Abo
  • Services:
Anzeige
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind (Bild: Andreas Donath/Golem.de)

Nur Quellcode schafft Vertrauen

Anzeige

Eine der beliebtesten Whatsapp-Alternativen ist zurzeit Threema. Das Unternehmen wirbt damit, in der Schweiz beheimatet zu sein, fernab vom Zugriff durch die NSA. Doch das ist ein trügerisches Versprechen - und das nicht nur, weil die Schweiz selbst gerade kräftig daran arbeitet, Datenschutz und Bürgerrechte zu schwächen.

Es ist im Grunde völlig egal, wo sich ein Unternehmen befindet, das eine Verschlüsselungssoftware entwickelt. Vertrauen in eine Software kann nur dann entstehen, wenn deren Funktionsweise unabhängig überprüft werden kann. Bei Threema ist das schwierig: Der Quellcode steht nicht zur Verfügung.

Für den Anwender am besten ist es natürlich, wenn ein Produkt als freie Software zur Verfügung steht. Doch selbst wenn ein Unternehmen wie Threema sich entscheidet, sein Produkt als Kaufware anzubieten, spricht grundsätzlich nichts gegen eine Veröffentlichung des Quellcodes. Threema könnte etwa den Quellcode nur zur Einsicht bereitstellen und Veränderungen nicht erlauben. Doch im Moment erhält der Nutzer nur ein Binärpaket.

Im Klartext heißt das: Wer ein Produkt wie Threema benutzt, vertraut den Programmierern blind, dass sie keine Hintertüren einbauen und keine Fehler machen.

Ein sicherer Messenger muss die Funktionsweise seines Protokolls und den Quellcode offenlegen. Klar ist aber auch: Der Quellcode alleine reicht nicht. Es muss auch gewährleistet sein, dass dieser von erfahrenen Kryptographen untersucht wurde und es muss nachvollziehbar sein, wie aus dem Quellcode das spätere Binärpaket erstellt wurde.

Nicht das Rad neu erfinden

Verschlüsselte Messenger sind zwar aktuell im Trend, aber neu sind sie nicht. Viel Lob hat sich über die Jahre die OTR-Verschlüsselung verdient. Das OTR-Protokoll kann zusammen mit Jabber/XMPP genutzt werden und bot als eines der ersten Protokolle Forward Secrecy beim Chatten. OTR hat allerdings - das sollte man nicht verschweigen - für mobile Messenger einen Nachteil: Es benötigt Kommunikation in beide Richtungen und funktionieren somit nur, wenn beide Nutzer online sind.

Wo immer möglich, sollte man bei der Entwicklung von Kryptographie-Software auf Bewährtes setzen. Auch wenn TLS seine Tücken hat, gravierende Fehler wird man darin bei Verwendung der aktuellen Version wahrscheinlich nicht finden, Selbiges gilt für PGP und OTR. Wer neue Protokolle entwickeln will, sollte trotz allem nicht versuchen, Verschlüsselungsalgorithmen wie AES selber zu programmieren, es gibt genügend frei verwendbaren Code.

 IMHO: Vorsicht vor falschen Krypto-VersprechenSicherheit des Gesamtsystems oft fragwürdig 

eye home zur Startseite
DerGoldeneReiter 09. Mär 2014

Ehm nö, so einfach ist es wohl nicht, wenn du an einen Direktvergleich Bit für Bit oder...

TheUnichi 04. Mär 2014

Aus der Dezentralisierung wird aber mit relativ wenig Geld ziemlich schnell eine...

Nerd_vom_Dienst 02. Mär 2014

Dass ist genau der Punkt, die Datenkanäle an sich können nicht 100% gesichert werden...

Anonymer Nutzer 02. Mär 2014

Und ich finde der TE hat mit seinem Beitrag und dessen Quintessenz nicht ganz unrecht...

AIM-9 Sidewinder 01. Mär 2014

Hm, vielleicht in Form einer imaginären IPv6-Adresse? Das dürfte lang genug sein, oder?



Anzeige

Stellenmarkt
  1. OUTFITTER GmbH, Neu-Isenburg
  2. Deutsche Hypothekenbank (Actien-Gesellschaft), Hannover
  3. expert SE, Langenhagen
  4. operational services GmbH & Co. KG, Frankfurt


Anzeige
Hardware-Angebote
  1. bis zu 25% sparen

Folgen Sie uns
       


  1. Autonomes Fahren

    Singapur kündigt fahrerlose Busse an

  2. Coinhive

    Kryptominingskript in Chat-Widget entdeckt

  3. Monster Hunter World angespielt

    Die Nahrungskettensimulation

  4. Rechtsunsicherheit bei Cookies

    EU warnt vor Verzögerung von ePrivacy-Verordnung

  5. Schleswig-Holstein

    Bundesland hat bereits 32 Prozent echte Glasfaserabdeckung

  6. Tesla Semi

    Teslas Truck gibt es ab 150.000 US-Dollar

  7. Mobilfunk

    Netzqualität in der Bahn weiter nicht ausreichend

  8. Bake in Space

    Bloß keine Krümel auf der ISS

  9. Sicherheitslücke

    Fortinet vergisst, Admin-Passwort zu prüfen

  10. Angry Birds

    Rovio verbucht Quartalsverlust nach Börsenstart



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Firefox Nightly Build 58 Firefox warnt künftig vor Webseiten mit Datenlecks
  2. Mozilla Wenn Experimente besser sind als Produkte
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

Fire TV (2017) im Test: Das Streaminggerät, das kaum einer braucht
Fire TV (2017) im Test
Das Streaminggerät, das kaum einer braucht
  1. Neuer Fire TV Amazons Streaming-Gerät bietet HDR für 80 Euro
  2. Streaming Update für Fire TV bringt Lupenfunktion
  3. Streaming Amazon will Fire TV und Echo Dot vereinen

  1. Re: Nicht jammern, sondern machen

    esqe | 06:54

  2. Re: Interessant was Golem da so lapidar als...

    Lasse Bierstrom | 06:51

  3. Re: Wer bei Drillisch abschließt....

    Mett | 06:34

  4. Re: "Security Produkte" verkaufen Jobgarantie für...

    ML82 | 06:16

  5. Re: Marktforschung == öffentliches Interesse?

    ML82 | 06:09


  1. 17:56

  2. 15:50

  3. 15:32

  4. 14:52

  5. 14:43

  6. 12:50

  7. 12:35

  8. 12:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel