Unabhängiger Sicherheits-Audit bestätigt: Threema hält, was es verspricht

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • In diesem Thema herrscht seit 3 Jahren Funkstille.

    Um eine echte Vertrauenswürdigkeit des nicht offenen Quellcodes herzustellen, wäre für jedes einzelne veröffentlichte Release ein Sicherheits-Audit notwendig.
    Dabei nicht zu vergessen die einzelnen Komponenten, z. B. Threema Web.

    Ich erinnere in diesem Zusammenhang an die Fehlerdichte in der Informatik. Die Statistik besagt, dass ein Softwareentwickler im Normalfall 2 bis 6 Fehler pro 1.000 Zeilen Code produziert. Üblicherweise wird eine Fehlerdichte von < 0,5 Fehlern pro 1.000 Zeilen Code angestrebt. Gänzlich fehlerfrei ist Quellcode quasi nie.

    Fazit
    Von vertrauenswürdig kann nur die Rede sein, wenn:
    a) der Quellcode offengelegt wird (Open Source)
    oder alternativ
    b) zu jedem veröffentlichten Release auch ein entsprechendes Sicherheits-Audit veröffentlicht wird
    (wobei hier wiederum das unbedingte Vertrauen in eine dritte Instanz vorausgesetzt werden muß)

    Version 3.7 Build 482 Threema Shop – Nutzung mit v3.7.482 zum 30. Sep. 2019 eingestellt X(

    Einmal editiert, zuletzt von BamBam (6. November 2018 um 15:16)


  • Von vertrauenswürdig kann nur die Rede sein, wenn:
    a) der Quellcode offengelegt wird (Open Source)

    ...und der gesamte Code von einer fachlich geeigneten Drittperson geprüft wurde und jeder weitere Änderung von vertrauenswürdigen Dritten geprüft wird (wobei auch hier das unbedingte Vertrauen in eine dritte Instanz vorausgesetzt werden muß).

    Offenlegen allein bringt keinen Sicherheitsgewinn, wenn sich niemand den Code genau anschaut - und zwar fortlaufend. Wie viele Jahre blieb die gravierende Heartbleed-Sicherheitslücke in OpenSSL offen? Und wir reden da nicht von irgendeinem Messenger, sondern von OpenSSL, der meistverwendeten Kryptographie-Bibliothek im Internet...

    Wieso schaut sich niemand solchen Open Source-Code genau an? Weil das sehr aufwendig, sehr zeitintensiv und nicht besonders spannend ist. Vor allem aber braucht es sehr gute Fachkenntnisse.


    Aber du hast recht - Fehler passieren allen Entwicklern. Auch deshalb wäre ein neuer Audit bei Threema überfällig.

  • @ Claus

    Ich denke es ist unstrittig, dass die Offenlegung des Quellcodes die fundamentale Grundvoraussetzung für dessen (freie) Überprüfbarkeit ist. Ob sich dann auch jemand die Mühe macht den offengelegten Quellcode tatsächlich zu überprüfen, steht auf einem ganz anderen Blatt. Du hast ja diesbezüglich schon das (un)schöne Beispiel "OpenSSL" genannt, was übrigens, du sagtest es schon, ein katastrophaler Fail war.

    Bezüglich der Alternative "Audit" gibt es immer dieses gewisse Geschmäckle (Vertrauen oder doch eher Misstrauen). Ein Audit ist schließlich nichts anderes als eine eingekaufte Dienstleistung, die von einer dritten Partei erbracht wird. Bezahle ich als Auftraggeber diese dritte Partei "gut genug", wird sie mir aller Wahrscheinlichkeit nach alles bescheinigen was ich haben will (Beispiel: TÜV-Siegel / TÜV-Prüfsiegel). Das Threema-Audit aus dem Jahr 2015 ist als vertrauensbildende Maßnahme unbrauchbar, weil darin jegliche Details fehlen, was genau (Release, Build) wie und mit welchen Mitteln überprüft wurde. Der Prüfprozedurablauf wird nicht dokumentiert. Die laut Auditprotokoll durchgeführte Prüfprozedur ist somit logischerweise auch nicht reproduzierbar. Das Audit-Protokoll wird dadurch zu einem wertlosen Stück Papier. Nüchtern betrachtet ist ein solches Audit, wie das aus dem Jahr 2015, ein reines Marketinginstrument. Ich kann sagen: "Schaut her, ich habe ein Audit machen lassen. Ergebnis: Bestnoten!"

    Version 3.7 Build 482 Threema Shop – Nutzung mit v3.7.482 zum 30. Sep. 2019 eingestellt X(

  • Was mich immer so ein bisschen stört an der "Open Source-Diskussion", dass die Offenlegung eines Quellcodes das non plus ultra sein soll und damit alle Probleme beseitigt sind. Ich nehme als weiteres Beispiel mal (ergänzend zu den oben genannten) "TrueCrypt". TrueCrypt war/ist auch quelloffen, galt lange als abolsut sicher und erst nach einigen Jahren wurden auch dort (gravierende) Sicherheitsfehler entdeckt, (obwohl OpenSource) bis die Entwicklung auf einmal sehr überraschend eingestellt und sogar von TrueCrypt abgeraten wurde.

    Wie Claus oben schon absolut treffend geschrieben hat: Es muss sich zum einen auch jemand, der sich auskennt, die Mühe machen einen Quellcode zu prüfen. Und zum anderen muss auch ich als Endverbraucher widerum den Menschen glauben, dass die Menschen, die sich den Quellcode "angeblich" angeschaut haben, auch seriös und glaubwürdig sind und nicht irgendwie ein "abgekartetes Spiel" treiben.

    Es ist und bleibt im Endeffekt also immer eine Vertrauensfrage.

  • Ich sehe es ähnlich wie Mogli. Open Source bietet die Möglichkeit für jedermann, den Quellcode zu prüfen. Wenn sich aber niemand mit entsprechendem Know How findet oder sich jeder auf die anderen verlässt, nützt eine Möglichkeit nichts.

    Ein externes Audit birgt natürlich das Risko, "Wes Brot ich ess, des Lied ich sing". Allerdings haben diese Unternehmen auch einen Ruf zu verlieren. Alles werden sie auch nicht abnicken oder dem Auftraggeber empfehlen, bestimmte Dinge zu ändern, bevor man das Audit zuende führt.


  • Was mich immer so ein bisschen stört an der "Open Source-Diskussion", dass die Offenlegung eines Quellcodes das non plus ultra sein soll und damit alle Probleme beseitigt sind.

    Lieber Mogli! Da muß ich dir vehement widersprechen. Das wurde und wird nie behauptet (Stammtischgespräche mal ausgeklammert), dass allein durch die Offenlegung des Quellcodes plötzlich alles im grünen Bereich sei. Aber es ist und bleibt halt die Grundlage, um überhaupt die Möglichkeit zur Überprüfung zu haben. Das dürfte auch nachvollziehbar sein, oder?


    Und zum anderen muss auch ich als Endverbraucher widerum den Menschen glauben, dass die Menschen, die sich den Quellcode "angeblich" angeschaut haben, auch seriös und glaubwürdig sind und nicht irgendwie ein "abgekartetes Spiel" treiben.

    Du mußt dir vor Augen führen, dass sowas nicht einfach mal so nebenbei in 5 oder 10 Minuten erledigt ist (Claus hatte es oben auch schon angesprochen). Es ist auch nicht davon auszugehen, dass eine Einzelperson ganz allein im stillen Kämmerlein eine solche Überprüfung durchführt. Last but not least, haben auch Open-Source-ler einen Ruf zu verlieren. Das Potenzial darf man nicht unterschätzen. Ein oder mehrere Mitglieder der Open Source Community wären - gesetzt den Fall sie würden lügen und betrügen - für den Rest ihres Lebens gebrandmarkt.

    Nicht vergessen: Einzig der Open Source Community haben wir es zu verdanken, dass es alternative freie Software und auch mehr und mehr freie Hardware gibt. Ohne sie wären wir angeschi**en, denn es gäbe im Desktop-Bereich nur Apple und Microsoft und im Mobil-Bereich neben den Beiden nur noch Google sowie irgendwo weit hinten noch Blackberry.

    Version 3.7 Build 482 Threema Shop – Nutzung mit v3.7.482 zum 30. Sep. 2019 eingestellt X(


  • Da muß ich dir vehement widersprechen. Das wurde und wird nie behauptet (Stammtischgespräche mal ausgeklammert), dass allein durch die Offenlegung des Quellcodes plötzlich alles im grünen Bereich sei. Aber es ist und bleibt halt die Grundlage, um überhaupt die Möglichkeit zur Überprüfung zu haben. Das dürfte auch nachvollziehbar sein, oder?


    Und da muss ich dir jetzt leider widersprechen. Wie du sicherlich weißt, bin ich auch in einigen MUCs bei Conversations und dort wird unter den "eingefleischten Open-Source'lern" rigoros und äußerst vehement alles abgelehnt, was Closed Source ist und OpenSource wird bis auf's Blut verteidigt. Und in anbetracht, dass OpenSource eben NICHT das absolute non plus ultra ist, finde ich so ein Verhalten äußerst bedenklich.
    Bitte nicht falsch verstehen, ich bin absolut kein Gegner von OpenSource, ganz im Gegenteil, aber es ist eben nicht die perfekte Lösung, wie es oft versucht wird darzustellen, gerade weil die Durchsicht eines Quellcodes sehr sehr viel Zeit, technisches Know How und sehr viel Fachwissen benötigt.


    Du mußt dir vor Augen führen, dass sowas nicht einfach mal so nebenbei in 5 oder 10 Minuten erledigt ist (Claus hatte es oben auch schon angesprochen).


    Und genau deswegen sehe ich OpenSource eben NICHT als das absolute non plus ultra und die perfekte Lösung.


    Nicht vergessen: Einzig der Open Source Community haben wir es zu verdanken, dass es alternative freie Software und auch mehr und mehr freie Hardware gibt. Ohne sie wären wir angeschi**en, denn es gäbe im Desktop-Bereich nur Apple und Microsoft und im Mobil-Bereich neben den Beiden nur noch Google sowie irgendwo weit hinten noch Blackberry.


    Dem stimme ich nur bedingt zu.
    Ich behaupte jetzt einfach mal: Würde es Threema nicht geben, hätten wir immer noch keinen für den "Otto-Normal-User" einfach zu bedienenden sicheren Messenger und wir hätten immer noch keine sichere und einfache Alterntive zu WhatsApp. Im Bereich "sichere Messenger" sehe ich Threema als revolutionär. :)

    Einmal editiert, zuletzt von Mogli (7. November 2018 um 16:52)

  • Ohne hier zu weit vom Thema abschweifen zu wollen: Natürlich gibt es auch viele Hardcore Open Source (ler), das weiß ich. Bei diesen Leuten kannst du aber sprichwörtlich an einer Scala ablesen, wie hoch die Wertschätzung für diesen Hard- und Softwarebereich bei ihnen angesiedelt ist. Für diese Leute ist Open Source nicht nur einfach Hard- und Software, sondern eine Philosophie und eine Lebenseinstellung. Daher rührt dann halt (leider) auch die kompromisslose Vehemenz.

    Version 3.7 Build 482 Threema Shop – Nutzung mit v3.7.482 zum 30. Sep. 2019 eingestellt X(


  • Wie viele Jahre blieb die gravierende Heartbleed-Sicherheitslücke in OpenSSL offen? Und wir reden da nicht von irgendeinem Messenger, sondern von OpenSSL, der meistverwendeten Kryptographie-Bibliothek im Internet...

    Du musst ja die Zeit nach Bekanntwerden testen. Fehler passieren immer, in Closed-Source ist die Wahrscheinlichkeit, dass du sie erkennst, einfach geringer. Beziehungsweise du hast halt keine Überprüfungsmöglichkeit.

    Zu dem anderen genannten Beispiel von TrueCrypt: Ja das Ende ist schon sehr mysteriös, aber dennoch wird die Sicherheit immer noch als sicher angenommen und dies hat ja auch ein Audit, dessen Ergebnis es nach dem Ende gab, sogar bestätigt; zumindest was die Verschlüsselung/Sicherheit der Daten angeht. Und TrueCrypt wird ja weiter als VeraCrypt gemaintained.

    ----

    Aber allgemein nochmal gesagt: Natürlich ist Open-Source kein "absolute non plus ultra", aber es ist halt für viele einfach eine Grundbedingung. Du kannst (und solltest oft) natürlich alle Regeln für ordentlichen Programmierung umsetzen, bspw. Audits und so weiter kann man ja trotzdem machen (bspw. bei TrueCrypt ja auch gemacht).
    Anders herum gesagt, bringt dir natürlich Open-Source nichts, wenn du natürlich deine Verschlüsselung schlecht implementierst. (siehe Telegramm z.B.)

  • Hallo zusammen,

    ich hoffe, dass ich mir für meine Frage den richtigen Thread gesucht habe!

    Unabhängig von Sinn und Zweck von Open Source/Closed Source: gab es seitens Threema schon mal eine Aussage/Erklärung warum der Code nicht vollständig Open Source ist?

  • Es gab mal einen Eintrag in der FAQ, ich finde ihn gerade nicht mehr, wo sie gesagt haben, dass mit der Veröffentlichung des Quellcodes Geschäftsgeheimnisse (vermutlich besonders bezüglich Work) veröffentlicht werden würden und es sowieso nichts bringen würde da die AppStore Builds nicht reproduzierbar seien. Quelloffene Implementierungen gibt es ja auch.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.


  • Es gab mal einen Eintrag in der FAQ, ich finde ihn gerade nicht mehr, wo sie gesagt haben, dass mit der Veröffentlichung des Quellcodes Geschäftsgeheimnisse (vermutlich besonders bezüglich Work) veröffentlicht werden würden und es sowieso nichts bringen würde da die AppStore Builds nicht reproduzierbar seien. Quelloffene Implementierungen gibt es ja auch.

    Vielen Dank für die Info!

    So denke ich mir das schon länger, wenn es heißt, dass diese oder jene Software nicht Open Source und somit weniger vertrauenswürdig ist. Wenn man ein gewisses Geschäftsmodell hat, mit dem man Geld verdienen möchte, will man doch die erarbeiteten Daten nicht jedem zur Verfügung stellen?!

    Passend auch der sinngemäße Hinweis, dass irgendwann der Punkt kommt, ab dem man einem Anbieter traut oder halt nicht!


  • So denke ich mir das schon länger, wenn es heißt, dass diese oder jene Software nicht Open Source und somit weniger vertrauenswürdig ist. Wenn man ein gewisses Geschäftsmodell hat, mit dem man Geld verdienen möchte, will man doch die erarbeiteten Daten nicht jedem zur Verfügung stellen?!

    Im Heise-Forum gab's neulich einen interessanten Beitrag.


    Bei all den Gratis- und "Open Source"-Angeboten stehen offenbar Milliardäre dahinter, welche das Ganze finanzieren. Die amerikanische Masche ist es ja, in kurzer Zeit, möglichst viele Nutzer anzulocken. Dazu muss die App natürlich gratis sein. Wenn sie ein Erfolg wird, verkauft man sie mitsamt der Nutzerbasis und deren Bestandsdaten gewinnbringend an eine grössere Firma. Die im Beitrag erwähnten Milliardäre haben das alle bereits einmal erfolgreich durchgezogen. Die Katze lässt das Mausen nicht...

    Schaulaufen der Milliardäre

  • Also bitte nicht alle "Open-Source"-Angebote verallgemeinern. Du sprichst hier über Open-Source-Messerger bzw. exakt über Telegram, Signal, Wire und Matrix.
    Und das Posting ist auch sehr verkürzt bzw. stellt ein paar Dinge zu zusammenhängend ohne Kommentar da, dass es komisch ist.

    Was du ansprichst: Das Funding. (Und ja, klar, große Messenger zu entwickeln kostet üblicherweise Geld.)
    Was stimmt: Ja, viele Messenger (zB Wire) benutzen dazu Venture Capital, also Risikokapitalgeber.
    Was zB nicht stimmt: Einige "Details" des Postings. Signal wird zB hauptsächlich durch Spenden finanziert. Bzgl Wire weiß ich auch: Janus Friis war Skype-Mitbegründer ja. Ich glaube aber jetzt hat er nicht mehr viel mit Skype zu tun.
    Zu den anderen genannten Messengern kann ich nichts sagen.

    Und ja, im Gegensatz dazu hat Threema ein sehr transparentes Finanzierungsmodell.


    (Und Forenpostings sind übrigens jetzt auch nicht eine super Quelle, auch wenn das im großen und ganzen stimmt.)