Abo
  • Services:
Anzeige
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind
Threema - Sicherheitsversprechen, die mangels Quellcode schwer zu prüfen sind (Bild: Andreas Donath/Golem.de)

Nur Quellcode schafft Vertrauen

Anzeige

Eine der beliebtesten Whatsapp-Alternativen ist zurzeit Threema. Das Unternehmen wirbt damit, in der Schweiz beheimatet zu sein, fernab vom Zugriff durch die NSA. Doch das ist ein trügerisches Versprechen - und das nicht nur, weil die Schweiz selbst gerade kräftig daran arbeitet, Datenschutz und Bürgerrechte zu schwächen.

Es ist im Grunde völlig egal, wo sich ein Unternehmen befindet, das eine Verschlüsselungssoftware entwickelt. Vertrauen in eine Software kann nur dann entstehen, wenn deren Funktionsweise unabhängig überprüft werden kann. Bei Threema ist das schwierig: Der Quellcode steht nicht zur Verfügung.

Für den Anwender am besten ist es natürlich, wenn ein Produkt als freie Software zur Verfügung steht. Doch selbst wenn ein Unternehmen wie Threema sich entscheidet, sein Produkt als Kaufware anzubieten, spricht grundsätzlich nichts gegen eine Veröffentlichung des Quellcodes. Threema könnte etwa den Quellcode nur zur Einsicht bereitstellen und Veränderungen nicht erlauben. Doch im Moment erhält der Nutzer nur ein Binärpaket.

Im Klartext heißt das: Wer ein Produkt wie Threema benutzt, vertraut den Programmierern blind, dass sie keine Hintertüren einbauen und keine Fehler machen.

Ein sicherer Messenger muss die Funktionsweise seines Protokolls und den Quellcode offenlegen. Klar ist aber auch: Der Quellcode alleine reicht nicht. Es muss auch gewährleistet sein, dass dieser von erfahrenen Kryptographen untersucht wurde und es muss nachvollziehbar sein, wie aus dem Quellcode das spätere Binärpaket erstellt wurde.

Nicht das Rad neu erfinden

Verschlüsselte Messenger sind zwar aktuell im Trend, aber neu sind sie nicht. Viel Lob hat sich über die Jahre die OTR-Verschlüsselung verdient. Das OTR-Protokoll kann zusammen mit Jabber/XMPP genutzt werden und bot als eines der ersten Protokolle Forward Secrecy beim Chatten. OTR hat allerdings - das sollte man nicht verschweigen - für mobile Messenger einen Nachteil: Es benötigt Kommunikation in beide Richtungen und funktionieren somit nur, wenn beide Nutzer online sind.

Wo immer möglich, sollte man bei der Entwicklung von Kryptographie-Software auf Bewährtes setzen. Auch wenn TLS seine Tücken hat, gravierende Fehler wird man darin bei Verwendung der aktuellen Version wahrscheinlich nicht finden, Selbiges gilt für PGP und OTR. Wer neue Protokolle entwickeln will, sollte trotz allem nicht versuchen, Verschlüsselungsalgorithmen wie AES selber zu programmieren, es gibt genügend frei verwendbaren Code.

 IMHO: Vorsicht vor falschen Krypto-VersprechenSicherheit des Gesamtsystems oft fragwürdig 

eye home zur Startseite
DerGoldeneReiter 09. Mär 2014

Ehm nö, so einfach ist es wohl nicht, wenn du an einen Direktvergleich Bit für Bit oder...

TheUnichi 04. Mär 2014

Aus der Dezentralisierung wird aber mit relativ wenig Geld ziemlich schnell eine...

Nerd_vom_Dienst 02. Mär 2014

Dass ist genau der Punkt, die Datenkanäle an sich können nicht 100% gesichert werden...

Anonymer Nutzer 02. Mär 2014

Und ich finde der TE hat mit seinem Beitrag und dessen Quintessenz nicht ganz unrecht...

AIM-9 Sidewinder 01. Mär 2014

Hm, vielleicht in Form einer imaginären IPv6-Adresse? Das dürfte lang genug sein, oder?



Anzeige

Stellenmarkt
  1. Lufthansa Technik AG, Hamburg
  2. T-Systems International GmbH, verschiedene Einsatzorte
  3. WEMACOM Telekommunikation GmbH, Schwerin
  4. Flottweg SE, Vilsbiburg Raum Landshut


Anzeige
Top-Angebote
  1. (u. a. Ballistix 16 GB DDR4-2666 124,90€, G.Skill 16 GB DDR4-3200 179,90€)
  2. (u. a. Samsung 960 Evo 500 GB 229,90€, Evo 1 TB 429,00€)
  3. (u. a. AOC AG271QG LED-Monitor 599,00€, Asus ROG Swift PG348Q 999,00€)

Folgen Sie uns
       


  1. DSLR

    Nikon D850 macht 45,7 Megapixel große Bilder mit 9 fps

  2. Chrome Web Store

    Chrome warnt künftig vor manipulativen Erweiterungen

  3. Separate E-Mail-Adressen

    Komplexe Hilfe gegen E-Mail-Angriffe

  4. Luna Display

    iPad wird zum Funk-Zweitdisplay für den Mac

  5. Centriq 2400

    Qualcomm erläutert 48-Kern-ARM-Chip

  6. Ni No Kuni 2 Angespielt

    Scharmützel und Aufbau im Königreich Ding Dong Dell

  7. Elektroautos

    115 Schnellladestationen gegen Reichweitenangst gebaut

  8. Drohnenlieferungen

    In Island fliegen bald Pizza und Bier

  9. Playstation Now

    Sonys Streamingdienst für PS4 und Windows-PC gestartet

  10. Umweltbundesamt

    Software-Updates für Diesel reichen nicht



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

Google Home auf Deutsch im Test: "Tut mir leid, ich verstehe das nicht"
Google Home auf Deutsch im Test
"Tut mir leid, ich verstehe das nicht"
  1. Google Express Google und Walmart gehen Shopping-Kooperation ein
  2. Smarter Lautsprecher Google Home erhält Bluetooth-Zuspielung und Spotify Free
  3. Lautsprecher-Assistent Google Home ab 8. August 2017 in Deutschland erhältlich

  1. Ewig gewartet und kaum noch supportet

    HibikiTaisuna | 10:58

  2. Meinen Euro 4 Diesel weggeben?

    Daem | 10:58

  3. Re: Warum?

    Carl Weathers | 10:57

  4. Super Sache, würde ich kaufen, wenn nicht...

    ChoMar | 10:53

  5. Re: Umweltpremie für Touareg - ein Witz

    Kondratieff | 10:51


  1. 10:52

  2. 09:10

  3. 09:00

  4. 08:32

  5. 08:10

  6. 07:45

  7. 07:41

  8. 07:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel