Abo
  • Services:
Anzeige
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind (Bild: Andreas Donath/Golem.de)

Nur Quellcode schafft Vertrauen

Anzeige

Eine der beliebtesten Whatsapp-Alternativen ist zurzeit Threema. Das Unternehmen wirbt damit, in der Schweiz beheimatet zu sein, fernab vom Zugriff durch die NSA. Doch das ist ein trügerisches Versprechen - und das nicht nur, weil die Schweiz selbst gerade kräftig daran arbeitet, Datenschutz und Bürgerrechte zu schwächen.

Es ist im Grunde völlig egal, wo sich ein Unternehmen befindet, das eine Verschlüsselungssoftware entwickelt. Vertrauen in eine Software kann nur dann entstehen, wenn deren Funktionsweise unabhängig überprüft werden kann. Bei Threema ist das schwierig: Der Quellcode steht nicht zur Verfügung.

Für den Anwender am besten ist es natürlich, wenn ein Produkt als freie Software zur Verfügung steht. Doch selbst wenn ein Unternehmen wie Threema sich entscheidet, sein Produkt als Kaufware anzubieten, spricht grundsätzlich nichts gegen eine Veröffentlichung des Quellcodes. Threema könnte etwa den Quellcode nur zur Einsicht bereitstellen und Veränderungen nicht erlauben. Doch im Moment erhält der Nutzer nur ein Binärpaket.

Im Klartext heißt das: Wer ein Produkt wie Threema benutzt, vertraut den Programmierern blind, dass sie keine Hintertüren einbauen und keine Fehler machen.

Ein sicherer Messenger muss die Funktionsweise seines Protokolls und den Quellcode offenlegen. Klar ist aber auch: Der Quellcode alleine reicht nicht. Es muss auch gewährleistet sein, dass dieser von erfahrenen Kryptographen untersucht wurde und es muss nachvollziehbar sein, wie aus dem Quellcode das spätere Binärpaket erstellt wurde.

Nicht das Rad neu erfinden

Verschlüsselte Messenger sind zwar aktuell im Trend, aber neu sind sie nicht. Viel Lob hat sich über die Jahre die OTR-Verschlüsselung verdient. Das OTR-Protokoll kann zusammen mit Jabber/XMPP genutzt werden und bot als eines der ersten Protokolle Forward Secrecy beim Chatten. OTR hat allerdings - das sollte man nicht verschweigen - für mobile Messenger einen Nachteil: Es benötigt Kommunikation in beide Richtungen und funktionieren somit nur, wenn beide Nutzer online sind.

Wo immer möglich, sollte man bei der Entwicklung von Kryptographie-Software auf Bewährtes setzen. Auch wenn TLS seine Tücken hat, gravierende Fehler wird man darin bei Verwendung der aktuellen Version wahrscheinlich nicht finden, Selbiges gilt für PGP und OTR. Wer neue Protokolle entwickeln will, sollte trotz allem nicht versuchen, Verschlüsselungsalgorithmen wie AES selber zu programmieren, es gibt genügend frei verwendbaren Code.

 IMHO: Vorsicht vor falschen Krypto-VersprechenSicherheit des Gesamtsystems oft fragwürdig 

eye home zur Startseite
DerGoldeneReiter 09. Mär 2014

Ehm nö, so einfach ist es wohl nicht, wenn du an einen Direktvergleich Bit für Bit oder...

TheUnichi 04. Mär 2014

Aus der Dezentralisierung wird aber mit relativ wenig Geld ziemlich schnell eine...

Nerd_vom_Dienst 02. Mär 2014

Dass ist genau der Punkt, die Datenkanäle an sich können nicht 100% gesichert werden...

Anonymer Nutzer 02. Mär 2014

Und ich finde der TE hat mit seinem Beitrag und dessen Quintessenz nicht ganz unrecht...

AIM-9 Sidewinder 01. Mär 2014

Hm, vielleicht in Form einer imaginären IPv6-Adresse? Das dürfte lang genug sein, oder?



Anzeige

Stellenmarkt
  1. cmxKonzepte GmbH & Co. KG, deutschlandweit (Home-Office)
  2. Technische Universität Darmstadt, Darmstadt
  3. Endress+Hauser Conducta GmbH+Co. KG, Gerlingen (bei Stuttgart)
  4. Robert Bosch GmbH, Leonberg


Anzeige
Spiele-Angebote
  1. 19,99€ inkl. Versand
  2. 4,99€
  3. ab 129,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Prozessoren

    AMD bringt Ryzen mit 12 und 16 Kernen und X390-Chipsatz

  2. Spark Room Kit

    Cisco bringt KI in Konferenzräume

  3. Kamera

    Facebook macht schicke Bilder und löscht sie dann wieder

  4. Tapdo

    Das Smart Home mit Fingerabdrücken steuern

  5. 17,3-Zoll-Notebook

    Razer aktualisiert das Blade Pro mit THX-Zertifizierung

  6. Mobilfunk

    Tschechien versteigert Frequenzen für 5G-Netze

  7. Let's Encrypt

    Immer mehr Phishing-Seiten beantragen Zertifikate

  8. E-Mail-Lesen erlaubt

    Koalition bessert Gesetz zum automatisierten Fahren nach

  9. Ransomware

    Scammer erpressen Besucher von Porno-Seiten

  10. Passwort-Manager

    Lastpass fällt mit gleich drei Sicherheitslücken auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vikings im Kurztest: Tiefgekühlt kämpfen
Vikings im Kurztest
Tiefgekühlt kämpfen
  1. Nier Automata im Test Stilvolle Action mit Überraschungen
  2. Torment im Test Spiel mit dem Text vom Tod
  3. Nioh im Test Brutal schwierige Samurai-Action

Gesetzesentwurf: Ein Etikettenschwindel bremst das automatisierte Fahren aus
Gesetzesentwurf
Ein Etikettenschwindel bremst das automatisierte Fahren aus
  1. Autonomes Fahren Uber stoppt nach Unfall Versuch mit selbstfahrenden Taxis
  2. Tesla Autopilot Root versichert autonom fahrende Autos
  3. Autonomes Fahren Kalifornien will fahrerlose Autos zulassen

In eigener Sache: Golem.de sucht Marketing Manager (w/m)
In eigener Sache
Golem.de sucht Marketing Manager (w/m)
  1. In eigener Sache Golem.de geht auf Jobmessen
  2. In eigener Sache Golem.de kommt jetzt sicher ins Haus - per HTTPS
  3. In eigener Sache Unterstützung für die Schlussredaktion gesucht!

  1. Re: ich verstehe die Idee hinter Snapchat bis...

    ManuPhennic | 19:55

  2. Re: Hmmm... zuviel Anime geschaut...

    Dragon Of Blood | 19:54

  3. Re: Wie wäre diese Methode: Nix illegales drauf...

    FreiGeistler | 19:52

  4. Re: Selbstbedienungskassen würden mir schon reichen

    patwoz | 19:52

  5. das thema voip crypted

    triplekiller | 19:49


  1. 18:51

  2. 18:32

  3. 18:10

  4. 17:50

  5. 17:28

  6. 17:10

  7. 16:45

  8. 16:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel