Abo
  • Services:
Anzeige
Die Threema-Validation funktioniert zwar, sagt aber wenig aus.
Die Threema-Validation funktioniert zwar, sagt aber wenig aus. (Bild: Screenshot / Hanno Böck)

Nur Reverse Engineering könnte Aufschluss geben

Anzeige

Die einzige Möglichkeit für Nutzer, tatsächlich zu prüfen, dass Threema keine derartigen Hintertüren enthält, wäre mittels Reverse Engineering. Man könnte mit entsprechend großem Aufwand die Funktionsweise von Threema etwa mit Hilfe eines Decompilers prüfen. Doch das wäre vermutlich illegal.

"Der Quellcode dieses Produkts ist vertraulich und ein geschütztes Geschäftsgeheimnis von Kasper Systems GmbH", heißt es dazu in der Nutzungslizenz von Threema. "Sie dürfen nicht versuchen, dieses Produkt zu reverse engineeren, dekompilieren, disassemblen oder auf andere Weise zu entschlüsseln."

Laut einem Bericht von Zeit Online ist der Threema-Code bislang nicht von unabhängiger Seite geprüft worden. Threema-Entwickler Manuel Kasper sagte Zeit Online, dass momentan auch kein unabhängiger Audit geplant sei.

Fazit: Validation sagt wenig aus

Mit der Validation verbindet Threema ein großes Versprechen, das nicht gehalten werden kann. Eine Überprüfung der Korrektheit der Ende-zu-Ende-Verschlüsselung ist damit nicht möglich. Der Nutzer erfährt lediglich, dass sich die geloggten Nachrichten korrekt mit NaCl entschlüsseln lassen - für den Fall, dass es sich bei ihnen tatsächlich um die übertragenen handelt. Mehr nicht.

In Anbetracht dessen wirkt es äußerst fragwürdig, dass Threema unabhängigen Sicherheitsforschern explizit verbietet, die Funktionsweise des Programms mit Methoden des Reverse Engineerings zu untersuchen. Letztendlich bleibt es dabei: Wer auf die Kryptographie von Threema vertraut, muss auch darauf vertrauen, dass die Autoren von Threema keine gravierenden Fehler gemacht haben und keine absichtlichen Hintertüren in das Programm einbauen.

Wir hätten gerne Threema zur Validation und zur Sicherheit der Verschlüsselung einige Fragen gestellt. Leider wurden unsere diesbezüglichen Anfragen nicht beantwortet. Eine Kontaktadresse für Presseanfragen gibt es nicht, beim Support wurde die Anfrage unseres Autors mehrere Tage nicht beantwortet. Eine E-Mail an eine Kontaktadresse, die wir aufgrund einer früheren Anfrage erhalten hatten, wurde ebenfalls ignoriert.

 Verschlüsselung: Validation von Threema ist wenig aussagekräftig

eye home zur Startseite
Simon B. 20. Apr 2016

Siehe: https://shop.threema.ch/eula

Jenny_Webber 28. Jul 2014

Das iOS Data Protection Feature nützt bei einem Messenger leider wenig bis nichts. Denn...

blubby666 28. Jul 2014

Die könnten doch dann immernoch wie jetzt bei Threema für den Offline Zeitraum auf dem...

ikhaya 23. Mär 2014

Ich denke das die Infos von Jan Ahrens zum Protokoll von Threema durchaus interessant...

onewaypub 11. Mär 2014

Hmm. Interessant. Das heißt Du vertraust Snowden mehr. Womit wir beim Thema Vertrauen...



Anzeige

Stellenmarkt
  1. PRÜFTECHNIK AG, Ismaning Raum München
  2. Fresenius Netcare GmbH, Bad Homburg
  3. Joblocal GmbH, Kolbermoor
  4. endica GmbH, Heilbronn


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. (u. a. 2 Guns, Bad Boys 2, Captain Phillips, Chappie, Christine)
  3. (u. a. Das Boot, Memento, Ohne Limit und No Escape)

Folgen Sie uns
       


  1. EU-Kommission

    Google muss in EU 2,42 Milliarden Euro Strafe zahlen

  2. Core i9-7900X im Test

    Intels 10-Kern-Brechstange

  3. Supercomputer und Datencenter

    Lenovo verabschiedet sich vom PC

  4. United Internet

    1&1 nutzt Glasfasernetz von M-net

  5. Tablet-Projekt

    Jolla will Lizenzeinnahmen für Entschädigungen nutzen

  6. Augmented Reality

    Cast AR trotz Valve-Technologietransfer am Ende

  7. Online-Banking

    Zahlungsdienste der Commerzbank ausgefallen

  8. Fritz-Labor-Version

    AVM baut Mesh-WLAN in seine Router und Repeater ein

  9. Smartphone

    Der Verkauf des Oneplus Five beginnt

  10. Sprint

    Milliardenfusion der Telekom in USA wird noch größer



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Skull & Bones angespielt: Frischer Wind für die Segel
Skull & Bones angespielt
Frischer Wind für die Segel
  1. Forza Motorsport 7 Dynamische Wolken und wackelnde Rückspiegel
  2. The Frozen Lands Eisige Erweiterung für Horizon Zero Dawn vorgestellt
  3. Rennspiele Thrustmasters T-GT-Lenkrad kostet 800 Euro

Sony Xperia XZ Premium im Test: Taschenspiegel mit übertrieben gutem Display
Sony Xperia XZ Premium im Test
Taschenspiegel mit übertrieben gutem Display
  1. Keine Entschädigung Gericht sieht mobiles Internet nicht als lebenswichtig an
  2. LTE Deutsche Telekom führt HD Voice Plus ein
  3. Datenrate Vodafone bietet im LTE-Netz 500 MBit/s

1Sheeld für Arduino angetestet: Sensor-Platine hat keine Sensoren und liefert doch Daten
1Sheeld für Arduino angetestet
Sensor-Platine hat keine Sensoren und liefert doch Daten
  1. Calliope Mini im Test Neuland lernt programmieren
  2. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  3. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif

  1. Re: Warum?

    treefiddy | 12:11

  2. Re: Bietet mal Thinkpads ohne OS an

    cepe | 12:07

  3. Laeuft gut

    ChMu | 12:07

  4. Re: Thinkpads sind meiner Meinung nach die...

    armbanduhrakku | 12:06

  5. Re: Wie Nintendo seine Switch ignoriert...

    t3st3rst3st | 12:05


  1. 12:21

  2. 12:08

  3. 11:34

  4. 11:30

  5. 11:12

  6. 10:59

  7. 10:44

  8. 10:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel