Abo
  • Services:
Anzeige
Die Threema-Validation funktioniert zwar, sagt aber wenig aus.
Die Threema-Validation funktioniert zwar, sagt aber wenig aus. (Bild: Screenshot / Hanno Böck)

Nur Reverse Engineering könnte Aufschluss geben

Anzeige

Die einzige Möglichkeit für Nutzer, tatsächlich zu prüfen, dass Threema keine derartigen Hintertüren enthält, wäre mittels Reverse Engineering. Man könnte mit entsprechend großem Aufwand die Funktionsweise von Threema etwa mit Hilfe eines Decompilers prüfen. Doch das wäre vermutlich illegal.

"Der Quellcode dieses Produkts ist vertraulich und ein geschütztes Geschäftsgeheimnis von Kasper Systems GmbH", heißt es dazu in der Nutzungslizenz von Threema. "Sie dürfen nicht versuchen, dieses Produkt zu reverse engineeren, dekompilieren, disassemblen oder auf andere Weise zu entschlüsseln."

Laut einem Bericht von Zeit Online ist der Threema-Code bislang nicht von unabhängiger Seite geprüft worden. Threema-Entwickler Manuel Kasper sagte Zeit Online, dass momentan auch kein unabhängiger Audit geplant sei.

Fazit: Validation sagt wenig aus

Mit der Validation verbindet Threema ein großes Versprechen, das nicht gehalten werden kann. Eine Überprüfung der Korrektheit der Ende-zu-Ende-Verschlüsselung ist damit nicht möglich. Der Nutzer erfährt lediglich, dass sich die geloggten Nachrichten korrekt mit NaCl entschlüsseln lassen - für den Fall, dass es sich bei ihnen tatsächlich um die übertragenen handelt. Mehr nicht.

In Anbetracht dessen wirkt es äußerst fragwürdig, dass Threema unabhängigen Sicherheitsforschern explizit verbietet, die Funktionsweise des Programms mit Methoden des Reverse Engineerings zu untersuchen. Letztendlich bleibt es dabei: Wer auf die Kryptographie von Threema vertraut, muss auch darauf vertrauen, dass die Autoren von Threema keine gravierenden Fehler gemacht haben und keine absichtlichen Hintertüren in das Programm einbauen.

Wir hätten gerne Threema zur Validation und zur Sicherheit der Verschlüsselung einige Fragen gestellt. Leider wurden unsere diesbezüglichen Anfragen nicht beantwortet. Eine Kontaktadresse für Presseanfragen gibt es nicht, beim Support wurde die Anfrage unseres Autors mehrere Tage nicht beantwortet. Eine E-Mail an eine Kontaktadresse, die wir aufgrund einer früheren Anfrage erhalten hatten, wurde ebenfalls ignoriert.

 Verschlüsselung: Validation von Threema ist wenig aussagekräftig

eye home zur Startseite
Simon B. 20. Apr 2016

Siehe: https://shop.threema.ch/eula

Jenny_Webber 28. Jul 2014

Das iOS Data Protection Feature nützt bei einem Messenger leider wenig bis nichts. Denn...

blubby666 28. Jul 2014

Die könnten doch dann immernoch wie jetzt bei Threema für den Offline Zeitraum auf dem...

ikhaya 23. Mär 2014

Ich denke das die Infos von Jan Ahrens zum Protokoll von Threema durchaus interessant...

onewaypub 11. Mär 2014

Hmm. Interessant. Das heißt Du vertraust Snowden mehr. Womit wir beim Thema Vertrauen...



Anzeige

Stellenmarkt
  1. SICK AG, Reute bei Freiburg im Breisgau
  2. twocream, Wuppertal
  3. thyssenkrupp AG, Essen
  4. operational services GmbH & Co. KG, Braunschweig, Berlin


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 16,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)
  3. (u. a. The Big Bang Theory, The Vampire Diaries, True Detective)

Folgen Sie uns
       


  1. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  2. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  3. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  4. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  5. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  6. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  7. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  8. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  9. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  10. Matebook X und E im Hands on

    Huawei kann auch Notebooks



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

  1. Re: Webspace

    Aralender | 09:14

  2. Re: Angegebene Akkulaufzeit war bisher immer...

    rudluc | 09:14

  3. Re: Nur Windows-VLC betroffen?

    lear | 09:09

  4. Re: Seit der letzten Attacke auf Android Geräte...

    SimraanShaikh | 08:58

  5. Re: Unterschied OLED zu QLED

    kayozz | 08:57


  1. 09:00

  2. 18:58

  3. 18:20

  4. 17:59

  5. 17:44

  6. 17:20

  7. 16:59

  8. 16:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel