Diskussionsforum
Menü

Vergiftetes Angebot -Threema NICHT sicher


18.06.2015 12:22 - Gestartet von Leiter Kundenverarsche³
Die App ist auf WP nur als "dysfunktional" zu beschreien - nichts funktioniert wie es sollte. Was allerdings weit schlimmer ist, ist das Märchen, dass die App sicher sei. Vollkommener Blödsinn! Noch nie gab es hier einen unabhängigen, externen Code-Audit, der das bestätigt hätte. Die Schweizer weigern sich von Beginn an beharrlich, einen solchen durchführen zu lassen. Vertrauen in den Hersteller ist gut, Kontrolle aber UNERLÄSSLICH! Oder so sind Schweizer von Natur aus immer ehrlich und mustergültige Menschen, denen man zu 100 % vertrauen kann? Threema versucht genau dieses Image zu kreieren. Das ist reines Marketing. Die wollen am Ende aber auch nur verkaufen.

Auch wenn die App nun 99 Cent kostet ist das ein denkbar schlechtes Geschäft für den Käufer. Man kauft sich damit nur ein Sicherheitsgefühl und effektiv die Sicherheit, etwas unsicheres erworben zu haben. Ich verweise an der Stelle gerne nochmal auf dem SMS der EFF - dort hat zuletzt nur ein einziger der vermeintlich "sicheren" Populärmessenger die höchste Punktzahl erreicht: Telegram im Secret Chat-Modus, nachdem sie PFS endlich vor ein paar Monaten implementiert hatten. Einen Audit lässt Telegram übrigens regelmäßig durchführen.

Wer also meint einen sicheren Messenger zu benötigen und einsetzen zu wollen, der kommt derzeit nicht an Telegram vorbei, sofern er es denn wirklich ernst damit meint. Lustigerweise muss für Telegram ja nicht mal Geld ausgegeben werden, da das ganze bewusst ein Nichtkommerzielles Angebot wider Geheimdienste und Despoten wie Putin darstellt. Die (offenbar vielen weitgehend unbekannte) Geschichte und Intention der Durovs ist hundertmal stimmiger und glaubwürdiger als das billige Marketing der Schweizer. Wem Telegram nicht gefällt kann das Ding wieder installieren, ohne unnütz Geld ausgegeben zu haben. In Deutschland scheint die Masse das irgendwie nicht zu verstehen. Es kann nur gut sein, was etwas kostet. Und unsere Schweizer Nachbarn haben natürlich nur 1a-Wäre...
Menü
[1] uwest antwortet auf Leiter Kundenverarsche³
18.06.2015 13:37
Das meiste in dieser Mail ist falsch. Bitte informieren...

Die Crypto-Bibliothek, die von Threema verwendet wird, ist Open Source und entsprechend geprüft (NaCl). Die Threema GmbH liefert sogar eine Anleitung, wie man die korrekte Verschlüsselung der eigenen Nachrichten mit Hilfe der NaCl-Bibliothek verifiziert. (Bitte in den FAQ nachlesen.)

Es ist außerdem falsch, daß sich "die Schweizer" weigerten, einen Audit durchführen zu lassen. Auch hierzu bitte informieren.

Der "hochgelobte" Messenger Telegram ist übrigens derjenige, der eine eigenes Crypto-Gebräu verwendet, das Closed Source ist - und das bei Reverse Engineerings komplett durchgefallen ist. (Man google mal nach 'Telegram, AKA “Stand back, we have Math PhDs!') Würden die Herren und Damen von der EFF mal ihre Tabelle korrigieren, dann sähe das Bild anders aus...
Menü
[1.1] spaghettimonster antwortet auf uwest
31.07.2015 14:25
Benutzer uwest schrieb:
Die Crypto-Bibliothek, die von Threema verwendet wird, ist Open Source und entsprechend geprüft (NaCl).

Das reicht nicht und das weiß man bei Threema auch. 90% der Krypto-Attacken richten sich effizienterweise nicht gegen die Verschlüsselung selbst, sondern gegen ihre fehlerhafte Implementation. Die ist so nicht prüfbar.

Closed-Source-Verschlüsselung ist unseriös und grenzt an Betrug, weil sie auf Unkenntnis der stets laienhaften Kundschaft basiert. Punkt. Jeder Informatiker fängt zu grinsen an, wenn er von Closed-Source-Verschlüsselung hört.
Menü
[2] mattes007 antwortet auf Leiter Kundenverarsche³
18.06.2015 14:05
Benutzer Leiter Kundenverarsche³ schrieb:
Die App ist auf WP nur als "dysfunktional" zu beschreien - nichts funktioniert wie es sollte.

Auch diese Info ist falsch. Das Einzige was nicht funktioniert sind die Umfragen. Dies finde ich zwar sehr spannend, aber ist auch wirklich das einzige Feature was zur Zeit fehlt.

Ansonsten funktioniert es anstandslos.

Kann mich ansonsten UWEST nur anschließen. Habe diverse Tests gelesen und Telegramm "verkauft" Sicherheit, legt aber den Quellcode nicht offen. Zudem wurde immer wieder von "skurillen" Leuten berichtet, die hinter diesem Messenger stecken.

Als sicher würde ich daher nur "SIMSme" und "Threema" bezeichnen. Beide nutze ich und bin mit der Funktionalität sehr zufrieden. Man kann ja auch parallel mehrere Messenger haben und nutzen.
Whatsapp nutze ich nicht und werde ich auch nicht nutzen, solange es nicht absolut sicher ist und keine "wirtschaftlichen" Aspekte dahinter stecken.
Menü
[3] applerules antwortet auf Leiter Kundenverarsche³
18.06.2015 14:10
Benutzer Leiter Kundenverarsche³ schrieb:

Wer also meint einen sicheren Messenger zu benötigen und einsetzen zu wollen, der kommt derzeit nicht an Telegram vorbei, sofern er es denn wirklich ernst damit meint.

Was haben sie dir denn gegeben. Telegram hat doch die üblichen Schwächen. Kein Audit, kein offener Quellcode. Das einzig Wahre ist Text Secure, Bithc.

Menü
[4] mattes007 antwortet auf Leiter Kundenverarsche³
18.06.2015 14:20
Hier mal die von UWEST angesprochenen Seiten bei Threema:

https://threema.ch/de/faq/crypto_differences
Detaillierte Beschreibungen über die Unterschiede von Telegramm, Whatsapp und Threema.

https://threema.ch/de/faq/why_secure
Hier technische Beschreibungen der eingesetzten Verschlüsselung.
Menü
[5] sondermüller antwortet auf Leiter Kundenverarsche³
14.07.2015 19:03
Benutzer Leiter Kundenverarsche³ schrieb:

[]

Wer also meint einen sicheren Messenger zu benötigen und einsetzen zu wollen, der kommt derzeit nicht an Telegram vorbei, sofern er es denn wirklich ernst damit meint. Lustigerweise muss für Telegram ja nicht mal Geld ausgegeben werden, da das ganze bewusst ein Nichtkommerzielles Angebot wider Geheimdienste und Despoten wie Putin darstellt. Die (offenbar vielen weitgehend unbekannte) Geschichte und Intention der Durovs ist hundertmal stimmiger und glaubwürdiger als das billige Marketing der Schweizer. Wem Telegram nicht gefällt kann das Ding wieder installieren, ohne unnütz Geld ausgegeben zu haben. In Deutschland scheint die Masse das irgendwie nicht zu verstehen. Es kann nur gut sein, was etwas kostet. Und unsere Schweizer Nachbarn haben natürlich nur 1a-Wäre...

Lies mal den Wikipedia-Artikel zu Telegram. Die Sicherheit von Telegrams selbst entwickeltem (!) Krypto-Protokoll wird weitgehend als zweifelhaft eingestuft.

So glaubwürdig du Durov und seine Geschichte finden magst, er ist Gründer von VKontakte, dem "Russischen Facebook". Ausserdem ist suspekt, dass Chats nicht standardmässig verschlüsselt sind. Und wie kann sich die App finanzieren, wenn sie kostenlos angeboten wird?
Menü
[5.1] applerules antwortet auf sondermüller
15.07.2015 08:58
Benutzer sondermüller schrieb:
Benutzer Leiter Kundenverarsche³ schrieb:

Während ihr hier fleißig diskutiert, chatte ich sicher mit Signal 2.0
Menü
[5.1.1] spaghettimonster antwortet auf applerules
30.07.2015 18:30
Benutzer applerules schrieb:
Während ihr hier fleißig diskutiert, chatte ich sicher mit Signal 2.0

Ich stimme dir zu, dass das ein Schritt in die richtige Richtung ist. Nach meiner Kenntnis laufen bei Textsecure/Signal aber alle Nachrichten über einen zentralen Server in den USA, einem Staat mit wohl einmaliger Überwachungsdichte. Von Sicherheit kann daher keine Rede sein, übrigens auch verfügbarkeitstechnisch. Auch wenn man annimmt, dass die Verschlüsselung der Nachrichteninhalte nach derzeitigem Wissensstand sicher ist, lassen sich durch Analyse des Datenverkehrs um diesen zentralen Server herum immer noch die Verbindungsmuster ermitteln, wer wann mit wem kommuniziert (Verbindungsdaten). Das kann aussagekräftiger sein als die Inhalte der Nachrichten.

Auf diesem Server lagert eine Liste mit allen User-Rufnummern. (Komisch, warum man nicht einfach Nicknames verwenden kann, was bei ICQ vor 15 Jahren wunderbar funktioniert hat.) Solche Listen wecken immer Begehrlichkeiten, sei es staatlicher oder wirtschaftlicher Natur. Die einzige Möglichkeit, das zu vermeiden, ist, sie erst gar nicht anzulegen.

Was die Verschlüsselung der Inhalte angeht, ist unter den großen, zentralistischen Betriebssystemen heute schon von der Grundkonzeption her nichts sicher. Sie sind auf Bequemlichkeit und Entmündigung ausgelegt. Man ist daueronline, aus Bequemlichkeit ist updatetechnisch permanent Tag der offenen Tür, und man vergibt Rechte nach dem Gießkannenprinzip. Die Betriebssysteme telefonieren regelmäßig aus unbekanntem Anlass nach Hause. Kein Nutzer kann nachvollziehen, was sie übertragen. Wenn Apple und Google Keylogger und Hintertüren zur Überwachung einbauen wollen oder dazu gezwungen werden oder das schon längst getan haben, merkt das kaum einer, zumal die Systeme nicht quelloffen sind. Auf den Endgeräten liegen die Messenger-Nachrichten bekanntlich unverschlüsselt, so dass auf einem so präparierten Endgerät die beste Transport-Verschlüsselung leerläuft.

Auch das Merkmal Open-Source ist meiner Meinung nach zu relativieren: Durch die Quasi-Monopolisierung der offiziellen App-Stores kann man ohne größeres Gewese nur die von Apple/Google nach schwammigen Richtlinien vorzensierten und vorcodierten Apps installieren (wieso muss ich mich dazu überhaupt anmelden?). Ob die App-Varianten von dort immer auf dem veröffentlichten Originalquellcode beruhen, bleibt Spekulation. Und wer Apple oder Google blind vertraut, kann auch gleich der folternden und tötenden US-Regierung vertrauen und braucht dann auch keinerlei Verschlüsselung.