Kostenpunkt

Die App gibt es für 5,99 EUR im Apple App Store und für 4,99 EUR im Google Play Store.

Namensgebung Threema

Der Name ist vom Akronym EEEMA, kurz für End-to-End-Encrypting Messaging Application, abgeleitet, wobei die drei E‘s durch den Begriff „Three“ (englisch für drei) ersetzt wurden.

Anonymität

Im Gegensatz zu vielen anderen WhatsApp-Alternativen wie Signal oder Telegram muss man bei dieser App keine E-Mail-Adresse oder Telefonnummer angeben, um ein Konto zu erstellen. Dadurch kann man den Dienst mit einem relativ hohen Maß an Anonymität nutzen.

Funktionsweise von Threema

Die App verwendet eine Benutzer-ID, die nach dem Start der App durch einen Zufallsgenerator erstellt wird. Anstatt eine verknüpfte E-Mail-Adresse oder Telefonnummer zum Senden von Nachrichten zu verlangen. Es ist möglich, andere Nutzer anhand ihrer Telefonnummer oder E-Mail-Adresse zu finden. Vorausgesetzt der Nutzer der App lässt die Synchronisation des Adressbuchs zu.

Die Verknüpfung einer Telefonnummer oder E-Mail-Adresse mit einer Threema-ID ist optional. Nutzer können die Identität ihrer Threema-Kontakte verifizieren, indem sie deren QR-Code scannen, wenn sie sich physisch treffen. Der QR-Code enthält den öffentlichen Schlüssel des Nutzers, der kryptografisch an die ID gebunden ist. Dieser ändert sich für die gesamte Lebensdauer der Identität nicht.

Mit dieser Authentifizierungsfunktion können Nutzer sicherstellen, dass sie den richtigen öffentlichen Schlüssel ihrer Chatpartner haben. Dies bietet zusätzliche Sicherheit gegen Man-in-the-middle-Angriffe.

Die App kennt drei Stufen der Authentifizierung. Die Verifizierungsstufe eines jeden Kontakts wird in der App mit Punkten neben dem entsprechenden Kontakt klassifiziert.

Neben Textnachrichten können Nutzer auch Sprach- und Videoanrufe tätigen, Multimedia, Sprachnachrichten, Dateien versenden und Standorte teilen. Eine Web-App-Version kann auf Desktop-Geräten genutzt werden, solange das Smartphone mit der Threema-Installation des Nutzers online ist.

Neben Einzelchats bietet Threema auch Gruppenchats mit bis zu 256 Personen. Die Nutzer können Sprach- und Videoanrufe tätigen, Text- und Sprachnachrichten, Multimedia, Dateien jeder Art (bis zu 50 MB pro Datei) versenden Es ist auch möglich, Umfragen in persönlichen oder Gruppenchats zu erstellen.

Verschlüsselung

Das von Threema verwendete Verschlüsselungsverfahren basiert auf der Open Source-Bibliothek NaCl library. Die Anwendung verwendet eine asymmetrische ECC-basierte Verschlüsselung mit 256 Bit. Threema bietet eine „Validation Logging“-Funktion, mit der bestätigt werden kann, dass Nachrichten mit der NaCl Networking and Cryptography Library Ende-zu-Ende-verschlüsselt sind. Im August 2015 wurde Threema einer externen Sicherheitsprüfung unterzogen. Die Forscher von cnlab bestätigten, dass die Anwendung bzw. der Dienst eine sichere Ende-zu-Ende-Verschlüsselung ermöglicht, und behaupteten, sie hätten keine Schwachstellen in der Implementierung feststellen können. Die cnlab-Forscher bestätigten auch, dass App seinen Nutzern Anonymität bietet und Kontakte und andere Nutzerdaten wie beworben behandelt.

Fazit

Im Grunde genommen scheint Threema durchaus zu den sichereren Instant Messengern zu zählen. Nichtsdestotrotz hilft die sicherste Anwendung nicht, wenn das Smartphone selbst kompromittiert ist.

Der Beitrag Threema – Schützt es wirklich die Privatsphäre und Kommunikation? erschien zuerst auf CEOsBay.

Es verfolgt einen dezentralisierten Ansatz, basiert auf den IMAP bzw. SMTP Protokollen und ist, meiner Erfahrung nach, eines der „sichereren“ Messenger Apps, die man heutzutage nutzen kann.

Was ist IMAP?

Das Internet Message Access Protocol (IMAP), ursprünglich Interactive Mail Access Protocol, ist ein Netzwerkprotokoll, dass ein Netzwerkdateisystem für E-Mails bereitstellt.

Was ist SMTP?

Das Simple Mail Transfer Protocol (Einfaches E-Mail-Transportprotokoll), gehört zu der Internetprotokollfamilie, dass zum Austausch von E-Mails in Computernetzen dient)

Durch den Einsatz der E-Mail-Protokolle IMAP und SMTP ist Delta Chat mit jedem herkömmlichen E-Mail-Client kompatibel. Seit Veröffentlichung im Februar 2019 verzeichnet die App im Google Play Store über 100.000+ Downloads. Auch ist die App im Apple App Store verfügbar aber auf die Zahlen haben wir leider keinen Zugriff. Nachdem ein Freund mich darum gebeten hat, heute ein bisschen was über Delta Chat 😉

Wie funktioniert Delta Chat?

Wie anfangs angesprochen, werden die IMAP- und SMTP-Protokolle benutzt. Daher kommt das System ohne Registrierung bzw. Erstellung eines Kontos innerhalb des Messengers selbst und ohne eigene Server aus. Auch wird keine Telefonnummer oder der Zugriff auf das Adressbuch benötigt. Man ist bei der Verwendung nicht auf Nutzer beschränkt, die denselben Dienst verwenden. Folglich kann man damit Nutzer erreichen, die andere Chat-Clients verwenden, da das zugrundeliegende Messaging-Protokoll der offene E-Mail-Standard ist. Alles in allem sehr viel versprechend. Doch zu Beginn habe ich „sichereren“ in Anführungszeichen geschrieben. Bewusst 😉

Dies liegt aber weniger an Messenger selbst, sondern an der E-Mail-Infrastruktur bzw. den zugrundeliegenden Protokollen IMAP und SMTP. Darüber aber nachfolgend mehr.

Verschlüsselung

Bei Nachrichteninhalten wird auf Ende-zu-Ende-Verschlüsselung (E2EE) zur „sichereren“ Kommunikation gesetzt. Unter „E2EE“, versteht man die Verschlüsselung übertragener Daten, über alle Übertragungsstationen hinweg. Nur die Kommunikationspartner (Die jeweiligen Endpunkte der Kommunikation) können die Nachrichten entschlüsseln. Dazu nutzt der Messenger OpenPGP (Ein standardisiertes Datenformat für verschlüsselte und digital signierte Daten). Zertifikate definieren das Format, die als „Schlüssel“ bezeichnet werden. Autocrypt stellt eine weitere Schutzebene dar. Diese Verschlüsselung baut auf dem OpenPGP-Standard auf und ist damit kompatibel. Autocrypt ist ebenfalls eine standardisierte Richtlinie, die eine nutzerfreundliche Verschlüsselung von E-Mails und automatisierten, aber ungesicherten Austausch kryptografischer Schlüssel ermöglicht.

Bei der Verknüpfung eines E-Mail-Kontos generiert Delta Chat bei der Ersteinrichtung automatisch ein Schlüsselpaar. Auch der Import von bereits bestehenden Schlüsseln ist möglich. Mittels Autocrypt werden die öffentlichen Schlüssel anschließend zwischen den Teilnehmern ausgetauscht und ermöglichen damit eine E2EE-Kommunikation. Bei Autocrypt kann theoretisch ein nichtwohlgesonnener E-Mail-Provider diese Verschlüsselung kompromittieren, da Autocrypt grundsätzlich jeden Schlüssel akzeptiert. Dies erfolgt über „Opportunistic Security (RFC 7435)“. Dies werde ich zu einem späteren Zeitpunkt thematisieren, da es den Rahmen sprengen würde. Es ist 06:10 Uhr, Sonntag morgen 😀 – Wen es aber interessiert, kann dennoch auf den Link klicken 😉

MiTM

Auf jeden Fall können wir festhalten, dass das Potential erfolgreicher Man-in-the-Middle-Attacken minimiert wird. Bei einem Man-in-the-Middle-Angriff platziert sich der Angreifer logisch oder physisch zwischen dem Opfer und den verwendeten Ressourcen. Der Angreifer ist dadurch in der Lage, die Kommunikation abzufangen, mitzulesen oder zu manipulieren. Delta Chat erweitert den Autocrypt-Standard daher um countermitm – dadurch wird die Wahrscheinlichkeit einer erfolgreichen Man-in-the-Middle-Attacke auf verifizierte Schlüssel bzw. Kontakte minimiert.

Neben dieser „Schwäche“ kommt hinzu, dass OpenPGP keine Perfect Forward Secrecy beherrscht. (PFS – Perfect Forward Secrecy ist eine Methode für den Schlüsselaustausch kryptografischer Verfahren. Es bewerkstelligt, dass eine nachträgliche Entschlüsselung durch Bekanntwerden des Hauptschlüssels erschwert bzw. ausgeschlossen wird. Die Sitzungsschlüssel werden nicht ausgetauscht und sind nicht mehr rekonstruierbar). Die Schutzziele der „glaubhaften“ Abstreitbarkeit und Folgenlosigkeit sind daher nicht umsetzbar. Um sicher zu stellen, dass man mit seinem wahren Gegenüber kommuniziert, stellt Delta Chat eine Authentifizierung via QR-Code zur Verfügung. Dadurch wird gewährleistet, dass sich kein Dritter zwischenschaltet. Nach der Durchführung des gegenseitigen Scans des QR-Codes, werden die Nutzer als „Verifiziert“ markiert.

Wenn die Empfänger einer Nachricht auch Delta Chat nutzen, werden die Nachrichten automatisch Ende-zu-Ende-verschlüsselt und als Chatnachricht dargestellt. Allerdings erlaubt Delta Chat das Versenden von Nachrichten auch an E-Mail-Postfächer bzw. Kontakte, die kein Delta Chat verwenden. Wenn der Empfänger einen E-Mail-Client verwendet, der nicht Autocrypt-kompatibel ist, werden Nachrichten unverschlüsselt bzw. nur transportverschlüsselt gesendet bzw. empfangen. Das hat den Nachteil, dass ein E-Mail-Provider die so empfangenen / versendeten Nachrichten unter Umständen einsehen kann. Diesen Umstand sollte man unbedingt berücksichtigen bzw. bei der Nutzung von Delta Chat im Hinterkopf behalten. Welche Transportverschlüsselung zum Einsatz kommt, kann in der App eingesehen werden bzw. wird dies im Nachrichtenverlauf mit einem Schloss symbolisiert.

Dezentralisierung

Wie bereits angesprochen, verfolgt Delta Chat den Ansatz der dezentralisierten Kommunikation, da der Nachrichtenaustausch nicht über zentrale Server läuft. Delta Chat setzt auf die bestehende E-Mail-Infrastruktur auf und kann dadurch auf eigene Server verzichten. Die Nutzung von Delta Chat setzt demnach lediglich ein bestehendes E-Mail-Postfach voraus, das mit Delta Chat verknüpft werden muss. Der Nutzer ist also vollkommen frei in seiner Entscheidung, bei welchem E-Mail-Anbieter er ein Konto eröffnet. Die einzige Voraussetzung ist das IMAP-Protokoll.

Fazit

Ist man im Besitz einer E-Mail-Adresse, kann man Delta Chat ohne eine Registrierung und vor allem Serverunabhängig nutzen. Wird Delta Chat von der Gegenseite nicht genutzt, werden Nachrichten an die konventionelle E-Mail-Adresse des Empfängers gesendet. Wenn der Empfänger auch Delta Chat nutzt, bekommt man die Nachricht innerhalb der App angezeigt. Durch diesen Ansatz ist es nicht notwendig, denselben Messenger zu nutzen. Man kann Delta Chat daher auch als interoperablen Messenger nutzen.

Im Grunde genommen eignet sich Delta Chat für Personen, die ihre Telefonnummer nicht teilen wollen. Gleichzeitig kann man sich die Möglichkeit offen halten, über einen Messenger erreichbar zu sein.

Leider ist nicht sichergestellt, dass Nachrichten E2EE verschlüsselt zugestellt werden und damit für einen Angreifer einsehbar sind. Über die Metadaten können die An- und CC-Felder des E-Mail-Headers eingesehen werden. So lässt es sich relativ einfach herausfinden, wer mit wem, zu welchem Zeitpunkt kommuniziert hat. Die Interoperabilität hat durchaus seine Vorteile. Ob die Vorteile dabei die Nachteile überwiegen, darf jeder für sich selbst entscheiden. Alles in allem stellt Delta Chat eine gute Alternative als Instant Messenger dar. Selbst für meinen Geschmack, wird eine gute Portion an Mehrwert für den Dezentralisierungsgedanken leistet.

Der Beitrag Delta Chat – E-Mail neu erfunden erschien zuerst auf CEOsBay.

Ende-zu-Ende-Verschlüsselung?

Ja, da ist ein Fragezeichen hinter der Überschrift. Anders als bei den meisten Messengern, die sich derzeit im Umlauf befinden, sind Chats bei Telegram nicht automatisch Ende-zu-Ende-verschlüsselt. Es gibt zwar für alle Chats bzw. Unterhaltungen die Funktion der verschlüsselten Übertragung der Nachrichten auf den Cloud-Server, doch auf auf den Servern selbst kommt das Telegram-eigene Protokoll MTProto (Dies ist das Protokoll, welches von und für Telegram entwickelt wurde, um Nachrichten bei schwachen Mobilfunkverbindungen besser zu übertragen) zum Einsatz, dass keine Ende-zu-Ende-Verschlüsselung vorsieht.

Telegram selbst oder auch Dritte können so durchaus mit geringerem Aufwand auf die in der Cloud gespeicherten Inhalte zugreifen. Im Grunde genommen wäre die Ende-zu-Ende Verschlüsselung gegeben – Wenn da nur nicht der Server dazwischen wäre. Folglich bleibt die Verschlüsselung also nicht auf dem gesamten Übertragungsweg vom Sender zum Empfänger bestehen. Potenziell können Dritte mitlesen und Daten abgreifen. Bei Standard-Chats ließe sich vergleichsweise der Zugriff auf die Inhalte über den Sourcecode (Quellcode – Dies ist der lesbare Quell-Text eines Computerprogramms oder einer Webseite) erreichen.

Wann kommt die Ende-zu-Ende Verschlüsselung denn dann zum Einsatz?

Lediglich bei zwei Modi bzw. Arten der Kommunikation wird bei Telegram die Ende-zu Ende-Verschlüsselung gewährleistet. Zum einen bei geheimen Chats (Diese Funktion ist nur als Einzel- und nicht als Gruppenchat verfügbar) und bei Sprachanrufen. Die User müssen diese Funktionen jedoch bei geheimen Chats erst aktivieren. Und dies bei jedem einzelnen Gespräch. Für Gruppenchats ist diese Funktion, wie bereits erwähnt, überhaupt nicht verfügbar.

Welche Daten werden von Telegram beansprucht?

Neben der IP-Adresse (Internetprotokoll = individuelle Adresse, die ein Gerät im Internet oder auf einem lokalen Netzwerk identifiziert), Gerätedetails (Um welches Endgerät/Modell es sich handelt, welche Auflösung usw.), Benutzernamen und etwaige Änderungen (Ja, sämtliche Änderungen werden protokolliert), Metadaten (Sind strukturierte Daten, die übergreifende Informationen über eine Ressource beinhalten – Kurz: Die Standortdaten des Benutzers), das Telefonbuch (Wie sonst schreibt man seinen Geschäftspartnern und Freunden?) und auch sämtliche Beitritte zu Kanälen und Gruppen sind öffentlich sichtbar.

Alles in allem werden auch laut eigener Aussage von Telegram diese Informationen bis zu 12 Monate gespeichert. Wie dies möglich ist? Nun, man stimmt bei der Nutzung der App „automatisch“ den AGBs bzw. der Datenschutzvereinbarung zu 😉

In diesen steht übrigens auch drin, dass sie bei den Cloud-Chats mitlesen (Dies war die Sache mit den oben erwähnten Servern), um Spam oder andere Bedrohungen zu verhindern. Dafür werden einzelne Standard-Chats von einer Software überprüft, als potenzielle Bedrohung bzw. Spam klassifiziert und von dem ein oder anderen Moderator von Telegram manuell erneut geprüft, ob ein solcher Verdacht sich bestätigt. Ja, dies steht da wirklich drin und kann in der Datenschutzvereinbarung auch im Nachgang nochmal gelesen werden 🙂

Und um die letzten Irrglauben auch aus der Welt zu schaffen. Bei Terrorverdacht, Kindesmissbrauch und anderen Straftaten, werden Daten von Telegram auch an die Behörden weitergegeben. Das ist meines Erachtens nach an sich nichts Schlechtes. Lediglich ist es so, dass die in der jüngsten Zeit immer mehr aufkommenden hetzenden Gruppen eher schlecht als recht moderiert bzw. ausgeschalten werden. Dies finde ich persönlich äußerst bedenklich. Die Beurteilung darüber, ob Telegram nun wirklich sicher ist? Nun, diese Entscheidung ist jedem selbst überlassen. Die hier vermittelten Informationen sollten einen groben Überblick darüber gegeben haben, wie Telegram mit der Sicherheit bzw. dem Datenschutz umgeht.

Der Beitrag Telegram – „Verschlüsselte“ Nachrichten App für eine sichere Kommunikation? erschien zuerst auf CEOsBay.