Die Wahrheit #017 – Threema. Smartphone-Messenger mit Verschlüsselung.

"Enigma" von floeschi (CC BY 2.0)
Seit es Smartphones gibt, gibt es auch Messenger. Also die Apps, die es erlauben Texte, Bilder und manchmal auch Sounds und Videos über das Internet so einfach und bequem wie SMS zu verschicken. WhatsApp, das am weitest verbreitete Programm, ist bequem: Es funktioniert auf fast allen Smartphones und ist mit einem minimalen Aufwand installier- und benutzbar. WhatsApp ist aber  - ähnlich wie Skype und Facebook – ein wild wachsendes Krebsgeschwür der privaten Kommunikation: Private Daten werden auf Server hochgeladen, die Kommunikation war öffentlich einsehbar und die Sicherheitsarchitektur war ähnlich solide wie eine Sandburg am Meer.

Einige Fehler wurden ausgebessert und es gibt auch Alternativen – aber keine die so wirklich zufrieden stellt. Dabei ist es doch eigentlich ganz einfach. Alles, was ich will, ist ein Messenger, der relativ einfach zu installieren, gut zu benutzen und Ende-zu-Ende verschlüsselt ist. Heisst: Die Nachrichten können genau von zwei Parteien gelesen werden: Dem Sender und dem Empfänger. Sonst von niemandem, nicht mal dem Betreiber des Dienstes.

Threema verspricht genau das. Eine iOS-(bald auch Android)-App), die Bilder und Texte verschlüsselt austauscht, keine Zwangs-Kontaktdaten-Upload und eine verständliche Bedienbarkeit. Ich war interessiert. Nach ersten Test war ich wirklich interessiert und wollte es genauer wissen. Also habe ich Manuel Kasper von Threema um ein Interview gebten. Und mir Thorsten Schröder von modzero ins Studio geholt, der von Verschlüsselung und Computersicherheit Ahnung hat.

Das Ergebnis stimmt froh. Ich werde in Zukunft Threema benutzen, weil es für mich momentan der beste Messenger auf dem Markt ist. ABER: Ich will auf dieser Stelle auch noch mal darauf hinweisen, dass es keine perfekte Sicherheit gibt! Niemand – vor allem ich oder dieser Cast nicht – kann euch versprechen, dass das, was ihr auf eurem Smartphone treibt 100% sicher ist. Aber ich habe zumindest den Eindruck, dass mit Threema ein gutes Konzept solide umgesetzt wurde. Warum ich das glaube, könnt ihr euch selbst anhören:

Play

Falls ihr meine Meinung teilt, erfahrt ihr am Ende des Casts, wie ihr einen Threema-Code gewinnen könnt. Und: Ich erwarte eure Meinung, Bemerkungen und Fragen in den Kommentaren. Insbesondere würde mich interessieren, wie ihr euer soziales Umfeld von der Nützlichkeit verschlüsselter Kommunikation überzeugt.

Bild: “Enigma” von floeschi (CC BY 2.0)

Comments

  1. Deus Figendi says

    Vielen Dank für diese Informative Folge.

    Was jetzt für mich noch nicht 100%ig herauskam aber ein absolutes Ausschluss-Kriterium ist: Es klang so als sei das ein zentraler Dienst, aber es wurde nicht explizit gesagt (aber dieses… 8stelliger Code [ohne domain], Adressbuchabgleich, “Server dazu klicken” etc. das alles klang sehr zentralistisch).

    Falls dem so ist bin ich eben nicht beim Missionieren dabei ;D (Nachrichtenaustausch muss imho denzentral funktionieren, klappt mit SMS, Email, XMPP etc. ja auch).

    Wo isn euer Flattrbutton? *sucht*

    • says

      Zitat: “muss imho denzentral funktionieren, klappt mit SMS, Email, XMPP etc. ja auch).”
      Keines deiner Beispiele ist dezentral. Die brauchen alle Server. SMS beim Telefonanbieter, Email an gmail.com Adressen gehen an den für gmail.com zuständigen Mailserver und bei XMPP muss auch ein Server eingerichtet sein.
      Wie soll den ohne Server eine Nachricht den Empfänger finden? Du kennst ja seine IP-Adresse nicht.

      • marcus richter says

        Der Begriff “dezentral” wird hier für die Serverinfrastruktur benutzt und bedeutet, dass jeder, der sich die Software installiert, einen eigenen Server betreiben kann. Das Gegenteil sind eben zentrale Strukturen unter die auch Threema fällt, in dem ein Dienst nur dann funktioniert, wenn alle Teilnehmern über eine einzelne zentrale von einem Anbieter betriebene Serverinfrastruktur kommunizieren müssen.

  2. querwurzelt says

    Klingt erstmal nach einem guten Konzept. Schaun wir mal wie viele nicht-techies wir überzeugt bekommen. chatinhalte werden nicht OTR verschlüssel oder was nutzt diese library??

  3. Peter says

    Ah, sehr toll! Habe zwar noch nicht reingehört, werde das aber gleich erledigen. Habe neulich nach dem neuaufsetzen meines Handys verzweifelt nach einer Alternative gesucht und binn letzten Endes dann doch wieder bei WhatsApp gelandet. Werde Threema jetzt genau im Auge behalten und das gleich mal testen, wenn die Android-Version raus ist.
    Danke für den Tipp.

  4. Peter says

    Nachtrag: die Frage war ja, wie wir unser Umfeld von verschlüsselter Kommunikation überzeugen:

    Ein Teil meines Umfelds ist sowieso schon deutlich stärker von verschlüsselter K. überzeugt als ich es bin, da wird es eher schwer, diese von Threema zu überzeugen, die hätten das am liebsten noch OpenSource und komplett ohne Kontakt-Sync und am besten basierend auf bereits bestehenden Standards wie jabber etc.

    Der andere Teil des Umfelds: Nunja, Ich bin schon bekannt für meine Datenschutzaffinität, Freundin/Geschwister etc kann ich vielleicht sogar direkt überzeugen, den Anderen kann ich nur einfach mal nahelegen es zu probieren und sie über die Nachteile und Gefahren von WhatsApp unterrichten.
    Letzten Endes ist man ja nicht auf WhatsApp angewiesen;
    SMS und Mail geht ja noch. So ein Ausstieg ist weniger dramatisch als man zuerst denkt. Merke ich z.B., seitdem ich Facebook nicht mehr nutze.

  5. says

    @Deus: Ja, das war für uns so selbstverständlich, dass wir es nicht extra erwähnt haben, wir sprechen im Cast ja auch über die Serverstandorte, -finanzierung und Zugriffsmöglichkeiten für Regierung etc. Eine dezentrale OS-Lösung wäre vielleicht noch besser, obwohl ich mir da nicht sicher bin: So hat der Dienst einen (bis jetzt) zuverlässigen Betreiber und ist auch für John Doe und Nina Normaluser bedienbar.

    @querwurzelt: Ehm, doch. Das ist doch genau der Punkt, warum ich diesen Podcast gemacht habe. Die Nachrichten werden komplett verschlüsselt und können *nur* von Sender und Empfänger gelesen werden. Dazu benutzt Threema die Networking and Cryptography library die als zuverlässig gilt.

    @Peter: Vielen Dank! Ich hab bei mir WhatsApp ja einfach gelöscht und einfach eine Ansage gemacht, wie ich zu erreichen bin. Wäre sehr an Erfahrungsberichten zur Android-Version interessiert!

  6. sonderbares says

    Hat mir gut gefallen.
    Ich bin mal sehr gespannt auf die Android version, da ich nur diese nutzen kann. Dann werde ich mir das aber auf jedenfall mal ansehen.
    Bis dahin hat sich bei der App sicher auch noch einiges getan und man bekommt sicher auch noch ein paar IOS Meinungen mit.

    Danke!

  7. says

    Threema mag wohl die NaCl library verwenden. Dies ist aber nur eine Sammlung von Algorithmen und es ist längst nicht gesichert, dass diese auch korrekt verwendet werden. Auf der Website erfährt man noch, dass EC verwendet werden aber woher die Schlüssel kommen oder ähnliche Details erfährt man dort auch nicht. Da Threema anscheinend zentral organisiert ist, ist die Bildung des Schlüssels essentiell da sonst die zentrale Instanz jede Nachricht die mit einem schwachen Schlüssel erzeugt wurde potentiell lesen kann.
    Möglicherweise kann man aus der Bedienung einiges ableiten – hier ist mir aber nichts bekannt und ich konnte auch nirgends etwas finden.
    Vertrauenswürdige (damit meine ich verifizierbare) Verschlüsselung ist auf diesem Weg aber nicht möglich, daher halte ich es für bedenklich Threema als “die Lösung” zu bezeichnen.
    Es gibt keine perfekte Sicherheit aber es gibt mutwillig verursachte Sicherheitsschwächen. Die nicht Offenlegung der Funktionsweise des genauen Kommunikationsablaufs gehört hier dazu.
    Gruß, Mario

  8. says

    Ich wollte grade sagen: Diesen nicht unwesentlichen Punkt haben wir doch besprochen. :)

    Und klar: Die perfekte Lösung ist es nicht, das steht ja auch in der Einleitung. Aber ist derzeit die Beste. Und das ist halt auch schon mal was.

  9. kimba says

    Hallo.
    Ich nutze jetzt gut 3 Monate Threema und bin begeistert. Leider tausche ich derzeit nur mit einer Person Nachrichten über diesen Messenger. Ich denke das wird sich zukünftig ändern..
    Mit dieser Person tausche ich Nachrichten auf höchster Sicherheitsstufe aus (3 grüne Punkte). Heute erhielt meine Bekannte folgende Mitteilung:
    “another connection for the same identity has been established”
    Bedeutet das , es gibt einen weiteren Account von mir… von dem ich nichts weiß… ??? Ich bin etwas irritiert… Vielleicht kann mich jemand “beruhigen” ;-)

  10. says

    Tolle Folge! Schön, dass ihr direkt mit jemanden von Threema gesprochen habt.

    Ich hatte mir die App direkt zum Launch geladen und finde sie super. Der einzige Haken (der auch in der Sendung angesprochen wurde): die Nutzerbasis. :(
    Ich habe gerade mal drei Kontakte, die ebenfalls Threema nutzen.

    Ach ja: der “Hack” mit dem Screenshot des QR-Codes war eines der ersten Dinge, die ich mit meinen Kontakten gemacht habe. ;)

  11. Jaron says

    tolle Sendung; sehr informativ! Ich finde es immer gut, wenn Entwickler in einem vernünftig geführten Gespräch – wie bei dir Monoxyd – ihre Sachen vorstellen können. Sehr sympathisch, und gute Werbung für das Produkt, wie sich hier Threema dargestellt hat. -> Werde es ausprobieren,

    Danke & liebe Grüße
    JARON

  12. Jochen says

    Danke für das Interview! Mir war zwar vorher schon klar dass ich die App auf jeden Fall ASAP haben will (Android), aber jetzt habe ich mehr Hintergrundinfos.

    Eine Anmerkung habe ich noch: Natürlich wäre es perfekt, wenn der Code OpenSource wäre usw. Aber damit die App langfristig was wird ist die Masse entscheidend. Und der geht Komfort vor Sicherheit. Insofern sieht das grade noch vertretbar aus. Letztlich muss ich mit WhatsApp vergleichen, weil ich das loswerden will. Und selbst wenn Threema ein Sicherheitsloch haben sollte kann das kaum so groß sein wie bei WhatsApp. Es kann also nur besser werden, mit Option auf deutlich besser.
    Wenn man die App (übertrieben formuliert) mit einem vollverschlüsselten NSA Handy vergleicht findet man natürlich ein Haar in der Suppe. Das gibt’s aber auch nicht für lau. Und SMS, E-Mail usw. ist auch alles nicht sicher (ja, PGP und nein, das will von meinen Bekannten keiner benutzen weil zu aufwändig).
    Mein Fazit ist dass hier relativ viel Sicherheit geboten wird, und zwar mit vielleicht noch ausreichend Komfort dass es sich nicht nur gut informierte Einzelne antun. Ich werde ja noch sehen wen ich dafür begeistern kann. Aber ich bin mir sicher: Wenn es perfekt wäre im Sinne einiger der angesprochenen Punkte, dann könnte ich weniger Leute überzeugen. Und dann bleibt es Spezialsoftware, wie es sie auch auf dem PC gibt und die zumindest in meinem Bekanntenkreis keiner benutzen will.

    Ich freu mich schon drauf,
    Jochen

  13. Jimmy says

    Erst einmal: geiler Job! Ich habe mir die App eben gekauft.

    Eine Frage:
    Ist es möglich, ohne den Sicherheitscode einen Jailbreak vorzunehmen, um an die SQL-Tabellen zu kommen? Diesen Punkt habe ich nicht verstanden.

  14. timwanze says

    Das ist ein Schrei.

    Hi Marcus,

    ich fand den Podcast ja super, aber ich würd mir ja trotzdem eine Zusatzepisode wünschen, ich verstehs nämlich nich ganz ;)

    Danke für den Podcast

    Tim

  15. Blue Shadow says

    Klar gibt es nie 100%ige sicherheit, und natürlich muss man ab einem bestimmten Grad an sicherheit Abstriche bezüglich Komfort machen.
    Warum aber hier teilweise aufgeführt wird, Sicherheitserhöung durch dezentralisierung und offenheit würde zulasten des Komforts gehen verstehe ich nicht ganz.

    Das Opensource-Software mainstreamtauglich sein kann, können wohl am deutlichsten Firefox und Google Chrome demonstrieren.
    Ob eine Anwendung Open-Source ist oder nicht spielt aus Anwendersicht bezüglich Usability erstmal gar keine Rolle. Daher kann ich das entsprechende Argument hier in den Kommentaren keinesfalls nachvollziehen.

    Dass ein offenes und dezentrales IM-Protokoll nicht kompliziert sein muss zeigt XMPP. Anlegen eines Kontakts ist nicht komplizierter als bei ICQ und Co. und die Registrierung geschieht zB bei web.de und gmx sogar automatisch mit der Mailadressen-Einrichtung – bei Facebook und anderen sozialen Netzwerken dürften sich die meisten Chatter sogar nichtmal bewusst sein, dass sie da grade ein IM-Protokoll nutzen.
    Und nicht zu vergessen, dezentrale Kommunikation gibt es im Netz schon viel länger als das WWW, eben Email.

    Und dass Verschlüsselung nicht übermäßig kompliziert sein muss, zeigt Threema selbst (zumindest aufgrund des Podcasts , habe es mangels Hardware noch nicht testen können).

    Was also würde denn prinzipiell dagegen sprechen, all diese Eigenschaften in einem Programm zu vereinen?
    Klar muss das erstmal jemand tun, und ich glaube auch das Threema schon mal einen Schritt in die richtige Richtung darstellt. Aber mir ist nicht ganz klar warum offenbar einige Poster glauben, eine dezentrale Struktur oder gar Opensourcing würde mit komplizierterer Bedienung einher gehen.

  16. Martin says

    Hallo,
    ich bin durch zufall auf diese Seite gestoßen und finde es super, dass sich endlich mal jemand mit einer Point to Point Verschlüsselung im Messenger Bereich kümmert. Ist meiner Meinung nach schon viel zu lange überfällig.
    Ehrlich gesagt weiß ich auch nicht so richtig wo da im Grunde das Problem bei der Entwicklung ist.
    Im Grunde müsste die App ja nur den öffentlichen und privaten Schlüssel erzeugen und eine Eingebamaske bereit stellen. Der Transfer der Nachrichten, Biler etc. könnte ja im Grunde in einem verschlüsselten Container (Datei) uber das schon vorhande Netzwerk eines Open Source Messengers erfolgen. Oder bin ich da jetzt auf dem Holzweg?
    Aber ich finds gut, dass sich zumindest jemand mit dem Thema beschäftigt. Sobald die Android Version kommt, werde ich es auf jeden Fall nutzen.

  17. MaOri says

    Hallo!
    Ab heute ist Threema für Android erhältlich. Hab mir die App direkt geladen, aber bisher hält sich der Nutzerkreis doch in Grenzen. Leider fehlen auch noch Gruppenchat und Co wie bereits im Podcast angesprochen wurde.

    Gibt es denn noch Promo-Keys?

  18. Pete says

    Ich wollte noch auf ein ähnliches Projekt hinweisen, welches ich heute entdeckt habe: Kontalk Messenger [1] schickt sich ebenfalls an, WhatsApp ablösen zu wollen.
    Komplett Open-Source, möchte es in Zukunft auf XMPP setzen. Server soll jeder selber betreiben können, also immerhin etwas dezentraler (wenn auch nicht vollständig P2P). Multi-Device-fähig, Android App vorhanden [2].
    Leider steht das Projekt noch ziemlich am Anfang, möglicherweise kann der ein oder andere Leser ihnen auch helfen und die Entwicklung beschleunigen.

    Grüße,
    Pete

    [1] https://code.google.com/p/kontalk/
    [2] https://play.google.com/store/apps/details?id=org.kontalk

  19. Threema ist nicht open source deswegen wertlos says

    Threema ist nicht open source und deswegen wertlos. OTR und End-zu-End Verschlüsselung gibts auch mit anderen, z.B. Xabber.

  20. fireskyer says

    Hallo

    Threema benutzt keine OTR Verschlüsselung….

    Und die Macher sagen auch in der FAQ warum sie kein OTR benutzen:

    Nämlich das man bei einem Schlüsselaustausch ( der sehr häufig vorkommt) mit einem Partner online sein muss.

    Aber genau da setzt meine Fage an:

    Heißt dass, das ich eigentlich immer online sein muss und ständig im hintergrund alles laufen muss wenn ich otr verwende ?

    grüße fireskyer

    Heißt

  21. blazing says

    OpenSource ist alles schön und gut, aber warum das im Moment, und das muss man betonen IM MOMENT, noch nicht für kritische Teile gemacht wird, hat der Hersteller doch im Beitrag eindeutig gesagt:
    Es ist eine Geldfrage, denn wenn dann lauter alternative Clients entstehen, kann das seine Einnahmen zum jetzigen Zeitpunkt kritisch schädigen.
    Er hat auch in Aussicht gestellt dies eventuell in der Zukunft zu tun.

    Auch ist es momentan NOCH zu teuer einen externen Dienstleister der was auf dem Kasten hat damit zu beauftragen sich das Ganze von vorn bis hinten anzuschauen. Ich denke aber es wird kommen.
    Eventuell könnte man dafür ja eine Spendensammlung machen. Mal schaun was sie davon halten. Vorgeschlagen hab ich es. (Kickstarter hat schon bei unwichtigeren Dingen eingeschlagen wie eine Bombe und Dinge 4fach übererfüllt).

    Android ist auch draussen , threema.ch/shop verkauft die Software über PayPal und Bitcoin wenn man keine Kreditkarte hat, sehr sehr löblich.

    Nur noch etwas mehr Präsenz sagen wir auf Twitter und Email wäre wünschenswert.

  22. thrremanutzer says

    Ich habe von Whatsapp zu Threema gewechselt. Überzeugen musste ich nicht. Ich sagte meine Freunden lediglich das ich Whatsapp kündige bzw lösche. Diejenigen die weiterhin mit mir schreiben möchten kauften sich einfach n key. Entweder so oder gar nicht :)
    Threema ist toll. Gruppenchat wäre toll wenn das irgendwann umgesetzt werden kann.

  23. Lukas says

    Tolle Folge!
    Da hat wirklich alles gepasst. Entwickler, Experte und nicht zuletzt ein souveräner Moderator!

    Würde mir einen Teil 2 im Feb.2014 oder 2015 dazu wünschen um zu erfahren was sich in der Richtung tut, ob threema nach wie vor alternativlos ist und/oder wie der neuste Wissensstand zu dem Thema o.ä. ist.

    Danke!

  24. says

    Ein wirklich toller und informativer Podcast!

    Warum eigentlich eine Serverlösung? Macht es doch mit einer Peer to Peer Lösung, wie beim Bitcoin…

    lg heinz

Trackbacks

  1. […] Der Abgle­ich der Kon­takte über die Server mit dem Adress­buch ist optional. So kann man Rufnum­mer und E-Mail-Adresse einpfle­gen, welche sodann ver­i­fiziert wer­den. Von diesen soll nur ein SHA-256-Hash gespe­ichert wer­den. Beim Abgle­ich mit dem Adress­buch wer­den sodann auch von dessen Inhal­ten im Smart­phone Hashes gebildet, die auf dem Server im RAM abgeglichen und her­nach wieder gelöscht wer­den. Erneute Über­prü­fun­gen muss man daher manuell anstoßen. (Vgl. Inter­view mit dem Haupten­twick­ler Manuel Kasper.) […]

  2. WhatsApp, Threema und Konsorten

    Spätestens seit der Übernahme von WhatsApp kann man sich dem Thema Threema ja momentan nicht so richtig entziehen (insbesondere dann nicht, wenn seit Monaten bestimmte Leute in meiner Timeline von nichts anderem reden), also gebe ich auch mal meinen ni…

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>