Google

6. März 2014

Sicheres Instant Messaging mit Threema

Der Instant Messenger Threema ist spätestens seit der Übernahme von Whatsapp durch Facebook in aller Munde und wird als die Alternative gehandelt. Wir von Consoles Inside sind bereits im vergangenen August auf diese App aufmerksam geworden und nutzen sie seitdem oft und gerne für Kurznachrichten innerhalb der Redaktion. Die App war damals noch in einer frühen Entwicklungsphase, aber die Grundfunktionen waren geben. Mittlerweile haben die Entwickler viel gearbeitet und eine ernstzunehmende Konkurrenz zu den Platzhirschen entwickelt. Doch zunächst: Was ist Threema eigentlich? Der Name ist von der ursprünglichen Bezeichnung „End-to-End Encrypting Messaging Application“ abgeleitet. Diese wurde allerdings mit der Abkürzung „EEEMA“ relativ unhandlich, weshalb die ersten drei E  zu „Three“ wurden.

Aus technischer Sicht

Threema bietet eine vollständige Ende-zu-Ende-Verschlüsselung. Dieses Verfahren unterscheidet sich grundsätzlich von den Verschlüsselungsverfahren die Whatsapp verwendet. Wobei man Whatsapp allerdings zu Gute halten muss, dass es überhaupt verschlüsselt. Besonders wenn man heute bei Heise die Überschrift „69 Prozent der beliebtesten Android Apps funken im Klartext“ liest. Bei Whatsapp und den herkömmlichen Nachrichten via SMS kommt nur eine Verschlüsselung auf dem Transportweg zum Einsatz. Das heißt, dass Nachrichten im Klartext auf den Servern abgelegt sind. Der SMS-Nachfolger Joyn verschlüsselte bei der Einführung zunächst ebenfalls nur Signalisierungsdaten und nicht die eigentlichen Nachrichten. Mittlerweile wurde hier bei den meisten Anbietern eine Transportverschlüsselung hinzugefügt. Wirklich neu ist die Ende-zu-Ende-Verschlüsselung trotzdem nicht. iMessage bietet ebenfalls eine derartige Verschlüsselung an. Dabei werden die Nachrichten mit dem öffentlichen Schlüssel des Empfängers verschlüsselt, so dass nur derjenige der den dazugehörigen privaten Schlüssel besitzt die Nachricht lesen kann. Die besondere Leistung des Schweizer Softwareherstellers Kasper Systems liegt in der Möglichkeit den öffentlichen Schlüssel des Empfängers offline zu überprüfen. Außerdem wird nicht die standardmäßige Verschlüsselung mit RSA verwendet. Threema setzt auf eine ECC-basierende Verschlüsselung, die ebenfalls asymmetrisch (zwei Schlüssel: öffentlich zum Verschlüsseln und privat zum Entschlüsseln) ist, jedoch mit einem viel kürzeren Schlüssel als RSA bei gleicher Sicherheit auskommt. Zusätzlich kommt eine Verschlüsselung auf Transportebene hinzu, welche die Informationen für die Nachrichtenvermittlung sichert. Die dafür notwendigen Schlüssel werden dynamisch ausgehandelt und im (flüchtigen) Arbeitsspeicher des Smartphones zwischengespeichert. Zur Sicherheit haben die Schlüssel eine maximale Gültigkeit von 9 Tagen und werde automatisch neu erzeugt. Soviel zum technischen Hintergrund von Threema.

Aus Anwendersicht

Nach der Installation wird beim ersten Starten der App eine achtstellige ID und die Schlüsselpaare erzeugt. Der öffentliche Schlüssel wird auf den Threema-Servern in der Schweiz abgelegt. Anschließend werden entweder Email-Adresse oder Handynummer oder eventuell auch beides mit der ID verknüpft. Dadurch wird man in ein öffentliches Adressbuch aufgenommen, über welches man von anderen Benutzern gefunden werden kann. Anschließend kann man seine Kontakte mit Threema synchronisieren und so andere Nutzer im öffentlichen Adressbuch zu finden. Es werden drei Möglichkeiten angeboten Kontakte dem privaten Adressbuch hinzuzufügen. Je nach gewählter Möglichkeit erhält der Kontakt eine entsprechende Sicherheitsstufe. Diese Sicherheitsstufe wird mit drei Punkten in der Kontaktliste signalisiert:

Sicherheitsstufe rot

Die Threema-ID des Kontakts wurde manuell ins Adressbuch eingetragen.

Sicherheitsstufe gelb

Die Threema-ID wurde bei der Synchronisation der Telefonkontakte eingetragen.

Sicherheitsstufe grün

Die ID wurde via QR-Code ins Adressbuch eingetragen.

Eine rote Sicherheitsstufe erhält ein Kontakt, welcher manuell ins Adressbuch eingetragen wurde. Dazu kann man entweder die ID des Gesprächspartners dem Adressbuch hinzufügen oder es wird ein automatischer Eintrag erzeugt, wenn man von einem unbekannten Benutzer angeschrieben wird. Hier wurde eine Funktion ergänzt, die uns in den ersten Versionen von Threema gefehlt hat. Man kann diese manuellen Einträge nun umbenennen. Früher musste man sich merken, welche ID zu welcher Person gehört. Zumindest soweit man diese nicht mit den registrierten Daten (Email-Adresse oder Handynummer) zu den Telefonkontakten hinzugefügt hat. Die gelbe Sicherheitsstufe wird Kontakten zugeordnet, die bereits mit einer registrierten Email-Adresse oder Handynummer als Kontakt im Telefon gefunden wurden. Der Nachteil dieser Identifizierung des Kontakts ist, dass der öffentliche Schlüssel vom Server geladen wird. Dadurch könnten die Schüssel verändert worden sein. Die maximale Sicherheitsstufe erreicht man durch das Scannen des QR-Codes auf dem Smartphone der Person, die man hinzufügen möchte oder hinzugefügt hat. Dieser QR-Code enthält sowohl die ID des Benutzers als auch den öffentlichen Schlüssel. Neben den erweiterten Sicherheitsfunktionen bietet Threema alles was man von einer Messaging-App erwartet. So sind Einzel- als auch Gruppenchats möglich. Man kann festlegen, ob der Chatpartner sehen kann, wann geschrieben wird und wann eine Nachricht gelesen wurde. Auch bei der Signalisierung bringt Threema alles mit. Zum Schutz der privaten Daten gibt es die Möglichkeit einen zusätzlichen Zugriffsschutz über eine PIN und ein Passwort für lokal gespeicherten Daten festzulegen. Aufgrund der Verschlüsselung wird empfohlen regelmäßige Backups von den Threema-Daten zu erstellen, da es nicht möglich ist vergessene Passwörter und PINs wieder herzustellen. Damit soll die kurze Einführung in Threema beendet sein. Anschließend findet Ihr noch eine Galerie, welche euch auch noch einen bildlichen Eindruck verschaffen soll. Welche Meinung hat Ihr zu Threema? Überlegt Ihr gerade zu wechseln, oder seid gewechselt? Und findet Ihr, dass der Verkauf von Whatsapp an Facebook überhaupt ein Grund ist, sich davon zu trennen? Quelle, Bilder und Grafiken: Threema.ch




About the Author

Tobias Fischer
Ich bin "hauptberuflich" Student der Informationstechnik mit dem Schwerpunkt "Nachrichtentechnik und Elektronik" und das kommt nicht von ungefähr. Seit ich denken kann bin ich sehr interessiert in Technik und mittlerweile besonders an Embedded Systems. Da sich Consoles-Inside mit dieser Thematik beschäftigt, macht mir das Schreiben viel Spaß und hoffe euch das Lesen.




2 Comments


  1. Felix

    Top App, die hoffentlich nie entäuschen wird.


  2. […] nur zwei Gründe, warum man Threema als  seinen favorisierten Messanger nutzen sollte. Wir sind vor einiger Zeit schon einmal auf die Sicherheit eingegangen und haben euch z.B. die 3 Status-Eigenschaften in […]



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.