal? Mag sein, dass ich dann genau weiß, wie der Anbieter arbeitet und er hält, was er verspricht. Gleichzeitig weiß auch jeder Angreifer, welche Lücken er ggfs. ausnutzen könnte

Klar, kann man das auch für das schlechte nutzen. Dennoch ist die Wahrscheinlichkeit hier sehr viel höher, dass Lücken gefixt werden, als bei einem geschlossenen Code. 100% Sicher wirds eh nie, und wer weill findet hier immer Mängel.
Da hat dann eben jeder seine eigene Meinung, ich bevorzuge Open-Source da weiß ich wenigstens was unter der Haube steckt.
http://www.informatik.uni-leipzig.de/~graebe/Texte/Kairies-15.pdf
https://www.heise.de/tipps-tricks/Ist-Open-Source-Software-wirklich-sicherer-3929357.html

Wann werden die Leute endlich begreifen dass was nichts kostet den Nutzer verkauft?

Stimmt nur bedingt. Beispie einer Ausnahme: Linux.

 

[Domi83]

Es geht knallhart darum, dass man Messenger Nachrichten mitlesen können will, auch ohne ein Endgerät zu kontrollieren. Und das geht nur mit einem Generallschlüssel

Jop, so etwas erwähnte er. Für uns (der 0815 User) ist das vielleicht nicht ganz so trivial, aber er sieht bei dem Thema halt (ein Beispiel) die Whistleblower in Gefahr, da sich diese gerne über geschützte Kommunikationskanäle austauschen.

Zurück zum Thema "Datenkraken" wie WhatsApp und seiner "Mutter" Facebook... da erlebe ich es immer wieder bei Bekannten, Kollegen etc. wie sie davon erschrocken sind dass sie Sonntag von Windeln für die Kinder gesprochen haben und zwei Tage später bei Facebook eine Werbung für Windeln auftaucht. Nicht jeder von denen hat Facebook drauf, aber so ziemlich alle von denen haben WhatsApp als gemeinsamen Nenner und solche Situationen finde ich (dank den Datenkraken) neben den anderen Metadaten immer "gefährlich".

 

[modena.ch]

Ne, hier geht es nicht um Sachen, die im Ausland längst möglich sind, siehe hier: https://www.heise.de/news/Crypto-Wa...n-Resolution-zu-Entschluesselung-4988717.html
Es geht knallhart darum, dass man Messenger Nachrichten mitlesen können will, auch ohne ein Endgerät zu kontrollieren. Und das geht nur mit einem Generallschlüssel für die E2EE, die damit wirkungslos ist.

"Ende-zu-Ende-Verschlüsselung stelle ein "ernsthaftes Risiko für die öffentliche Sicherheit" dar"
https://www.heise.de/hintergrund/Mi...sichere-Verschluesselung-4967574.html?seite=5

Man sieht also, woher der Wind weht.
Im Ausland träumen auch viele seit Jahren von sowas, insbesondere die Five Eyes.

Und was die Überwachungsanfragen angeht - anfangs war in dem Entwurf noch von den Strafverfolgung und Justiz die Rede. Dann hat man den Terroranschlag von Wien genutzt, um das durch "Competent Authorities" zu ersetzen - damit sind dann wahrscheinlich auch die Geheimdienste eingeschlossen (https://www.heise.de/hintergrund/EU-Regierungen-planen-Verbot-sicherer-Verschluesselung-4951415.html). Und gerade dort lehrt uns die Vergangenheit ja, dass die am liebsten alles & immer abhören, und sicher versuchen werden, sich um die Anfragen zu drücken oder irgendwie eine General-Genehmigung zu bekommen.

Es ging am Anfang um das Nachrichtendienstgesetz der Schweiz, das 2015 dem NDB erweiterte Befugnisse verschafft hat.

Das hat mit dem jetzt getätigten Vorstoss in der EU Verschlüsselungen auszuhebeln oder Backdoors zu schaffen gar nix zu tun und würde in der Schweiz auch nicht gelten.

Deshalb auch meine Aussage dass es beim 2015er Gesetz in der Schweiz darum ging den NDB mit Möglichkeiten auzustatten die International längst Standard sind.
So wurden zum Beispiel Möglichkeiten geschaffen Staatsfeinde im öffentlich Raum
abzuhören oder deren private Leitungen anzuzapfen was bis dahin nicht legal möglich war.

Ob dies dies im jeweiligen Fall aber gemacht werden kann entscheidet ein Richtergremium, dabn eine Kontrollinstanz und zuletzt der VBS Bundesrat.
Es ist als kein mach mal Freifahrtschein.

 

[SemperFidelis]

Abhilfe kann da nur der händische Abgleich der Fingerprints der Public-Keys deiner Kontakte liefern. (Ausgenommen das Blockieren von Nachrichten, das geht immer.)
...aber wer macht sowas schon und dann auch noch konsequent?

Das gesagt:
Jedes Messaging-Konzept, das nicht von Grund auf direkt auf Client-zu-Client-Kommunikation (P2P) setzt, ist immer automatisch anfällig für Man-In-The-Middle-Attacken.

Ich denke bei den Leuten wo es wichtig ist, kann man durchaus den Fingerprint einmal scannen? Ich habe meine engsten Freunde und Familie in Threema "genötigt". Hier stellte es kein Problem dar.

Grundsätzlich gebe ich dir Recht, das man immer eine Anfälligkeit bzgl. MITM Attacken hätte. Allerdings muss man ja irgendwo Abstriche machen, sofern man den "normalen" Bürger nicht direkt überfordern möchte.

 

[###Zaunpfahl###]

Ich denke bei den Leuten wo es wichtig ist, kann man durchaus den Fingerprint einmal scannen? Ich habe meine engsten Freunde und Familie in Threema "genötigt". Hier stellte es kein Problem dar.

Grundsätzlich gebe ich dir Recht, das man immer eine Anfälligkeit bzgl. MITM Attacken hätte. Allerdings muss man ja irgendwo Abstriche machen, sofern man den "normalen" Bürger nicht direkt überfordern möchte.

Ich denke da geht es überhaupt nicht um Überforderung. Denn so ein Abgleich ist super easy das ist nicht schwieriger als Facebook oder ein Handy ansich zu bedienen.

Das Problem meiner Meinung nach ist der Nutzen, die meisten sind doch noch immer der Meinung Ihnen wären Ihre Daten Scheiß egal... was haben Sie schon zu verbergen... das ist doch total übertrieben... als ob sich jemand so sehr für mich interessieren würde... usw.
Daraus schließen Sie das so ein kleiner Aufwand auch nur irgendeinen Nutzen hätte...

Ich muss Ihnen sogar recht geben spontan fällt mir da jetzt nicht wirklich was ein. Aber es geht eben ums Prinzip und die Möglichkeit... wieso sollte man auch erst so lange warten bis es sehr gute Argumente gibt. Die Haustüre lassen ja von denen soweit ich weiß auch die wenigsten ständig offen. Aber naja die meisten fangen erst an zu Laufen wenn es schon zu spät ist, das sieht man ja überall... leider

 

[Floxxwhite]

Du gehörst also zu denen, die glauben, dass der Datenschutz bei Apple so viel besser ist? Wacht mal auf!

Nö. Aber ich glaube daran das Apple deine Daten etwas weniger monetarisiert als andere.

Cool was du so aus meiner Aussage Schließt. Völlig absurd. Es ging mir nur darum das die Google Dienste völlig darauf ausgerichtet sind

 

[teufelernie]

So ist es bei mir im Freundes- und Bekanntenkreis auch. Die meisten nutzen WhatsApp, weil man es "kennt" und die meisten es nutzen. Ich benutze ansonsten auch Telegram.

Wie schon verlinkt in meinem ersten Posting hier zum Artikel, klappt das so auch meist nicht.
Eine alternative, z.B. zu WA wird nie funktionieren, wenn man dich weiter via WA erreichen kann.

Also:
Termin machen, also z.B. 15.01. Das bei deinem Kontaktkreis ankündigen. 7 Tage vorher nochmal, und dann am Termin. Und dann muss WA runter.

Anders klappt es leider nicht.

 

[KitKat::new()]

Eine alternative, z.B. zu WA wird nie funktionieren, wenn man dich weiter via WA erreichen kann.

Doch kann sie.
Via https://Nova.Chat kann man z.B. Matrix nutzen, obwohl man noch via WhatsApp erreichbar ist und nicht alle Matrix nutzen.

Sobald die EU Interoperabilität erzwingt, dürfte das noch besser und einfacher funktionieren. Ist ja schon in Planung.

 

[zakuma]

Ein Messenger bringt nur mit anderen NUtzern was, selbst wenn ich zu Threema wechsel, werde ich dort sicher kaum mehr wie 3 Kontakte finden die es auch nutzen. Leider bleibt man somit auf WA sitzen. Als Alternative nutze ich gerne Telegramm.