Kostenpunkt

Die App gibt es für 5,99 EUR im Apple App Store und für 4,99 EUR im Google Play Store.

Namensgebung Threema

Der Name ist vom Akronym EEEMA, kurz für End-to-End-Encrypting Messaging Application, abgeleitet, wobei die drei E‘s durch den Begriff „Three“ (englisch für drei) ersetzt wurden.

Anonymität

Im Gegensatz zu vielen anderen WhatsApp-Alternativen wie Signal oder Telegram muss man bei dieser App keine E-Mail-Adresse oder Telefonnummer angeben, um ein Konto zu erstellen. Dadurch kann man den Dienst mit einem relativ hohen Maß an Anonymität nutzen.

Funktionsweise von Threema

Die App verwendet eine Benutzer-ID, die nach dem Start der App durch einen Zufallsgenerator erstellt wird. Anstatt eine verknüpfte E-Mail-Adresse oder Telefonnummer zum Senden von Nachrichten zu verlangen. Es ist möglich, andere Nutzer anhand ihrer Telefonnummer oder E-Mail-Adresse zu finden. Vorausgesetzt der Nutzer der App lässt die Synchronisation des Adressbuchs zu.

Die Verknüpfung einer Telefonnummer oder E-Mail-Adresse mit einer Threema-ID ist optional. Nutzer können die Identität ihrer Threema-Kontakte verifizieren, indem sie deren QR-Code scannen, wenn sie sich physisch treffen. Der QR-Code enthält den öffentlichen Schlüssel des Nutzers, der kryptografisch an die ID gebunden ist. Dieser ändert sich für die gesamte Lebensdauer der Identität nicht.

Mit dieser Authentifizierungsfunktion können Nutzer sicherstellen, dass sie den richtigen öffentlichen Schlüssel ihrer Chatpartner haben. Dies bietet zusätzliche Sicherheit gegen Man-in-the-middle-Angriffe.

Die App kennt drei Stufen der Authentifizierung. Die Verifizierungsstufe eines jeden Kontakts wird in der App mit Punkten neben dem entsprechenden Kontakt klassifiziert.

Neben Textnachrichten können Nutzer auch Sprach- und Videoanrufe tätigen, Multimedia, Sprachnachrichten, Dateien versenden und Standorte teilen. Eine Web-App-Version kann auf Desktop-Geräten genutzt werden, solange das Smartphone mit der Threema-Installation des Nutzers online ist.

Neben Einzelchats bietet Threema auch Gruppenchats mit bis zu 256 Personen. Die Nutzer können Sprach- und Videoanrufe tätigen, Text- und Sprachnachrichten, Multimedia, Dateien jeder Art (bis zu 50 MB pro Datei) versenden Es ist auch möglich, Umfragen in persönlichen oder Gruppenchats zu erstellen.

Verschlüsselung

Das von Threema verwendete Verschlüsselungsverfahren basiert auf der Open Source-Bibliothek NaCl library. Die Anwendung verwendet eine asymmetrische ECC-basierte Verschlüsselung mit 256 Bit. Threema bietet eine „Validation Logging“-Funktion, mit der bestätigt werden kann, dass Nachrichten mit der NaCl Networking and Cryptography Library Ende-zu-Ende-verschlüsselt sind. Im August 2015 wurde Threema einer externen Sicherheitsprüfung unterzogen. Die Forscher von cnlab bestätigten, dass die Anwendung bzw. der Dienst eine sichere Ende-zu-Ende-Verschlüsselung ermöglicht, und behaupteten, sie hätten keine Schwachstellen in der Implementierung feststellen können. Die cnlab-Forscher bestätigten auch, dass App seinen Nutzern Anonymität bietet und Kontakte und andere Nutzerdaten wie beworben behandelt.

Fazit

Im Grunde genommen scheint Threema durchaus zu den sichereren Instant Messengern zu zählen. Nichtsdestotrotz hilft die sicherste Anwendung nicht, wenn das Smartphone selbst kompromittiert ist.

Der Beitrag Threema – Schützt es wirklich die Privatsphäre und Kommunikation? erschien zuerst auf CEOsBay.

ProtonMail so viel anders als die anderen?

Im Gegensatz zu anderen gängigen E-Mail-Anbietern verwendet ProtonMail eine clientseitige Verschlüsselung, um E-Mail-Inhalte und Nutzerdaten zu schützen, bevor sie an die ProtonMail-Server gesendet werden. Der Dienst kann über einen Webmail-Client, das TOR-Netzwerk (Über TOR werde ich in einem zukünftigen Beitrag schreiben) oder über spezielle iOS- und Android-Apps genutzt werden und Einrichtung sowie Nutzung des Standardkontos ist kostenlos. Dennoch gibt es auch optionale kostenpflichtige Pakete, die man buchen kann.

Eine kurze Zeitreise

Proton Technologies wurde 2013 in Genf, in der Schweiz, gegründet. Anfangs war die Registrierung bzw. Mitgliedschaft nur auf Basis einer Einladung möglich. Am 16. Mai 2014 ging ProtonMail in die öffentliche Beta-Phase über. Die Resonanz war so positiv, dass nach drei Tagen die Beta-Anmeldungen vorübergehend ausgesetzt werden mussten, um die Serverkapazität zu erweitern.

Die PayPal Story

Zwei Monate später erhielt Proton Technologies über eine Crowdfunding-Kampagne auf Indiegogo ca. 550.000 US-Dollar von ca. 10.500 Spendern, obwohl das Ziel lediglich für 100.000 US-Dollar angesetzt war. Während der Kampagne wurde das PayPal-Konto von Proton Technologies von PayPal mit dem Verdacht auf die unrechtmäßige Verschlüsselung eingefroren. PayPal verhinderte die Abhebung von Spenden im Wert von ca. 250.000 US-Dollar. Nachdem die Sperre unbegründet blieb, wurden die Beschränkungen am nächsten Tag wieder aufgehoben.

Am 18. März 2015 erhielt Proton Technologies 2 Millionen US-Dollar von der gemeinnützigen Fondation Genevoise pour l’Innovation Technologique (FONGIT) und Charles River Ventures. Der 14. August 2015 war der Startschuss für ProtonMail in der Prefinal-Version 2.0.
Diese hatte eine komplett neu geschriebene Codebasis für die Webschnittstelle. Am 17. März 2016 kam die Version 3.0, die den offiziellen Start von ProtonMail aus der Betaphase heraus darstellte. Neben einer neuen GUI für den Web-Client, umfasste Version 3.0 auch den öffentlichen Start der Beta-Anwendungen für iOS und Android. Bis 2017 hatte ProtonMail in etwa 2 Millionen Nutzer.

Am 19. Januar 2017 kündigte Proton Technologies eine Tor-Seite an. Am 21. November 2017 wurde ProtonMail Contacts vorgestellt, der Kontaktmanager mit Zero-Knowledge-Verschlüsselung. ProtonMail Contacts nutzte bzw. nutzt auch digitale Signaturen, um die Integrität der Kontaktdaten zu überprüfen. Am 6. Dezember 2017 folgte die Veröffentlichung der ProtonMail Bridge. Eine Anwendung, die E2EE (Ende-zu-Ende-E-Mail-Verschlüsselung) für jeden Desktop-Client bot bzw. der IMAP und SMTP unterstützt.

Am 25. Juli 2018 führte ProtonMail die Adressverifizierung und die Unterstützung von Pretty Good Privacy (PGP) ein. Dadurch wurde ProtonMail mit anderen PGP-Clients interoperabel.

Der Quellcode für das Backend war und blieb bislang Closed Source. Den Quellcode für die Weboberfläche hat ProtonMail jedoch unter einer Open-Source-Lizenz veröffentlicht. ProtonMail hat auch seine mobilen Clients für iOS und Android, sowie die ProtonMail Bridge App als Open Source veröffentlicht. Der gesamte Quellcode ist auf GitHub zu finden. Was GitHub ist kann man in diesem Beitrag lesen.

App Fairness

Im September 2020 beteiligte sich ProtonMail an der Gründung der Coalition for App Fairness. Deren Ziel ist es, bessere Bedingungen für die Aufnahme von Apps in App Stores zu ermöglichen. Proton gründete auch die Coalition for Competitive Digital Markets. Heute zählt die Vereinigung in etwa 50 europäische Technologieunternehmen, die offene, interoperable und wettbewerbsfähige digitale Märkte unterstützen sollen.

Neues Corporate Design

Im Mai 2022 aktualisierte die Proton AG ihr gesamtes Corporate Design. Um ein einheitliches Design für ihre gesamte Software zu erreichen. Stand heute sind es ca. 70 Millionen+ Nutzer, die den Dienst nutzen bzw. vertrauen.

Fazit

Der Service von Proton ist eine durchaus gute Wahl für alle, die Wert auf Datenschutz und Privatsphäre legen. Vor allem, weil alles relativ einfach einzurichten und äußerst benutzerfreundlich aufgebaut ist. Proton Free, die kostenlose Version umfasst 1 GB Speicher und eine kostenlose Mail-Adresse, mit der 150 Nachrichten pro Tag verschickt werden können. Und für 3,99 EUR / Monat, ist man bereits mit 15 GB sowie 10 Mail-Adressen und unbegrenzten Nachrichten dabei.

Die Schwachstelle von ProtonMail ist, dass ProtonMail selbst, die Schlüssel und Software verwalten. Wenn also jemand böse Absichten pflegt, gibt es nichts, was sie daran hindert könnte, eine Version ihres Webmail-Codes zu schicken, die das Passwort für die Mailbox zurücksendet, und sobald jemand im Besitz dieses Schlüssels ist, können die PGP-Schlüssel entsperrt und verwendet werdet. Ich sage nicht, dass dies in der Vergangenheit eingetreten ist oder in der Zukunft eintreten kann. Doch genau dies ist bei einem Konkurrenz-Dienst (Hushmail), in Zusammenhang mit den US-Strafverfolgungsbehörden gemacht worden und so wurden damit zumindest Hushmail’s früheren Zusicherungen, dass ihre Lösung „sicher“ sei, zunichte gemacht.

Einen durch und durch sicheren E-Mail-Dienst zu haben, ist ein schwieriges Unterfangen. Im Grunde genommen müsste der E-Mail-Anbieter die Nutzung ausschließlich über TOR erlauben bzw. zur Verfügung stellen. Bei Google Mail muss man beispielsweise bereits die Anmeldung bzw. spätestens die Verifizierung mit einer Telefonnummer vollziehen, was durchaus eine Sicherheitslücke darstellen kann.

Und am Ende des Tages gehören zu jeder Konversation mindestens 2 Personen. Außer natürlich man ist… Das lassen wir mal lieber… 😀 Aber ja, wir haben mindestens immer zwei Enden und natürlich Metadaten, die in der Regel die IP-Adresse des Absenders, die Absenderadresse, die Empfängeradresse und die Betreffzeile enthalten. Für einen Profi lässt sich damit schon einiges anfangen. Aber um dies zu evaluieren sollte man vielleicht einen Spezialisten hinzuziehen. Ansonsten bleibt es jedem selbst überlassen, darüber zu urteilen ob und mit welchem E-Mail-Dienst man verkehren will 😀

Der Beitrag ProtonMail – E-Mail-Sicherheit neu definiert erschien zuerst auf CEOsBay.

Zero-Knowledge-Prinzip

Für die Datensparsamkeit wird das „Zero-Knowledge-Prinzip“ genutzt, bei dem der Betreiber keinerlei Zugriff auf Nutzerdaten hat, was unter anderem auch eine FOIA-Anfrage (FOIA – Der Freedom of Information Act ist ein, seit 1967, in den USA, in Kraft getretenes Gesetz, zur Informationsfreiheit und gibt jedem das Recht, Zugang zu Dokumenten von staatlichen Behörden zu verlangen) an das FBI bestätigte.

Auf welchen Geräten kann Signal genutzt werden?

Signal ist als App für Android und iOS sowie als Desktop-Version für Windows, macOS und Linux verfügbar. Auf eine Web-Version wurde aus Sicherheitsgründen verzichtet. Die Desktop-Version setzt allerdings voraus, dass die App bereits auf einem Smartphone installiert ist und durch dieses verifiziert wird. Eine anonyme oder pseudonyme Nutzung ohne Offenlegung der Rufnummer gegenüber Gesprächsteilnehmern ist weder mit der Smartphone-App noch mit der Desktop-Version möglich. Für die Verschlüsselung von Nachrichten, Anrufe und Videotelefonie kommt das „freie“ (Achtung – Auch hier sind Anführungszeichen 😉 ) Signal-Protokoll zum Einsatz.

Erst einmal zu den Anführungszeichen bzgl. Signal

Ab dem 22. April 2020, wurde der Source-Code, den man sonst immer auf GitHub „frei“ und aktualisiert vorgefunden hatte, für fast ein Jahr nicht aktualisiert und veröffentlicht. Die Repo (Siehe Erklärung in meinem Beitrag Git bzw. GitHub), war voll von Beschwerden aus der Open-Source-Gemeinde. Eine Erklärung seitens Entwickler blieb bis heute aus. Sicherlich kann man jetzt versuchen, Gründe dafür zu finden, doch dies erachte ich als Nonsens.

Während die Kommunikation, durch die in den Open-Source-Client-Apps und dem Signal-Protokoll implementierte E2EE (Ende-zu-Ende-Verschlüsselung) sicher zu sein schien, verhinderte eine Closed-Source-Server-App, Forks und hinderte weiter jeden daran, die neuesten Versionen des Sourcecodes einzusehen, zu prüfen oder eigene aktuelle Signal-Server zu erstellen. Auf der Website des Unternehmens war in der Zwischenzeit immer noch ein Zitat von Twitter-CEO Jack Dorsey vorzufinden, der den Dienst lobte, weil dieser quelloffen bzw. Open Source und von Fachleuten geprüft sei. Die fast einjährige Verzögerung bei der Freigabe des Server-Quellcodes, als auch die Funkstille über die Verzögerung sind beunruhigend, wenn man bedenkt, dass sie sich mit der Sicherheit und Anonymität im Internet rühmen bzw. man sich als Nutzer genau auf diese beiden Eigenschaften verlässt.

Wie funktioniert Signal?

Im Grunde genommen werden alle Nachrichten, die zwischen registrierten Benutzern ausgetauscht werden, automatisch verschlüsselt. Signal ermöglicht das verschlüsselte Versenden von Textnachrichten, Dokumenten, Fotos und das Teilen von Kontaktinformationen in Einzel- oder Gruppenchats. Darüber hinaus werden auch Gruppentelefonate mit zuschaltbarer Videofunktion mit bis zu 40 Teilnehmern verschlüsselt übertragen.

E2EE und PFS gegen MiTM

Neben der Ende-zu-Ende-Verschlüsselung, wird auch Perfect Forward Secrecy genutzt, welches auch bei der Kompromittierung bzw. beim Bekanntwerden des geheimen persönlichen Schlüssels des Benutzers, Nachrichtenhistorien nur schwer entschlüsselt werden können. Dies hängt damit zusammen, dass für jede Nachricht aus dem Langzeitschlüssel ein eigener temporärer Schlüssel erzeugt wird, der nach Übermittlung vernichtet wird. Die Authentifizierung mit Gesprächspartnern erfolgt mittels QR-Codes, mit denen sich die Benutzer gegenseitig verifizieren. Auf diese Weise wird sichergestellt, dass wirklich mit der wahren Person kommuniziert wird und nicht mit einem Dritten. MiTM (Man-in-the-Middle-Angriffe) können dadurch minimiert werden.

Die Glaubhafte Abstreitbarkeit schützt Nutzer davor, dass eine bestimmte Nachricht, einer bestimmten Person zugewiesen werden kann. Da die Urheberschaft von Nachrichten nicht nachvollziehbar ist, bleibt der Quellenschutz größtenteils gewahrt. Verschlüsselte Benutzerprofile erlauben es, Benutzerfotos und Namen zwischen den Benutzern zu übertragen, ohne dass der Betreiber diese einsehen kann.

View-Once-Funktion

Einmalig präsentierte Medien bzw. Einmalansicht (View-Once – Sobald ein Foto oder Video mit einmaliger Ansicht gesendet wird, kann es lediglich 1x angesehen werden. Fotos oder Videos, die mit aktivierter Einmalansicht gesendet oder empfangen wurden, können nicht weitergeleitet oder gespeichert, mit Emojis versehen oder freigegeben werden. Ob ein Empfänger ein Foto oder Video mit Einmalansicht geöffnet hat, kann nur in Erfahrung gebracht werden, wenn die Gegenseite die Lesebestätigungen aktiviert hat) erlaubt es Mediendateien zu versenden, die nach einmaligem Ansehen aus der Unterhaltung entfernt werden. Diese Funktion wurde in der Betaversion aus 2019 in Signal implementiert. Es ist aber auf jeden Fall zu bedenken, dass derartige Inhalte durch weitere Geräte aufgezeichnet werden können.

Neben diesen Maßnahmen zur Übertragungsverschlüsselung werden von Signal sowohl in der iOS- als auch in der Android-Variante die auf dem Smartphone abgelegten Daten durch SQLCipher (SQLCipher ist eine Open-Source-SQLite-Erweiterung, die eine transparente, vollständige 256-Bit-AES-Datenbankverschlüsselung bietet – Darüber werde ich in einem zukünftigen Beitrag schreiben) verschlüsselt. Auf den Servern des Betreibers werden Kontoeinstellungen, Kontakte und blockierte Kontakte nicht im Klartext gespeichert, sondern mit einer PIN verschlüsselt, die nur dem Nutzer bekannt ist. Bei Gruppenchats sind die Mitgliederliste und der Admin-Status der Mitglieder sowie andere Gruppendetails als verschlüsselte Liste auf den Servern gespeichert. Aber diese sind auf einem Server gespeichert. Auch sind die Metadaten, zwar verschlüsselt, aber auf einem Server gespeichert 😀

Dezentralisierung

Der dezentralisierte Gedanke greift bei Signal nicht, da es eine Servergebundene Lösung ist. Nichtsdestotrotz kann man durch die Nutzung des Open-Source Codes eigene Server aufsetzen – Vorausgesetzt Signal beschließt nicht mal wieder die Schranken zu schließen. Aus diesem Grund kann sowohl die Sicherstellung der Anonymität, als auch die Sicherheit in Frage gestellt werden 😉

Fazit

Die Aktualisierung bzw. Veröffentlichung des Sourcecodes hat fast für ein Jahr nicht stattgefunden. Dies ist kein gutes Zeichen. Mag sein, dass sie die Updates wieder aktuell halten. Aber wer weiß, wann sie sich mal wieder Umentscheiden (lassen?).

Fakt ist auch, dass Signal ohne persönliche Zustimmung Kalendertermine hinzufügen oder ändern und E-Mails an eingeladene Gäste verschicken kann, die dem Anschein nach von einem selbst stammen. Signal kann auf alle auf dem Smartphone gespeicherten Kalendertermine zugreifen. Jederzeit und ohne Bestätigung kann die Kamera des Smartphones aktiviert werden und es können Bild- sowie Videoaufnahmen stattfinden.

Konventionelle SMS können durch die App gelesen, gesendet und gelöscht werden. Auf die Mikrofone des Smartphones kann die App auch zugreifen und zu jedem Zeitpunkt den Ton aufzeichnen. Die permanente Kommunikation mit einem Server ermöglicht der App und gegebenenfalls Dritten, wann und mit wem telefoniert wurde. Der Messenger kann ohne persönlichen Eingriff Telefonnummern wählen, was zu unerwarteten Kosten und Anrufen führen kann. Alles in allem läuft die App über einen amerikanischen Server und ist somit eine zentralisierte Lösung. Es mag sein, dass es viele Sicherheitsexperten gibt, die Signal für eine gute und „sicherere“ Alternative als Instant Messenger sehen. Nun, ich bin kein Sicherheitsexperte. Daher ist es jedem selbst überlassen, was man von der App hält.

Heute etwas später dran… Ein paar Zimmer benötigten einen neuen Anstrich 😀

Der Beitrag Signal – Vertrauliche Kommunikation und Datenschutz? erschien zuerst auf CEOsBay.

Es verfolgt einen dezentralisierten Ansatz, basiert auf den IMAP bzw. SMTP Protokollen und ist, meiner Erfahrung nach, eines der „sichereren“ Messenger Apps, die man heutzutage nutzen kann.

Was ist IMAP?

Das Internet Message Access Protocol (IMAP), ursprünglich Interactive Mail Access Protocol, ist ein Netzwerkprotokoll, dass ein Netzwerkdateisystem für E-Mails bereitstellt.

Was ist SMTP?

Das Simple Mail Transfer Protocol (Einfaches E-Mail-Transportprotokoll), gehört zu der Internetprotokollfamilie, dass zum Austausch von E-Mails in Computernetzen dient)

Durch den Einsatz der E-Mail-Protokolle IMAP und SMTP ist Delta Chat mit jedem herkömmlichen E-Mail-Client kompatibel. Seit Veröffentlichung im Februar 2019 verzeichnet die App im Google Play Store über 100.000+ Downloads. Auch ist die App im Apple App Store verfügbar aber auf die Zahlen haben wir leider keinen Zugriff. Nachdem ein Freund mich darum gebeten hat, heute ein bisschen was über Delta Chat 😉

Wie funktioniert Delta Chat?

Wie anfangs angesprochen, werden die IMAP- und SMTP-Protokolle benutzt. Daher kommt das System ohne Registrierung bzw. Erstellung eines Kontos innerhalb des Messengers selbst und ohne eigene Server aus. Auch wird keine Telefonnummer oder der Zugriff auf das Adressbuch benötigt. Man ist bei der Verwendung nicht auf Nutzer beschränkt, die denselben Dienst verwenden. Folglich kann man damit Nutzer erreichen, die andere Chat-Clients verwenden, da das zugrundeliegende Messaging-Protokoll der offene E-Mail-Standard ist. Alles in allem sehr viel versprechend. Doch zu Beginn habe ich „sichereren“ in Anführungszeichen geschrieben. Bewusst 😉

Dies liegt aber weniger an Messenger selbst, sondern an der E-Mail-Infrastruktur bzw. den zugrundeliegenden Protokollen IMAP und SMTP. Darüber aber nachfolgend mehr.

Verschlüsselung

Bei Nachrichteninhalten wird auf Ende-zu-Ende-Verschlüsselung (E2EE) zur „sichereren“ Kommunikation gesetzt. Unter „E2EE“, versteht man die Verschlüsselung übertragener Daten, über alle Übertragungsstationen hinweg. Nur die Kommunikationspartner (Die jeweiligen Endpunkte der Kommunikation) können die Nachrichten entschlüsseln. Dazu nutzt der Messenger OpenPGP (Ein standardisiertes Datenformat für verschlüsselte und digital signierte Daten). Zertifikate definieren das Format, die als „Schlüssel“ bezeichnet werden. Autocrypt stellt eine weitere Schutzebene dar. Diese Verschlüsselung baut auf dem OpenPGP-Standard auf und ist damit kompatibel. Autocrypt ist ebenfalls eine standardisierte Richtlinie, die eine nutzerfreundliche Verschlüsselung von E-Mails und automatisierten, aber ungesicherten Austausch kryptografischer Schlüssel ermöglicht.

Bei der Verknüpfung eines E-Mail-Kontos generiert Delta Chat bei der Ersteinrichtung automatisch ein Schlüsselpaar. Auch der Import von bereits bestehenden Schlüsseln ist möglich. Mittels Autocrypt werden die öffentlichen Schlüssel anschließend zwischen den Teilnehmern ausgetauscht und ermöglichen damit eine E2EE-Kommunikation. Bei Autocrypt kann theoretisch ein nichtwohlgesonnener E-Mail-Provider diese Verschlüsselung kompromittieren, da Autocrypt grundsätzlich jeden Schlüssel akzeptiert. Dies erfolgt über „Opportunistic Security (RFC 7435)“. Dies werde ich zu einem späteren Zeitpunkt thematisieren, da es den Rahmen sprengen würde. Es ist 06:10 Uhr, Sonntag morgen 😀 – Wen es aber interessiert, kann dennoch auf den Link klicken 😉

MiTM

Auf jeden Fall können wir festhalten, dass das Potential erfolgreicher Man-in-the-Middle-Attacken minimiert wird. Bei einem Man-in-the-Middle-Angriff platziert sich der Angreifer logisch oder physisch zwischen dem Opfer und den verwendeten Ressourcen. Der Angreifer ist dadurch in der Lage, die Kommunikation abzufangen, mitzulesen oder zu manipulieren. Delta Chat erweitert den Autocrypt-Standard daher um countermitm – dadurch wird die Wahrscheinlichkeit einer erfolgreichen Man-in-the-Middle-Attacke auf verifizierte Schlüssel bzw. Kontakte minimiert.

Neben dieser „Schwäche“ kommt hinzu, dass OpenPGP keine Perfect Forward Secrecy beherrscht. (PFS – Perfect Forward Secrecy ist eine Methode für den Schlüsselaustausch kryptografischer Verfahren. Es bewerkstelligt, dass eine nachträgliche Entschlüsselung durch Bekanntwerden des Hauptschlüssels erschwert bzw. ausgeschlossen wird. Die Sitzungsschlüssel werden nicht ausgetauscht und sind nicht mehr rekonstruierbar). Die Schutzziele der „glaubhaften“ Abstreitbarkeit und Folgenlosigkeit sind daher nicht umsetzbar. Um sicher zu stellen, dass man mit seinem wahren Gegenüber kommuniziert, stellt Delta Chat eine Authentifizierung via QR-Code zur Verfügung. Dadurch wird gewährleistet, dass sich kein Dritter zwischenschaltet. Nach der Durchführung des gegenseitigen Scans des QR-Codes, werden die Nutzer als „Verifiziert“ markiert.

Wenn die Empfänger einer Nachricht auch Delta Chat nutzen, werden die Nachrichten automatisch Ende-zu-Ende-verschlüsselt und als Chatnachricht dargestellt. Allerdings erlaubt Delta Chat das Versenden von Nachrichten auch an E-Mail-Postfächer bzw. Kontakte, die kein Delta Chat verwenden. Wenn der Empfänger einen E-Mail-Client verwendet, der nicht Autocrypt-kompatibel ist, werden Nachrichten unverschlüsselt bzw. nur transportverschlüsselt gesendet bzw. empfangen. Das hat den Nachteil, dass ein E-Mail-Provider die so empfangenen / versendeten Nachrichten unter Umständen einsehen kann. Diesen Umstand sollte man unbedingt berücksichtigen bzw. bei der Nutzung von Delta Chat im Hinterkopf behalten. Welche Transportverschlüsselung zum Einsatz kommt, kann in der App eingesehen werden bzw. wird dies im Nachrichtenverlauf mit einem Schloss symbolisiert.

Dezentralisierung

Wie bereits angesprochen, verfolgt Delta Chat den Ansatz der dezentralisierten Kommunikation, da der Nachrichtenaustausch nicht über zentrale Server läuft. Delta Chat setzt auf die bestehende E-Mail-Infrastruktur auf und kann dadurch auf eigene Server verzichten. Die Nutzung von Delta Chat setzt demnach lediglich ein bestehendes E-Mail-Postfach voraus, das mit Delta Chat verknüpft werden muss. Der Nutzer ist also vollkommen frei in seiner Entscheidung, bei welchem E-Mail-Anbieter er ein Konto eröffnet. Die einzige Voraussetzung ist das IMAP-Protokoll.

Fazit

Ist man im Besitz einer E-Mail-Adresse, kann man Delta Chat ohne eine Registrierung und vor allem Serverunabhängig nutzen. Wird Delta Chat von der Gegenseite nicht genutzt, werden Nachrichten an die konventionelle E-Mail-Adresse des Empfängers gesendet. Wenn der Empfänger auch Delta Chat nutzt, bekommt man die Nachricht innerhalb der App angezeigt. Durch diesen Ansatz ist es nicht notwendig, denselben Messenger zu nutzen. Man kann Delta Chat daher auch als interoperablen Messenger nutzen.

Im Grunde genommen eignet sich Delta Chat für Personen, die ihre Telefonnummer nicht teilen wollen. Gleichzeitig kann man sich die Möglichkeit offen halten, über einen Messenger erreichbar zu sein.

Leider ist nicht sichergestellt, dass Nachrichten E2EE verschlüsselt zugestellt werden und damit für einen Angreifer einsehbar sind. Über die Metadaten können die An- und CC-Felder des E-Mail-Headers eingesehen werden. So lässt es sich relativ einfach herausfinden, wer mit wem, zu welchem Zeitpunkt kommuniziert hat. Die Interoperabilität hat durchaus seine Vorteile. Ob die Vorteile dabei die Nachteile überwiegen, darf jeder für sich selbst entscheiden. Alles in allem stellt Delta Chat eine gute Alternative als Instant Messenger dar. Selbst für meinen Geschmack, wird eine gute Portion an Mehrwert für den Dezentralisierungsgedanken leistet.

Der Beitrag Delta Chat – E-Mail neu erfunden erschien zuerst auf CEOsBay.