Vergiftetes Angebot -Threema NICHT sicher

Das meiste in dieser Mail ist falsch. Bitte informieren...

Die Crypto-Bibliothek, die von Threema verwendet wird, ist Open Source und entsprechend geprüft (NaCl). Die Threema GmbH liefert sogar eine Anleitung, wie man die korrekte Verschlüsselung der eigenen Nachrichten mit Hilfe der NaCl-Bibliothek verifiziert. (Bitte in den FAQ nachlesen.)

Es ist außerdem falsch, daß sich "die Schweizer" weigerten, einen Audit durchführen zu lassen. Auch hierzu bitte informieren.

Der "hochgelobte" Messenger Telegram ist übrigens derjenige, der eine eigenes Crypto-Gebräu verwendet, das Closed Source ist - und das bei Reverse Engineerings komplett durchgefallen ist. (Man google mal nach 'Telegram, AKA “Stand back, we have Math PhDs!') Würden die Herren und Damen von der EFF mal ihre Tabelle korrigieren, dann sähe das Bild anders aus...

Benutzer uwest schrieb:

Das reicht nicht und das weiß man bei Threema auch. 90% der Krypto-Attacken richten sich effizienterweise nicht gegen die Verschlüsselung selbst, sondern gegen ihre fehlerhafte Implementation. Die ist so nicht prüfbar.

Closed-Source-Verschlüsselung ist unseriös und grenzt an Betrug, weil sie auf Unkenntnis der stets laienhaften Kundschaft basiert. Punkt. Jeder Informatiker fängt zu grinsen an, wenn er von Closed-Source-Verschlüsselung hört.

Benutzer Leiter Kundenverarsche³ schrieb:

Auch diese Info ist falsch. Das Einzige was nicht funktioniert sind die Umfragen. Dies finde ich zwar sehr spannend, aber ist auch wirklich das einzige Feature was zur Zeit fehlt.

Ansonsten funktioniert es anstandslos.

Kann mich ansonsten UWEST nur anschließen. Habe diverse Tests gelesen und Telegramm "verkauft" Sicherheit, legt aber den Quellcode nicht offen. Zudem wurde immer wieder von "skurillen" Leuten berichtet, die hinter diesem Messenger stecken.

Als sicher würde ich daher nur "SIMSme" und "Threema" bezeichnen. Beide nutze ich und bin mit der Funktionalität sehr zufrieden. Man kann ja auch parallel mehrere Messenger haben und nutzen.
Whatsapp nutze ich nicht und werde ich auch nicht nutzen, solange es nicht absolut sicher ist und keine "wirtschaftlichen" Aspekte dahinter stecken.

Benutzer Leiter Kundenverarsche³ schrieb:


Was haben sie dir denn gegeben. Telegram hat doch die üblichen Schwächen. Kein Audit, kein offener Quellcode. Das einzig Wahre ist Text Secure, Bithc.

Hier mal die von UWEST angesprochenen Seiten bei Threema:

https://threema.ch/de/faq/crypto_differences
Detaillierte Beschreibungen über die Unterschiede von Telegramm, Whatsapp und Threema.

https://threema.ch/de/faq/why_secure
Hier technische Beschreibungen der eingesetzten Verschlüsselung.

Benutzer Leiter Kundenverarsche³ schrieb:

[]


Lies mal den Wikipedia-Artikel zu Telegram. Die Sicherheit von Telegrams selbst entwickeltem (!) Krypto-Protokoll wird weitgehend als zweifelhaft eingestuft.

So glaubwürdig du Durov und seine Geschichte finden magst, er ist Gründer von VKontakte, dem "Russischen Facebook". Ausserdem ist suspekt, dass Chats nicht standardmässig verschlüsselt sind. Und wie kann sich die App finanzieren, wenn sie kostenlos angeboten wird?

Benutzer sondermüller schrieb:

Während ihr hier fleißig diskutiert, chatte ich sicher mit Signal 2.0

Benutzer applerules schrieb:

Ich stimme dir zu, dass das ein Schritt in die richtige Richtung ist. Nach meiner Kenntnis laufen bei Textsecure/Signal aber alle Nachrichten über einen zentralen Server in den USA, einem Staat mit wohl einmaliger Überwachungsdichte. Von Sicherheit kann daher keine Rede sein, übrigens auch verfügbarkeitstechnisch. Auch wenn man annimmt, dass die Verschlüsselung der Nachrichteninhalte nach derzeitigem Wissensstand sicher ist, lassen sich durch Analyse des Datenverkehrs um diesen zentralen Server herum immer noch die Verbindungsmuster ermitteln, wer wann mit wem kommuniziert (Verbindungsdaten). Das kann aussagekräftiger sein als die Inhalte der Nachrichten.

Auf diesem Server lagert eine Liste mit allen User-Rufnummern. (Komisch, warum man nicht einfach Nicknames verwenden kann, was bei ICQ vor 15 Jahren wunderbar funktioniert hat.) Solche Listen wecken immer Begehrlichkeiten, sei es staatlicher oder wirtschaftlicher Natur. Die einzige Möglichkeit, das zu vermeiden, ist, sie erst gar nicht anzulegen.

Was die Verschlüsselung der Inhalte angeht, ist unter den großen, zentralistischen Betriebssystemen heute schon von der Grundkonzeption her nichts sicher. Sie sind auf Bequemlichkeit und Entmündigung ausgelegt. Man ist daueronline, aus Bequemlichkeit ist updatetechnisch permanent Tag der offenen Tür, und man vergibt Rechte nach dem Gießkannenprinzip. Die Betriebssysteme telefonieren regelmäßig aus unbekanntem Anlass nach Hause. Kein Nutzer kann nachvollziehen, was sie übertragen. Wenn Apple und Google Keylogger und Hintertüren zur Überwachung einbauen wollen oder dazu gezwungen werden oder das schon längst getan haben, merkt das kaum einer, zumal die Systeme nicht quelloffen sind. Auf den Endgeräten liegen die Messenger-Nachrichten bekanntlich unverschlüsselt, so dass auf einem so präparierten Endgerät die beste Transport-Verschlüsselung leerläuft.

Auch das Merkmal Open-Source ist meiner Meinung nach zu relativieren: Durch die Quasi-Monopolisierung der offiziellen App-Stores kann man ohne größeres Gewese nur die von Apple/Google nach schwammigen Richtlinien vorzensierten und vorcodierten Apps installieren (wieso muss ich mich dazu überhaupt anmelden?). Ob die App-Varianten von dort immer auf dem veröffentlichten Originalquellcode beruhen, bleibt Spekulation. Und wer Apple oder Google blind vertraut, kann auch gleich der folternden und tötenden US-Regierung vertrauen und braucht dann auch keinerlei Verschlüsselung.