Berichte über andere Messenger

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support
  • Naja, um Infos an die Masse zu bringen, die sowieso öffentlich sein sollen, ist Telegram schon ok. Diese Infokanäle sehe ich eher als Forum, da ist kein besonderer Schutz nötig. Ist so wie hier. Das kann und soll jeder der vorbeisurft lesen können.

  • Signal ohne Handynummer zu verwenden wird früher oder später auch nocht kommen, denke ich. Es scheint allerdings etwas länger zu dauern.


    Wenn das passiert ist wäre das für Threema ein echter Schlag! Welche großen Vorteile hätte Threema dann noch?

    Gar keinen außer vielleicht dass sie keine Server in der USA haben. Ich hoffe das Threema es wenigstens schafft die Videotelefonie auf dem Markt du bringen. Wenn nicht wäre spätestens dann Signal meine erste Wahl

  • Signal ohne Handynummer zu verwenden wird früher oder später auch nocht kommen, denke ich. Es scheint allerdings etwas länger zu dauern.


    Wenn das passiert ist wäre das für Threema ein echter Schlag! Welche großen Vorteile hätte Threema dann noch?

    Naja, Threema wird bis dahin wohl kaum stillstehen.


    Der grosse Vorteil von Threema gegenüber Signal ist aber auch, dass es Backups gibt. Signal für iOS hat gar keine Backups.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.


    Nur mit Threema Safe schläft man ruhig.

  • Gar keinen außer vielleicht dass sie keine Server in der USA haben. Ich hoffe das Threema es wenigstens schafft die Videotelefonie auf dem Markt du bringen. Wenn nicht wäre spätestens dann Signal meine erste Wahl

    Ganz ehrlich: wen interessiert bei Signal und co, wo die Server stehen, solange diese gewisse Sicherheitsstandarts einhalten? Den WhatsApp-user eh nicht. Den Rest, außer einigen wenigen Datenschutzbewußten, auch nicht. Schau mal die Verbreitung von Telegramm an. Hat da je einer nach den Serverstandorten gefragt? Bestimmt nicht. Threema kostet von Anfang an Geld und das Backupsystem ist den meisten zu kompliziert. So schaut's aus. Wenn ich jemanden zu einem anderen Messenger bringen kann, dann wire oder Signal. XMPP fliegt bei mir auch bald wieder runter.

  • Ganz ehrlich: wen interessiert bei Signal und co, wo die Server stehen, solange diese gewisse Sicherheitsstandarts einhalten?

    Je nach dem wo sie stehen, können sie gewisse Sicherheitsstandards gar nicht einhalten.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.


    Nur mit Threema Safe schläft man ruhig.

  • Im Punkt Sicherheit ist der Signal Messenger nicht schlechter als Threema.

    Im Signal Forum sehen das viele sogar anders, da wird oft die schwächere Verschlüsselung von Threema bemängelt. So schreibt da jemand:


    "...The end-to-end encryption of Threema does not offer forward secrecy; so it’s a bit old fashioned. Signal and WhatsApp offer more modern encryption. ..." oder "...Threema has many good things, the anonymity, which is possible by using this randomized ID, a gui which has not so many bugs. but the encryption, i would say, is their weak point."

  • Im Signal Forum sehen das viele sogar anders, da wird oft die schwächere Verschlüsselung von Threema bemängelt. So schreibt da jemand:


    "...The end-to-end encryption of Threema does not offer forward secrecy; so it’s a bit old fashioned. Signal and WhatsApp offer more modern encryption. ..." oder "...Threema has many good things, the anonymity, which is possible by using this randomized ID, a gui which has not so many bugs. but the encryption, i would say, is their weak point."

    Wundert mich auch ein wenig dass dieses Thema hier nur selten zur Sprache kommt. Möglicherweise um Threema-Gegnern keine Munition zu liefern oder vielleicht auch nur weil zumindest die Transportebene bei Threema ja PFS bietet, wenn auch nicht die EEE-Ebene. Je nach Standpunkt könnte dann schon ein Kritiker anmerken, dass dies ein Nachteil von Threema wäre.


    Ein anderer Punkt der mir leichte Sorgen bereitet ist der private Schlüssel, der bei Threema ja fest an die ID geknüpft ist. Meines Wissens nach gibt es keine Möglichkeit das Schlüsselpaar zu erneuern ohne die ID zu wechseln (korrigiert mich gerne falls ich mich irre).

    Beispiel: Meine Threema-ID habe ich seit 2014 und per Backups über die Jahre auf verschiedenen Smartphones genutzt. Ich möchte nicht meine Hand dafür ins Feuer legen, dass mein privater Schlüssel noch nie in irgendeiner Art und Weise "ausgespäht" wurde obwohl er in einem geschütztem Bereich des Telefons liegt (durch nicht gepatchte Lücken in Android, Schadsoftware, etc.).


    Nachdem es in diesem Thread aber nicht um Threema sondern um andere Messenger geht:

    Bei WhatsApp wird das Schlüsselpaar ja spätestens beim Handywechsel geändert (von den vielen Schwächen dort mal abgesehen). Wie ist das bei Signal, Wire und Co?

  • Egal wo sie stehen. Es gibt nichts was dauerhaft auf den Servern gespeichert wird.

    Der Server ist aber nicht der einzige Gegner, du hast ja noch die amerikanische Netzwerkinfrastruktur die du mitbenutzen musst.

    Möglicherweise um Threema-Gegnern keine Munition zu liefern oder vielleicht auch nur weil zumindest die Transportebene bei Threema ja PFS bietet, wenn auch nicht die EEE-Ebene. Je nach Standpunkt könnte dann schon ein Kritiker anmerken, dass dies ein Nachteil von Threema wäre.


    Ein anderer Punkt der mir leichte Sorgen bereitet ist der private Schlüssel, der bei Threema ja fest an die ID geknüpft ist. Meines Wissens nach gibt es keine Möglichkeit das Schlüsselpaar zu erneuern ohne die ID zu wechseln (korrigiert mich gerne falls ich mich irre).

    Beispiel: Meine Threema-ID habe ich seit 2014 und per Backups über die Jahre auf verschiedenen Smartphones genutzt. Ich möchte nicht meine Hand dafür ins Feuer legen, dass mein privater Schlüssel noch nie in irgendeiner Art und Weise "ausgespäht" wurde obwohl er in einem geschütztem Bereich des Telefons liegt (durch nicht gepatchte Lücken in Android, Schadsoftware, etc.).

    Das wäre aber definitiv auch eine Diskussion wert.


    Bei Wire wird der Schlüssel auch pro Gerät neu erstellt. Das heisst, Backup raus, neu installieren, Backup rein und man hat einen neuen Schlüssel.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.


    Nur mit Threema Safe schläft man ruhig.

  • Ein anderer Punkt der mir leichte Sorgen bereitet ist der private Schlüssel, der bei Threema ja fest an die ID geknüpft ist. Meines Wissens nach gibt es keine Möglichkeit das Schlüsselpaar zu erneuern ohne die ID zu wechseln

    Das ist aber auch ein Vorteil: Wenn du der Threema-ID einmal vertraust, dann musst du dieses Vertrauen nicht jedes mal erneuern, wenn dein Gesprächspartner ein neues Smartphone hat. Die ID ist an einen fixen Public Key gebunden, das heisst dass dir niemand unbemerkt einen anderen Public Key unterjubeln kann. Das System ist zudem kryptografisch gesehen sehr simpel und bewährt.


    Bei Systemen mit Device Keys meldet sich der Gesprächspartner dann halt vielleicht mal mit einem "neuen Gerät". Die Wenigsten werden nachfragen, ob denn wirklich ein neues Gerät in Betrieb genommen wurde. Und ständig die neuen Geräte zu verifizieren, das tun sich nur die "paranoiden" an.


    Es gibt immer einen Tradeoff zwischen Sicherheit, Usability und Komplexität, mit verschiedenen Vor- und Nachteilen.

    Disclaimer: Ich arbeite als Entwickler bei Threema, bin aber privat hier und kann natürlich keine internen Informationen weitergeben. Für offizielle Statements, schreibt eine Nachricht an den Support.

  • Technology Preview: Signal Private Group System

    https://signal.org/blog/signal-private-group-system/

    Interessant.


    Bei Signal-Gruppen gibt's derzeit keine Adminstratoren, jeder kann alles ändern. Dadurch kann's Konflikte geben, wenn zwei Gruppenmitglieder gleichzeitig konfliktierende Änderungen vornehmen. Es gibt keine Autorität die solche Konflikte auflösen kann.


    Threema wird immer wieder kritisiert weil es nur einen Admin pro Gruppe geben kann. Aber diese Eigenschaft löst die Konfliktsituationen: Der Admin entscheidet autoritativ über die Gruppenzusammensetzung, es kann nicht zwei divergierende Versionen der selben Gruppe geben. Im Konfliktfall synchronisiert der Admin die Gruppe neu, und alles stimmt wieder. Das Klonen der Gruppe zur Übertragung der Adminrechte ist keine grosse Sache.


    Signal wählt nun experimentelle Kryptografie mit servergespeicherten Daten als Alternative. Ist durchaus ein spannender Ansatz, kann auch gut gehen, aber ist halt eben recht experimentell. Falls ein Fehler passiert, sind dann halt die Gruppen doch auf dem Server verfügbar.


    (Lustig ist, dass das existiere System dezentral ist und auf dem Server gar keine Metadaten hinterlässt, während das neue System verschlüsselte Metadaten hinterlässt. Trotzdem heisst das neue System "Private Groups", als ob es irgendwie privater wäre als das vorherige System...)

    Disclaimer: Ich arbeite als Entwickler bei Threema, bin aber privat hier und kann natürlich keine internen Informationen weitergeben. Für offizielle Statements, schreibt eine Nachricht an den Support.

  • Signal wählt nun experimentelle Kryptografie mit servergespeicherten Daten als Alternative. [...]

    (Lustig ist, dass das existiere System dezentral ist und auf dem Server gar keine Metadaten hinterlässt, während das neue System verschlüsselte Metadaten hinterlässt. Trotzdem heisst das neue System "Private Groups", als ob es irgendwie privater wäre als das vorherige System...)

    Bin etwas skeptisch, ob das so eine gute Idee von Signal ist, damit die Maxime aufzugeben, so wenig Metadaten wie möglich zu erzeugen und zu speichern... 🤔


    Andererseits hat Threema Metadaten-Minimierung in gewissem Umfang auch schon aufgegeben, nämlich durch Threema Safe: da werden ja auch Nutzerdaten auf deren Server gespeichert, natürlich verschlüsselt und anonymisiert. Das wäre bei Signal‘s „private group system“ auch der Fall, so wie ich das verstehe, oder?