Naja, um Infos an die Masse zu bringen, die sowieso öffentlich sein sollen, ist Telegram schon ok. Diese Infokanäle sehe ich eher als Forum, da ist kein besonderer Schutz nötig. Ist so wie hier. Das kann und soll jeder der vorbeisurft lesen können.
Berichte über andere Messenger
Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.800 Mitglieder helfen dir weiter. > Frage stellen <
-
-
Technology Preview: Signal Private Group System
-
Wichtiger wäre die Handynummer der Gruppenteilnehmer nicht zu teilen
-
Wichtiger wäre die Handynummer der Gruppenteilnehmer nicht zu teilen
Signal ohne Handynummer zu verwenden wird früher oder später auch nocht kommen, denke ich. Es scheint allerdings etwas länger zu dauern.
Wenn das passiert ist wäre das für Threema ein echter Schlag! Welche großen Vorteile hätte Threema dann noch?
-
Signal ohne Handynummer zu verwenden wird früher oder später auch nocht kommen, denke ich. Es scheint allerdings etwas länger zu dauern.
Wenn das passiert ist wäre das für Threema ein echter Schlag! Welche großen Vorteile hätte Threema dann noch?
Gar keinen außer vielleicht dass sie keine Server in der USA haben. Ich hoffe das Threema es wenigstens schafft die Videotelefonie auf dem Markt du bringen. Wenn nicht wäre spätestens dann Signal meine erste Wahl
-
Signal ohne Handynummer zu verwenden wird früher oder später auch nocht kommen, denke ich. Es scheint allerdings etwas länger zu dauern.
Wenn das passiert ist wäre das für Threema ein echter Schlag! Welche großen Vorteile hätte Threema dann noch?
Naja, Threema wird bis dahin wohl kaum stillstehen.
Der grosse Vorteil von Threema gegenüber Signal ist aber auch, dass es Backups gibt. Signal für iOS hat gar keine Backups.
-
Gar keinen außer vielleicht dass sie keine Server in der USA haben. Ich hoffe das Threema es wenigstens schafft die Videotelefonie auf dem Markt du bringen. Wenn nicht wäre spätestens dann Signal meine erste Wahl
Ganz ehrlich: wen interessiert bei Signal und co, wo die Server stehen, solange diese gewisse Sicherheitsstandarts einhalten? Den WhatsApp-user eh nicht. Den Rest, außer einigen wenigen Datenschutzbewußten, auch nicht. Schau mal die Verbreitung von Telegramm an. Hat da je einer nach den Serverstandorten gefragt? Bestimmt nicht. Threema kostet von Anfang an Geld und das Backupsystem ist den meisten zu kompliziert. So schaut's aus. Wenn ich jemanden zu einem anderen Messenger bringen kann, dann wire oder Signal. XMPP fliegt bei mir auch bald wieder runter.
-
Ganz ehrlich: wen interessiert bei Signal und co, wo die Server stehen, solange diese gewisse Sicherheitsstandarts einhalten?
Je nach dem wo sie stehen, können sie gewisse Sicherheitsstandards gar nicht einhalten.
-
Ich denke mal, das dürfte bei den gängigsten Messengern nicht der Fall sein.
-
Habe heute zum ersten Mal von Olvid gehört. Scheint noch in der Entwicklung zu sein, wird aber wohl von zwei Krypto-PhDs entwickelt.
-
Je nach dem wo sie stehen, können sie gewisse Sicherheitsstandards gar nicht einhalten.
Egal wo sie stehen. Es gibt nichts was dauerhaft auf den Servern gespeichert wird. Das -> Nun amtlich: Der Messenger Signal ist ziemlich sicher, hat immer noch Bestand. Signal ist "Privacy by Design". Im Punkt Sicherheit ist der Signal Messenger nicht schlechter als Threema.
-
Im Punkt Sicherheit ist der Signal Messenger nicht schlechter als Threema.
Im Signal Forum sehen das viele sogar anders, da wird oft die schwächere Verschlüsselung von Threema bemängelt. So schreibt da jemand:
"...The end-to-end encryption of Threema does not offer forward secrecy; so it’s a bit old fashioned. Signal and WhatsApp offer more modern encryption. ..." oder "...Threema has many good things, the anonymity, which is possible by using this randomized ID, a gui which has not so many bugs. but the encryption, i would say, is their weak point."
