Threema

Seit Dezember 2018 (ab Version 3.6 Android und Version 4.1 für iOS) wird mit Threema Safe eine eigene anonyme Backup-Lösung angeboten. Diese sichert plattformunabhängig Threema-ID, Kontakte und Gruppen verschlüsselt auf dem Threema-Server bzw. Auf Wunsch auch auf einem gewählten Server des Nutzers, siehe den Abschnitt zu „Threema Safe“. Weiterhin ist die Kommunikation zwischen dem Threema-Server und dem Endgerät ebenfalls verschlüsselt. Ein 128 Bit langer Verifikationscode sowie eine zufällige Anzahl an „kryptographischen Füllbytes“ werden zu jeder Nachricht hinzugefügt, um Manipulationen am Inhalt der Nachricht zu verhindern.

Die entstandene Ausgabe wird dabei teilweise als Dateiname genutzt, sodass der Server (oder ein Angreifer, der die Daten herunter lädt) das hochgeladene Backup keiner Threema-ID zuordnen kann. Außerdem sollte der Server die Anfragen auf die Dateien limitieren, um Brute-Force-Angriffe, die zum Download der Datei führen könnten, zu erschweren. Das Backup soll plattformübergreifend funktionieren und so beispielsweise auch bei einem Wechsel des Betriebssystems eine Wiederherstellung des Backups nur mit der Threema-ID sowie dem gewählten Passwort möglich sein. Im Dezember 2020 jedoch ist Threema Open-Source-Software geworden, sodass dieser Kritikpunkt hinfällig geworden ist und sich jeder technisch qualifizierte Interessent inzwischen selbst von der Treiber Sicherheit der Implementierung überzeugen kann. Alternativ kann die Sicherheit beispielsweise durch ein unabhängiges externes IT-Sicherheitsaudit überprüft werden. Da ein solches externes IT-Sicherheitsaudit versionsgebunden ist, müsste dieses für jede neue Version ebenfalls erneut durchgeführt werden.

Weblinks

Februar 2017 wurde Threema Web offiziell veröffentlicht. Damit können Nutzer der Android-App (ab Version 3.0) Nachrichten über den Computer versenden. Es erfolgt eine vollständige Synchronisation aller Nachrichten mit der Android-App. Die Unterstützung für iOS folgte im Oktober 2018. /) ist ein freier Ende-zu-Ende-verschlüsselter Schweizer Instant-Messaging-Dienst zur Nutzung auf Smartphones und Tablets. Beim optionalen Verknüpfen der eigenen Threema-ID mit der E-Mail-Adresse oder Telefonnummer wird nur der SHA-256-HMAC auf dem Server gespeichert.

  • Bei der iOS-Version bleibt bei der Deinstallation die Threema-ID mit dem privaten Schlüssel erhalten, da dieser mit in das iCloud-Backup eingeht.
  • Auf einer Mercedes-Veranstaltung im April 2017 wurde das Beta-Projekt „Threema Broadcast“ vorgestellt.
  • Über die Website des Anbieters lassen sich Threema-IDs widerrufen.

Die Validierung zeigt somit lediglich, ob die NaCl-Bibliothek korrekt angewendet wurde. Mai 2017 veröffentlichte Threema Updates, die für alle unterstützen Plattformen Profilbilder einführten, die vom Nutzer für seine eigene Threema-ID selbst festgelegt werden können. Die Profilbilder können optional gesetzt werden und werden ausschließlich Ende-zu-Ende-verschlüsselt beim Nachrichtenversand an andere Nutzer gesendet. Der Nutzer kann dabei bestimmen, ob das Profilbild an alle Nutzer, denen er Nachrichten sendet, nur an ausgewählte Kontakte oder gar nicht versandt werden soll. Wenn letzteres gewählt wird, sieht man somit nur selbst sein Profilbild.

Threema Safe

Über die Website des Anbieters lassen sich Threema-IDs widerrufen. Version 2.21 für Android ist dies nur mit dem in der App festgelegten Widerrufspasswort möglich. Eine Gruppenchat-Funktion für bis zu 256 Teilnehmer ist in den aktuellen Versionen für alle Betriebssysteme verfügbar.

Funktionsumfang

Aus wirtschaftlichen Gründen verzichtete der Hersteller daher zunächst auf den Auditprozess. Ende 2015 wurde das Programm von der cnlab security AG, einem IT-Sicherheitsdienstleister aus der Schweiz, auditiert und für sicher befunden. 2019 wurde durch das Labor für IT-Sicherheit der FH Münster erneut ein Audit durchgeführt. Dabei wurde – im Gegensatz zum ersten Test – der gesamte Audit-Report veröffentlicht. Die Tester fanden dabei in den Android- und iOS-Apps des Unternehmens einige wenige unkritische Schwachstellen („low to medium risk“), merkten allerdings an, dass diese schnell behoben wurden. Vor Veröffentlichung des Quellcodes ließ Threema erneut einen externen Audit vom deutschen Unternehmen Cure53 durchführen.

Dezember 2018 veröffentlichte Threema eine neue Variante zur Datensicherung unter dem Namen „Threema Safe“, zunächst nur für die Android-Version. Dieses ersetzt die bei Android zuvor verwendete Integration in das Android-System-Backup, die nach Aussagen von Threema nicht zuverlässig funktionierte. Das neue Backup-System führt einmal am Tag automatisch eine Sicherung der Threema-ID, Kontakte, einiger Threema-Einstellungen und weiterer Daten durch. Das Backup wird dabei komprimiert und mittels der NaCl-Bibliothek verschlüsselt, bevor es standardmäßig zu einem Server von Threema hochgeladen wird. Der dabei genutzte Schlüssel zur Verschlüsselung wird aus einem mindestens 8-stelligen Passwort des Nutzers sowie der Threema-ID mittels scrypt generiert.


Publicado

en

por

Etiquetas:

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *