News Crypto-Messenger „TextSecure“ mit Version 2.0 runderneuert

[Ilsan]

Das funktioniert mit asynchroner Verschlüsselung, daher muss kein Schlüssel "sicher" übertragen werden. Der Schlüssel zum verschlüsseln ist öffentlich.

DAS stellt nur einen sicheren Kanal her. Das Problem ist aber dass du gar nicht weißt mit wem du da grad Nachrichten austauscht. Wer sagt dir dass der öffentliche Schlüssel von Max den du durch die App bekommen hast auch tatsächlich seiner ist? Das geht nur über Verifizierung über einen zweiten Kanal, wird den meisten Leuten aber dann wieder zu umständlich.

Ein Produkt was Threema von der Idee her zumindest nahe kommt. Ich fürchte leider wird wohl Telegramm am ehesten die Leute ansprechen, einfach weil es kostenlos ist und optisch sehr ähnlich zu whatsapp ist. Threema wäre besser und das hier scheint auch nicht übel zu sein.

Wieso ist Threema besser? Soweit ich weiß ist Threema CS und Telegramm OS, noch dazu ist Telegramm kostenlos, daher bevorzuge ich eher Telegramm.

Wenn man Whatsapp Marktanteile abgraben will dann sollte man den Service erstmal kostenlos anbieten. Die meisten Leute haben eh schon WA, da werden viele nicht umsteigen auf eine APP die kaum einer hat und die noch dazu Geld kostet.

Sobald man dann einen gewissen Marktanteil hat kann man es ja immer noch kostenpflichtig machen doch zu Beginn find ich das eher ne dumme Idee

 

[prog.ger]

...

Fazit:

Aufgrund dessen das meine Telefonnummer eh schon bei denen registriert ist,waren alle Einstellungen Chatprotokolle noch vorhanden.Soviel zu dem Thema,das eure Daten bei einer Kündigung des Accounts gelöscht werden

...

Die "Chatprotokolle" liegen zunächst mal in Form einer Datenbank auf dem Smartphone im Whatsapp-Ordner zusammen mit allen Bildern. Daher ist es gut möglich das lokale Daten noch vorhanden waren, Whatsapp aber auf deren Servern tatsächlich alles gelöscht hatte. Es sollte dann aber bei der Deinstallation zumindest gefragt werden ob alle Daten gelöscht werden sollen (oder wird das auch gemacht? noch nie WA deinstalliert)

 

[yasu]

Whatsapp kostet genauso pro Jahr - zumindest min. für neue Nutzer. Alt-Verträge sind da teilweise von ausgenommen (gewesen).

Also ob man nun für Threema oder WA bezahlt, ist gehüpft, wie gesprungen. Threema kostet immerhin nur einmalig. Das hat man spätestens nach 2 Jahren wieder drin.
Das Telegram auf Dauer kostenlos bleibt, sehe ich im übrigen bei weitem nicht so optimistisch, wie einige hier.

Unabhängig davon ist es auch in meinen Augen vermessen, alles immer und überall kostenlos haben zu wollen.

 

[Klueze]

Soso. Ich hatte nie ein Facebook-Konto und werde auch nie eins haben. .

Mein Satz war auf die Allgemeinheit bezogen, dass es auf Einzelpersonen nicht zutrifft ist mir klar. Es geht mir halt um genau die die eh täglich bei Facebook schreiben und sich nun aufregen und wechseln.

Wieso ist Threema besser? Soweit ich weiß ist Threema CS und Telegramm OS, noch dazu ist Telegramm kostenlos, daher bevorzuge ich eher Telegramm.

Ganz einfach: Weil das was Telegram an Verschlüsselung benutzt von Haus aus nicht sicher ist. Dazu gibt es einen schönen Blog eintrag der genau diese Schwachstellen aufdeckt: http://unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/

Ob Threema es besser macht steht natürlich in den Sternen, wegen CS. Wenigstens macht es TextSecure besser.

Was soll immer dieser Rus-Facebook-Kram?
Die einzige Verbindung zu Russland scheint die ursprünglich Finanzspritze von Pawel Durow zu sein (der russische Sozialnetzwerkgründer).

Ansonsten ist Telegram eine Berliner Firma mit Servern in London.

Wikipedia: Telegram was founded in 2013 by the brothers Nikolai and Pavel Durov, the founders of VK, Russia's largest social network.[2] Telegram is an independent company, not connected to VK. It is based in Berlin.[3][4] Nikolai created the new MTProto protocol that the messenger is based on, while Pavel provided financial support and infrastructure through his Digital Fortress fund.

Damit scheinst du also recht zu haben. Die Wurzeln sollte man trotzdem im Blick haben. Außerdem das es nichts kostet und was dahinter stehen könnte.

 

[AvenDexx]

Ganz einfach: Weil das was Telegram an Verschlüsselung benutzt von Haus aus nicht sicher ist. Dazu gibt es einen schönen Blog eintrag der genau diese Schwachstellen aufdeckt: http://unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/

Naja, auf der anderen seite bietet Telegram noch den Secret/Secure Chat, der eine Ende zu Ende Verschlüsselung nutzt. Und hier wird angeblich mit 200.000 USD geworben, sofern man es schafft, die Verschlüsselung zu knacken.

Als Quelle kann ich da aktuell leider nur ein Video auf Youtube nennen, welches ich gestern gesehen habe. Der Kanal ist "SemperVideo" und in einem ihrer Videos zu alternativen Messenger-Diensten (jetzt nach dem Kauf von Whatsapp) wird das dort erwähnt. Nebenbei wird auch der Crypto-Messenger angesprochen.

Hier der Link zu dem Video: Klick mich

 

[P20]

Hm, wollte jetzt die TextSecure 2.0.2 App Einrichten, aber ich kann meine Nummer nicht registrieren, weil ich schon im CM Whisper Push Service registriert bin. Wie komme ich jetzt aus dem wieder raus oder wie lösche ich den?

 

[blablub44]

Man wird durch die Medien aber auch total "kirre" gemacht.Und auch wenn durch Verschlüsselung bei anderen Messengern die Sachen sicherer sein sollen........lasst euch doch keinen Bären aufbinden.Jeder dieser Messenger greift mit seinen Rechten generell auf das Adressbuch zu.Es ist nun mal Fakt,das es dadurch keine Sicherheit vor Datenklau geben kann

Aber sicher, das funktioniert so:
1) Nehme einen Kontakt deiner Wahl, von dem du wissen möchtest, ob er auch bei TextSecure ist.
2) Generiere einen Hash aus der Telefonnummer. Es liegt in der Natur des Hashes (wenn die richtige Hashfunktion genutzt wird), dass aus dem Hash nicht wieder die originale Telefonnummer gewonnen werden kann. Trotzdem ist der Hash im Idealfall mehr oder weniger eindeutig (Stichwort: Kollisionen), identifiziert dich also als Nutzer ohne deine Nummer herauszugeben!
3) der Server gleicht deinen Hash mit bekannten Nutzern ab, und kann bei Erfolg einen verschlüsselten Kanal aufbauen. Der Server weiß nie, ob er grade Tante Emma's Telefonnummer, oder die des Präsidenten überprüft.
Du kannst überprüfen, ob TextSecure das tut, indem du auf https://github.com/WhisperSystems/TextSecure gehst, und dich durch den Code wühlst, bis du es gefunden hast. Dann Kompilierst du das Programm selbst, und vergleichst (dafür gibt's "Checksums") ob es sich um das selbe Stück App handelt, wie die, die du aus dem Playstore geladen hast. Jetzt bist du dir sicher, dass die TextSecure App auf deinem Handy keinen Datenklau begehen kann. Außer sie übermittelt Kontaktdaten woanders. Das könnte man aber auch herausfinden, indem man sich jede einzelne Zeile Code anschaut. Es gibt Gott sei Dank Menschen, die so etwas tun. OpenSource!!

Es sind übrigens Kleinigkeiten wie die falsche Hashfunktion benutzen, die das komplette Konzept stürzen können. Deswegen ist es so wichtig, dass man sich etwa den Threema Sourcecode angucken kann. Oder dass man eine Diskussion über Telegrams selbstentwickeltes und kontrovers diskutiertes Kryptoprotokoll führt. Und eben auch dass man das TextSecure v2 Protokoll genau analysiert. Die Entwickler haben wohl einiges an Credibility und Ahnung von Krypto (Moxie Marlinspike ist schon lange dabei), aber auch denen kann ein Fehler passieren. Übrigens gehört Open WhisperSystems, die Firma hinter TextSecure, zu Twitter.
Da müssen richtige Profis ran. Kryptografie ist einfach kein Kinderspiel. Es ist einfach schade, dass man als Nerd nicht der ganzen Welt DIE 1A WhatsApp-Alternative bieten konnte, und zwar in den zwei kritischen Tagen, als das Thema gehyped wurde.

 

[Slezer]

Bei mir kommt Fehler Meldung wenn ich mich registrieren möchte. Weil ich bei CM bin kann ich da nicht hin?

 

[blablub44]

Naja, auf der anderen seite bietet Telegram noch den Secret/Secure Chat, der eine Ende zu Ende Verschlüsselung nutzt. Und hier wird angeblich mit 200.000 USD geworben, sofern man es schafft, die Verschlüsselung zu knacken.

Kritische Stimmen behaupten, der Contest ist so gemacht, dass er nicht gewonnen werden kann. (http://www.cryptofails.com/post/70546720222/telegrams-cryptanalysis-contest)

Stell dir vor jemand gibt dir ein Fahrradschloss und fordert dich heraus, es aufzumachen. Als Werkzeug ist aber nur eine Nagelschere erlaubt! Du kriegst es nicht auf, und der Hersteller sagt "Siehst du, Fahrradschloss ist absolut sicher."! In der richtigen Welt, da wo es zählt, haben die Leute aber Schweißbrenner. Und die NSA hat wahrscheinlich sogar Laserschwerter, um das Schloss zu knacken.

 

[Klueze]

Naja, auf der anderen seite bietet Telegram noch den Secret/Secure Chat, der eine Ende zu Ende Verschlüsselung nutzt. Und hier wird angeblich mit 200.000 USD geworben, sofern man es schafft, die Verschlüsselung zu knacken.

Das mit den 200.000 USD hab ich auch gelesen. Es ist aber was anderes ob du deren Verschlüsselung knackst oder ihr gesamtes Konzept in Frage stellst. Denn wenn du eine Lücke im Konzept findest (siehe Blogeintrag) wirst du die 200.000 USD nicht bekommen und das Konzept ist nun mal genau so wichtig wie die gewählte Verschlüsselung.

edit: blablubs Erklärung veranschaulicht einen Aspekt des Problems.

 

[AvenDexx]

@Klueze:
Ah sooo. Ok, mein Fehler das Konzept mit der Verschlüsselung gleichzusetzen. Sorry!

 

[Necareor]

Also ich hab mich jetzt bei WhisperPush registriert. Werden jetzt alle SMS automatisch verschlüsselt, wenn das Gegenüber auch bei WhisperPush registriert ist? (Spielt es eine Rolle, ob ich Hangouts oder die SMS-App verwende?)

 

[Criamos]

@Necareor: Ja, werden sie. Das geschieht bei WhisperPush unabhängig von der gewählten SMS-App, da es direkt in CM integriert wurde. Wenn du jetzt jemandem mit WhisperPush / TextSecure eine SMS schickst, sollten diese Nachrichten automatisch über den Datenkanal versandt werden, sodass dir keine SMS-Kosten entstehen.

Wer hingegen kein CyanogenMod nutzt, muss Nachrichten selbstverständlich über TextSecure verschicken, damit diese verschlüsselt beim Gegenüber ankommen.

 

[h3@d1355_h0r53]

Wo ist denn das Problem was man nimmt?
Hat euer Smartphone/Tablet denn so wenig Speicherplatz, dass nur eine App draufpasst?

Threema ist leider weitaus schlechter als angenommen. Eine Festnetznummer zu registrieren geht nicht, d.h. die App ist völlig unbrauchbar da mich so niemand finden wird weil meine einzige Nummer nicht registrierbar ist..

Das Problem mit TextSecure ist doch das, dass es gefühlten 95% der Nutzer (außer zur Zeit) völlig egal ist wie sicher oder unsicher ein Messenger ist. WhatsApp ist idiotensicher, man installiert es, verifiziert die Nummer super einfach und hat dann praktisch ALLE Kontakte in der App. Das können die Alternativen auch, aber da gibt es nicht alle Kontakte oder man hat kryptische Dinge, die man sichern soll, etc...

Warum also wirbt man für ein App, die megasupersicher ist (was ja toll ist) aber andererseits mit der Werbung vielleicht 5% der Nutzer angesprochen wird (momentan von mir aus 20%)? Die 5% teilen sich ja dann in die verschiedenen Apps auf; die sollen die restlichen 95% dann missioniern? WhatsApp wirbt mit wenig, kann wenig (2 Geräte gleichzeitig geht nicht), man weiß einfach es benutzt jeder und ist einfach und dass es nicht sicher ist und dass es jetzt zu Facebook gehört - so what?

Werbeaussagen der Websites der Anbieter. Die meisten können anscheinend kein deutsch bzw. setzen voraus, dass meine knapp 70 jährige Mutter englisch verstehen würde?! Was bringt mir sicherheit wenn es eine App gibt, die EINFACH ist? Selbst der FB Messenger hat einfach 2 Bilder als Erklärung die mehr sagen als 1000 Worte und ansprechender sind als die Websites der Konkurrenz.

WhatsApp: Einfach. Persönlich. Nachrichtenaustausch in Echtzeit.
Messenger: Kostenloser mobiler Nachrichtenversand über Facebook
Telegram: taking back our right to privacy
Threema: Seriously secure mobile messaging.
Hangouts: Gestalten Sie Ihre Unterhaltungen noch lebendiger – mit Fotos, Emojis und kostenlosen Gruppen-Videoanrufen.
WhisperSystems: Security, simplified. Open Source security for mobile devices.
TextSecure: Secure texts for Android

Bitte nicht falsch verstehen, meiner Meinung nach gehört alles verschlüsselt soweit es geht. Und verschiedene Messenger und Nachrichten auf Threema beginnen und auf Telegram sicher fortführen ist wahrscheinlich noch besser als nur einen Messenger zu benutzen.

 

[Colonel Decker]

Ich finde es fragwürdig, was man derzeit so alles als "Whatsapp Alternative" bezeichnet. Whatsapp hatte vor allem auch deshalb solch großen Erfolg als selbsterklärter SMS-Ersatz, weil sie für alle Plattformen einen Client angeboten haben.

Was man momentan so alles als Alternative dazu bezeichnet, ist aber nur auf den großen Plattformen verfügbar. Mit Windows Phone bleibt mir persönlich nur Telegram.

 

[Klueze]

@colonel: dann bleib doch einfach bei WA? Was hindert dich daran?

 

[freacore]

Wie ermittelt Textsecure, ob der Gesprächspartner es auch verwendet?

 

[SoilentGruen]

Telegram ist im Moment wohl der beste Kompromis was Verfügbarkeit und Nutzbarkeit angeht.

 

[blablub44]

@freacore: ich bin mir relativ sicher, dass das wie in meinem Beitrag #47 https://www.computerbase.de/forum/threads/crypto-messenger-textsecure-mit-version-2-0-runderneuert.1321426/page-3#post-15351957 weiter oben funktioniert. Ich erinnere mich noch daran von Moxie Marlinspike (Entwickler) gelesen zu haben, dass genannte Hashes sogar abgeschnitten werden, um die Anzahl von Kollisionen zu erhöhen. Dann könnte jemand der Annahme vor "Gericht" widersprechen, dass Hash XY genau zu seiner Telefonnummer gehört.

 

[Colonel Decker]

@colonel: dann bleib doch einfach bei WA? Was hindert dich daran?

Das habe ich schon vor Wochen gelöscht, da ich es ohnehin fast nie benutzt habe. Ich mag es nicht, ans Handy gefesselt zu sein. Ich will auch auf dem Desktop schreiben können. Insofern habe ich bisher den Facebook Messenger benutzt. Allerdings habe ich nicht meine Mails, Kalender und Kontakte von Google und Microsoft nach Mailbox.org umgezogen, um andererseits weiterhin meine Chat-Kommunikation über Facebook laufen zu lassen.

Insofern bleibt mir erstmal nur Telegram. Sobald weitere Lösungen auch auf WP8 und dem Desktop laufen, werde ich die einfach parallel zu Telegram installieren.