Den von Ende-zu-Ende verschlüsselten Instant-Messenger Threema gibt es zum heutigen Schweizer Nationalfeiertag am 1. August für die Hälfte des eigentlichen Kaufpreises. Anstatt 1,60 Euro zahlt ihr also über Google Play beziehungsweise den Apple App Store nur 80 Cent. Auch wenn Fefe nicht all zu viel Gutes über Threma zu sagen hat, bietet der Messenger immerhin eine Kommunikationsmöglichkeit, die einmal mal nicht über Google, Facebook oder Amazon-Server läuft. Ich lasse mal die Pressemeldung zur Aktion ohne große Worte stehen.

Threema, die meistverkaufte sichere Alternative zu WhatsApp, hat kürzlich die Schwelle von drei Millionen Nutzern erreicht. Threema verschlüsselt alle Nachrichten und Gruppenchats durchgehend mittels modernster asymmetrischer Ende-zu-Ende-Verschlüsselung. Dadurch kann nur der Empfänger die Nachricht lesen. Dabei werden keine Chat-Daten oder Kontaktlisten auf den Schweizer Servern des Unternehmens aufbewahrt; nicht einmal die Angabe einer Telefonnummer, wie bei anderen Apps erforderlich, ist nötig. Zum Schweizer Nationalfeiertag am ersten August bietet Threema ihre Applikation vergünstigt an. Die Threema-App für iPhone und Android gibt’s in den App-Stores für einen Tag zum halben Preis.

Als Alternative zu Threema bieten sich nur sehr wenige Apps wie zum Beispiel TextSecure an. Aber auch Jabber-Clients, die Verschlüsselung nach Off-the-Record Messaging anbieten, wären eine Option für sicheres und verschlüsseltes Chatten. Mit Conversations hatte ich schon einmal eine solche einen Jabber-Client für Android schon hier im Blog vorgestellt. Threema habe ich mir nach dem ersten Hype schon länger nicht mehr angesehen, ich bin aber sehr erstaunt wie viele meiner Kontakte schon bei Threema aktiv sind.

11 Kommentare

  1. Security-Experten empfehlen als Alternative nicht Threema, dass in den Medien gehyped wird mit seinem optionalen Adressbuch Upload, sondern TextSecure von WhisperSystems.

    • Ah, dann hätten wir das Thema ja geklärt 😉

      Wer sind denn diese „Securty-Experten“ und welche Referenzen haben sie?
      Oder hat RTL sie als „Security-Experten“ bezeichnet? Dann müssen die ja recht haben 🙂

      • Moxie Marlinspike ist der Hauptentwickler von TextSecure und hat bereits mehrere sehr erfolgreiche Angriffe auf SSL und andere Protokolle entwickelt und auf der DEFCON vorgestellt, zusammen mit Whitfield Diffie (dem Diffie in Diffie-Hellman) Podiumsdiskussionen gehalten und ist in der Szene hoch angesehen. Wenn du mehr wissen willst, findest du ihn auch auf Wikipedia. Ich glaube wer vier Mal als Speaker auf der DEFCON und zwei Mal bei der Blackhat war, braucht nicht viel mehr Einführung. Das eingesetzte Axolotl Protokoll hat er übrigens zusammen mit dem rennomierten Kryptographen Trevor Perrin entwickelt. Wer das ist kannste dann ja selber googeln 😉

    • ChatSecure basiert auf Jabber und ist damit leider wirklich nicht für das mobile Umfeld mit asynchronen Unterhaltungen geeignet.
      Telegram ist aus technischer Sicht leider eine absolute Katastrophe, die weder wirklich open source noch in irgendeiner Art und Weise als sicher zu bezeichnen ist. Den Vergleich zwischen TextSecure, Threema und Telegram haben Mike Kuketz und ich hier gezogen: http://www.kuketz-blog.de/textsecure-crypto-messenger-mit-verbesserungspotenzial-teil2/

      Falls Interesse an den Grundlagen sicherer Verschlüsselung im Allgemeinen und TextSecure im speziellen besteht, dürfte auch der erste Teil von Interesse sein: http://www.kuketz-blog.de/textsecure-crypto-held-oder-weiterer-blindgaenger-teil1/

      Da TextSecure aktiv entwickelt wird, tut sich übrigens an mehreren der geübten Kritikpunkte was – die Websocket-Implementierung um von GCM wegzukommen und eine Desktop-Version ist schon recht weit fortgeschritten, auch Empfangsbestätigungen sind so gut wie fertig.

      Open Whisper Systems hat außerdem vor Kurzem Signal vorgestellt – eine iOS Version ihrer Redphone App, mit der man gratis verschlüsselt über ZRTP telefonieren kann. Damit ist jetzt schon sichereres VOIP zwischen Android und iOS Geräten möglich. In Zukunft wird verschlüsselter Chat und VOIP mit Signal möglich sein und somit die Apps RedPhone und TextSecure kombiniert.

  2. Ich persönlich nutze sowohl Threema als auch Text Secure. Wobei mir Text Secure deutlich lieber ist, einfach, weil es Open Source ist und zumindest die Möglichkeit der Überprüfung der Cryptoimplementierung bietet. Die Politik von Threema dahingehend ist, dass es sich nicht mit einer Bezahlapp vereinbaren ließe, auch nur die Cryptoimplementierung zu veröffentlichen.

    Das Problem mit Text Secure ist nur, dass es – noch – keinen iOS-Client gibt (ist wohl in Entwicklung). Da ist Threema etwas voraus. Und es ist sehr schade, dass Whispersystems die Crypto-SMS-Unterstützung entfernen will.

    „Vertrauen“ ist aber in Bezug auf Threema da ganz klar das falsche Wort. Es ist im Moment einfach nur die am wenigsten schlechte Alternative, wenn man Applejünger im Bekanntenkreis hat…

    Text Secure ist zusammen mit Red Phone auch gleich ein sehr guter Skype-Ersatz.

    • Hab Auch Threema im EInsatz und muss sagen dass ich mit der App ganz zufrieden bin. Irgendwie hab ich nen besseres Gefühl als bei Whatsapp, Facebook und Konsorten.

      • Ich hab ja auch nicht gesagt, dass ich mit der App nicht zufrieden bin.

        Das Problem ist nur, dass ich ihr genau so wenig vertrauen kann wie jeder anderen Closed Source Software. Gerade gute Cryptoimplementierung ist alles andere als trivial (was man z.B. schön an dem Heartbleed-Bug bei OpenSSL sehen kann) und Fehler fallen schon bei Open Source nicht immer gleich ins Auge. Nur kann leider genau NIEMAND externes Prüfen, ob bei der implementierung sauber prorammiert wurde. Es ist halt mal wieder Security by Obscurity. Und das ist etwas, dem ich nicht vertrauen kann.

        Hinzu kommt, dass Threema eliptische Kurven zur Verschlüsselung Nutzt. Die sind zwar hübsch klein, benötigen aber hervorragenden Zufall, um nicht zwei Mal den selben Code zu nutzen. Falls das passieren sollte, liegt mit sehr wenig Aufwand gleich der Hauptschlüssel offen. Und offengestanden glaube ich nicht daran, dass die Zufallsgeneratoren in Android sooooooo gut sind. Seinen Schlüssel bei Threema wechseln ist ja auch nicht gerade trivial, wenn man seine bisherige Kommunikation behalten will. Bei Text Secure werden immerhin nur Subkeys abgeleitet, die man immer mal wieder erneuern kann, so dann nicht gleich der Hauptkey offen liegen würde.

        Außerdem ist Text Secure absteitbar, was bei Threema auch nicht der Fall ist.

        OK, Threema ist besser als WhatsApps (Facebooks) Komplett-Datenscansammlung ist es allemal. Wie gesagt: Die derzeit am wenigsten schlechte Alternative, wenn Applejünger im Bekanntenkreis sind.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein