News SIMSme: Verschlüsselte Messenger-App der Deutschen Post

[Schupunkt]

Hi,



Es geht hier darum, wie Verschlüsselung implementiert wurde! Sofern das nicht offen gelegt wird muss ich als Softwareentwickler davon ausgehen, dass hier "Security by Obscurity" praktiziert wird, die Verschlüsselung also nicht korrekt implementiert wurde und daher keinen Sicherheitsmehrwert bietet. Das ist kein weit verbreiteter Irrtum, sondern schlicht ein Fakt, wenn es um Kryptographie geht.

VG,
Mad

Vielleicht hast du damit recht, ich kenne mich damit nicht aus. Aber selbst wenn die Verschlüsselung nicht korrekt wäre, werden die Daten immer noch in Deutschland gespeichert, von einer deutschen Firma.
Und das ist auf jeden Fall erst mal gut...
Hier tun sich die Behörden ja schon schwer die Toll Collect Daten zu verwenden um nen Killer-LKW-Fahrer zu fassen.
Datenschutz wird in Deutschland eben doch noch etwas wichtiger genommen wie in manch anderem Land...

 

[Madman1209]

Hi,

@Schupunkt

Aber selbst wenn die Verschlüsselung nicht korrekt wäre, werden die Daten immer noch in Deutschland gespeichert, von einer deutschen Firma. Und das ist auf jeden Fall erst mal gut...

Es spielt doch keine Rolle, wer mich abhört! Wenn mit Verschlüsselung geworben wird dann bitte transparent! Die Verschlüsselung sollte funktionieren, weil sie funktioniert und nicht, weil man nicht sagt, wie sie implementiert wurde!

Datenschutz wird in Deutschland eben doch noch etwas wichtiger genommen wie in manch anderem Land...

Die Einstellung ist - mit Verlaub - doch ein wenig sehr naiv...

VG,
Mad

 

[highks]

btw: schon lustig, dass ihr manchmal kurz nach Golem.de die selbe News raushaut

Solche News werden veröffentlicht, nachdem ein Hersteller (in dem Fall die Dt. Post) eine Pressemitteilung verschickt. In der Pressemitteilung stehen normalerweise auch alle relevanten Infos, sodass der Redakteur nicht erst alles selbst recherchieren muss (er sollte es natürlich nachprüfen, das ist klar).
Du glaubst ja wohl nicht, dass Golem so eine News "selbst herausgefunden" hat? Die Redaktionen haben hier natürlich alle genau die selbe Mail mit dem Pressetext der Post bekommen!
Es ist also nicht verwunderlich, dass solche Nachrichten dann auch mit ähnlichem Wortlaut kurz hintereinander auf allen möglichen Portalen erscheinen. Und dass es bei CB ein bisschen länger dauert, als bei Golem, könnte vielleicht daran liegen, dass Golem einfach so den Pressetext auf die Seite haut, während bei CB nochmal die Infos geprüft werden, bevor es veröffentlicht wird. Könnte so sein, ich weiß es nicht.

Eine News ein bisschen später zu veröffentlichen muss also absolut kein Zeichen von langsamer Arbeit sein, sondern kann darauf hindeuten, dass hier noch wirklich journalistisch gearbeitet wird.
Nur schnell ist bei News nämlich nicht gleich gut - das sieht man dann, wenn mal wieder auf hundert Seiten ein Satireartikel vom Postillon für bare Münze genommen wird, weil keiner der Redakteure sich die Zeit nimmt, das Ganze mal kurz nachzuprüfen...

 

[Shririnovski]

Es spielt doch keine Rolle, wer mich abhört! Wenn mit Verschlüsselung geworben wird dann bitte transparent! Die Verschlüsselung sollte funktionieren, weil sie funktioniert und nicht, weil man nicht sagt, wie sie implementiert wurde!

Genau meine Meinung, Top

Denn es geht nicht darum, dass ich den Quelltext gelesen habe, bevor ich eine Software nutze, es geht darum, es prinzipiell zu können und so eine bessere Gewissheit zu haben, dass der Kryptoalgorithmus sauber implementiert ist.
Eine Verschlüsselung auf Basis einer Blackbox, die mit Voodoo aus Klartext etwas anderes macht, na ich weiß nicht was ich davon halten soll. Leider findet genau das wieder einmal statt bei der tollen Post Simse.

 

[[ChAoZ]]

.. die Daten immer noch in Deutschland gespeichert, von einer deutschen Firma.
Und das ist auf jeden Fall erst mal gut...

Hat absolut nichts zu sagen...
Wenn die Amis (NSA) Zugang zum Server haben wollen, dann kriegen sie diesen auch und damit die Nachrichten im Klartext.

 

[carom]

Es ist ein weit verbreiteter Irrtum, dass ein Programm sicherer ist, wenn jeder den Code hat. Klar kann dadurch jeder Sicherheitslücken schließen. Es kann sie aber auch jeder nutzen.

Die Sicherheitsfrage zum Thema Open vs. Closed Source ließ sich in der Vergangenheit nicht eindeutig beantworten und das wird in naher Zukunft auch so bleiben.

Bei der Messenger-Diskussion geht es aber doch darum, dass man bei einem Open-Source-Produkt nachprüfen kann, ob der Entwickler a) bei der Implementierung des Krypto-Parts etwas in großem Umfang vermasselt hat und b) ob er nicht absichtlich Lücken oder Backdoors etc. eingebaut hat und das Programm auch so harmlos ist, wie behauptet wird. Vor allem letzteres geht nun mal nur bei Open Source einigermaßen.

Aber die Anhänger der open-Source-Fraktion hier nerven trotzdem etwas. Als würden man tatsächlich den Quellcode herunterladen, inspizieren, das ganze dann selbst kompilieren und schließlich aufs Smartphone ziehen... nein, man würde blind die binary aus dem App Store ziehen, die allerhand Schabernack enthalten kann, egal ob der Quellcode veröffentlicht wurde oder nicht. Da müsste der Entwickler schon genau Dokumentieren, wie man den Build durchführen muss, damit man hinterher zumindest ein Checksummen-Abgleich zwischen dem Eigenkompilat und der Store-Version machen kann, aber das ist aufwendig.

 

[Madman1209]

Hi,

@carom

Ob es jeder einzeln macht sei dahingestellt, bei closed Source kann es aber eben gar niemand, und darum geht es! Dass es besser wäre, wenn man selber die Source liest und dann baut ist logisch, dass sie auch einem Tester eine andere Source geben könnten als dann im Store ist kann natürlich auch sein - aber wenn die Möglichkeit es zu testen schon im Keim erstickt wird hat gar niemand irgendeinen Vorteil davon, darum geht es!

VG,
Mad

 

[-=Ryo=-]

aber wenn die Möglichkeit es zu testen schon im Keim erstickt wird hat gar niemand irgendeinen Vorteil davon, darum geht es!

Nicht einmal die Spione welche sich in die Software Hacken wollen haben einen Vorteil, denn Lücken sind auch für die schwerer zu finden

Und wie man weis.. OpenSource bedeutet nicht automatisch mehr Sicherheit.


Zum Thema Speichern der Daten... die Daten werden hier aber nur zwischengespeichert bis zur Zustellung oder dem Verfall (nach 30 Tagen). So das sich eine Kopie zu holen schwer werden dürfte so im Nachinein.

Zusätzlich werden wir noch heute eine neue Version veröffentlichen, die allen Nutzern die Selbstzerstörungsfunktion dauerhaft kostenlos zur Verfügung stellt.

Ach darum fehlt sie gerade gänzlich ^^

 

[carom]

@ madman

Ja, ich weiß doch mir ging es nur darum, dass hier viele nach Open-Source schreien, weil sie offensichtlich mal gehört haben, dass das gut ist und dann beruhigt sind, ohne sich mit den Hintergründen zu beschäftigen. Das ist aber imho ein falsches Gefühl von Sicherheit.

 

[Madman1209]

Hi,

@carom

Ist schon klar Aber man sollte einfach bei Verschlüsselungssoftware grundsätzlich den Code offen legen. Wenn die Verschlüsselung funktioniert dann brauche ich keine Angst zu haben. Wenn sie nicht funktioniert sollte man als User einen Bogen drum machen

Klar, die grundsätzliche Behauptung, OSS wäre immer sicher(er) ist Nonsens, machen aber auch die wenigsten hier im Thread wenn man ehrlich ist.

VG,
Mad

 

[dsahm]

und wieder keine win-phone version....

Genau dasselbe habe ich auch gerade gedacht !

 

[Schupunkt]

Hi,
@Schupunkt

Die Einstellung ist - mit Verlaub - doch ein wenig sehr naiv...

VG,
Mad

Ich sage ja nicht das unsere Politiker die besseren Menschen sind, z.B. verglichen mit der USA, Fakt ist aber das wir hier noch eine Opposition haben die sozusagen nur darauf wartet das die Regierung ihnen eine Steilvorlage gibt ihnen an den Karren zu pissen.
Und würde sich herausstellen das die Regierung auf solche Daten zugreift, wäre das wohl genau so eine Vorlage...
Außerdem gehe ich zumindest bislang noch davon aus das unser Land noch nicht ganz so paranoid ist, wie die USA, wo ja praktisch jeder als potentieller Verbrecher angesehen wird, wie es scheint...

Klar kann man immer noch sagen, wenn die NSA auf den Server kommt dann...
Aber ehrlich wenn wir das als Standart Antwort nehmen können wir es auch gleich vergessen und den Stecker aus allen Computern ziehen, denn dann kommt direkt der nächste und sagt das es eh nur Verschlüsselungen gibt die die NSA schon geknackt hat.

Erst mal gehe ich davon aus das sich die Deutsche Post an ihre Aussage hält und nichts im Ausland speichert und das sie sich an unsere Gesetze halten und möchte ihnen deshalb auch die Chance geben sich zu beweisen und nicht alles gleich wieder im Keim ersticken.

Trotzdem magst du ja recht haben das es besser wäre wenn sie alles offenlegen, damit Experten sich die Qualität der Verschlüsselung ansehen können, vielleicht reichen sie das ja noch nach, wenn der öffentliche Druck da ist...

 

[LuckyMagnum]

Das ist trotzdem die deutsche Post und nicht irgendein russischer Telegram. Ich traue lieber einem seriösen Unternehmen, welches nicht jedem Scriptkiddie den Code zum Fraße vorwirft, als irgendwelchen popeligen Freizeitcodern, die genau das tun.
Sorry aber nicht umsonst kommt man immer mehr von Open Source weg, seit jeder 12-jährige eine "Phantom der Oper"-Maske hat, und mit seinem Glasfaser-Zugang der coolste in der Klasse ist, weil er der Oma nebenan ihre Rente vom Konto geklaut hat.
Überspitzt gesagt, geb ich zu.

 

[-=Ryo=-]

Das ist trotzdem die deutsche Post und nicht irgendein russischer Telegram.

o.O

Also die Deutsche Post Programmiert die App aber gar nicht.. das machen dritt-unternehmen für die

 

[MaverickM]

Ich nutze seit einigen Tagen Telegram. Hat auch Clients für Desktop-Plattformen, was wirklich praktisch ist. Werde sicher nicht nochmal wechseln.

Abgesehen mal davon, habe ich mir SIMSme trotzdem mal installiert... Nun, wie zu erwarten war, noch keiner aus meinen Kontakten, der das benutzt. Anmeldung ging um diese Uhrzeit auch ohne Probleme. Zumindest die Ende-zu-Ende Verschlüsselung hat man sich dann ja schon mal gesichert... Für den Fall, dass das Ding wider erwarten doch populär wird.

 

[Knecht_Ruprecht]

[...]
Sorry aber nicht umsonst kommt man immer mehr von Open Source weg, [...]

Wer ist "man"? Ich behaupte einfach mal frech das Gegenteil, Open Source ist auf dem Vormarsch. Meiner Meinung nach zum Glück.

 

[krennin]

"Deutsche Post will Whatsapp angreifen" stand in der Zeitung.

Bei dem Versuch wird es wohl bleiben. Das Konzept fand ich ja interessant, aber die Umsetzung ist leider so schlecht, dass die App im Prinzip unbenutzbar ist.

Anfangs gab es Probleme mit der Anmeldung. Dann erhielt man Meldungen, das Chat-Nachrichten angeblich nicht gesendet werden konnten (sie wurden natürlich gesendet, so dass der Empfänger die Nachricht x-mal bekam, nämlich be jedem neuen Sendeversuch). Das selbe passierte mit Gruppen, die angeblich nicht erstell werden konnten (ich hatte dann dreimal die selbe Gruppe erstellt).

Nachdem man die Anwendung geschlossen hat oder auf den Homescreen gewechselt hat, startet sich die Anwendung immer erneut, d.h. man muss auch sein Passwort jedes mal neu eingeben.Emoteicons fehlen ganz (bei Android, obwohl sie unter Whatsapp und Threema benutzbar sind), SIMSme fehlt als Eintrag unter "Teilen". Und bei mir stürzt das Programm regelmäßig so stark ab, dass nur eine Neuinstallation hilft. Dies fordert dann aber wieder einen neuen Anmeldevorgang, neues Einrichten des Profils, von Kontakten und Gruppen usw.

Zusammenfassend war das launchen dieser App und die negativen Nutzerreaktionen wohl eher eine gute Werbung für whatsapp. Zumindest hat man bei der Post offenbar kaum Geld in Werbung/Marketing für SIMSme investiert. So bleibt zumindest die Zahl der verärgerten Nutzer beschränkt.

 

[Bernd36]

Ansich eine gute Sache als WA Alternative.Auf dem Papier hören sich die Vorteile und Sicherheitsaspekte sehr gut an.Aber einen Messenger ohne Smilie Funktion ist nun wirklich in Sicht auf die Konkurrenz ein ziemlicher Faupax.Sicher die Zerstörungsfunktion für Bilder und Nachrichten klingt gut aber unwirksam,da ich mir ja auch einen Screenshot davon machen kann.

Leider wirkt SimsMe eher wie eine Beta total unausgereift und unbrauchbar.Der 10 Versuch der Anmeldung sowie Verifizierung schlug fehl obwohl es Updates gab.Man könnte den Eindruck haben,einige Informatikstudenten haben hier rumgewerkelt.Da wird schnell etwas auf den Markt geschmissen ohne es vorher auf Stabilität zu testen.Sorry Post, so wird da nix mit ernsthafter Konkurrenz für etablierte Messenger.

 

[-=Ryo=-]

Inzwischen ist die App total unbrauchbar da sie sich in einer Endlosschleife anmeldet

 

[phil.]

Hier wurde selten dämlich viel Hoffnung in eine Alternative zu Whatsapp kaputt gemacht.
Ich glaube gerade der "Normalsmartphoneuser" wären umgestiegen. Das geht aber nur wenn so eine App alles kann was Whatsapp auch kann (wo sind die Smilies?), sich reibungslos installieren läßt, funktioniert und als Bonus die Sicherheit mitbringt.
Man kann sich nur an den Kopf fassen, mit welchem Dilettantismus hier vorgegangen wurde. Da hat jegliche Qualitätssicherung versagt.
Bei den Programmieren hat man das Gefühl, daß die Checker sich ihr" Handwerk" im Selbststudium beigebracht haben. Software, vor allem für Android auf verschieden Konfiguration testen? Warum? Geht doch.
Und die Verantwortlichen der Post fallen auf solch ein Geschwätz rein, ohne ihre eigenen Prüfabteilungen einzubinden.
Unprofessioneller geht's nimmer.
Neue Funktion: Es wurde ein Fehler behoben. Sorry, so dauert es noch Jahrzehnte bis die App funktioniert.

Eigentlich kann man das ganze System nur noch resetten. App aus den Verkehr ziehen, neu von Profis programmieren lassen, ausgiebigst testen und dann mir einem gescheiten Marketing in den Markt werfen.