-
Stimmt. Ich habe bewusst darauf verzichtet, dass noch herauszustellen.
Ich halte Threema ebenfalls für sicher!
-
Im Signal Forum sehen das viele sogar anders, da wird oft die schwächere Verschlüsselung von Threema bemängelt. So schreibt da jemand:
"...The end-to-end encryption of Threema does not offer forward secrecy; so it’s a bit old fashioned. Signal and WhatsApp offer more modern encryption. ..." oder "...Threema has many good things, the anonymity, which is possible by using this randomized ID, a gui which has not so many bugs. but the encryption, i would say, is their weak point."
Wundert mich auch ein wenig dass dieses Thema hier nur selten zur Sprache kommt. Möglicherweise um Threema-Gegnern keine Munition zu liefern oder vielleicht auch nur weil zumindest die Transportebene bei Threema ja PFS bietet, wenn auch nicht die EEE-Ebene. Je nach Standpunkt könnte dann schon ein Kritiker anmerken, dass dies ein Nachteil von Threema wäre.
Ein anderer Punkt der mir leichte Sorgen bereitet ist der private Schlüssel, der bei Threema ja fest an die ID geknüpft ist. Meines Wissens nach gibt es keine Möglichkeit das Schlüsselpaar zu erneuern ohne die ID zu wechseln (korrigiert mich gerne falls ich mich irre).
Beispiel: Meine Threema-ID habe ich seit 2014 und per Backups über die Jahre auf verschiedenen Smartphones genutzt. Ich möchte nicht meine Hand dafür ins Feuer legen, dass mein privater Schlüssel noch nie in irgendeiner Art und Weise "ausgespäht" wurde obwohl er in einem geschütztem Bereich des Telefons liegt (durch nicht gepatchte Lücken in Android, Schadsoftware, etc.).
Nachdem es in diesem Thread aber nicht um Threema sondern um andere Messenger geht:
Bei WhatsApp wird das Schlüsselpaar ja spätestens beim Handywechsel geändert (von den vielen Schwächen dort mal abgesehen). Wie ist das bei Signal, Wire und Co?
-
Bei WhatsApp wird das Schlüsselpaar ja spätestens beim Handywechsel geändert (von den vielen Schwächen dort mal abgesehen). Wie ist das bei Signal, Wire und Co?
Für Signal kann ich die Frage beantworten. Wenn du die Signal-App neu installierst, ändert sich der Schlüssel. Signal benachrichtigt dann deine Gesprächspartner darüber.
Ref.: https://support.signal.org/hc/en-us/articles/360007060632
-
Egal wo sie stehen. Es gibt nichts was dauerhaft auf den Servern gespeichert wird.
Der Server ist aber nicht der einzige Gegner, du hast ja noch die amerikanische Netzwerkinfrastruktur die du mitbenutzen musst.
Möglicherweise um Threema-Gegnern keine Munition zu liefern oder vielleicht auch nur weil zumindest die Transportebene bei Threema ja PFS bietet, wenn auch nicht die EEE-Ebene. Je nach Standpunkt könnte dann schon ein Kritiker anmerken, dass dies ein Nachteil von Threema wäre.
Ein anderer Punkt der mir leichte Sorgen bereitet ist der private Schlüssel, der bei Threema ja fest an die ID geknüpft ist. Meines Wissens nach gibt es keine Möglichkeit das Schlüsselpaar zu erneuern ohne die ID zu wechseln (korrigiert mich gerne falls ich mich irre).
Beispiel: Meine Threema-ID habe ich seit 2014 und per Backups über die Jahre auf verschiedenen Smartphones genutzt. Ich möchte nicht meine Hand dafür ins Feuer legen, dass mein privater Schlüssel noch nie in irgendeiner Art und Weise "ausgespäht" wurde obwohl er in einem geschütztem Bereich des Telefons liegt (durch nicht gepatchte Lücken in Android, Schadsoftware, etc.).
Das wäre aber definitiv auch eine Diskussion wert.
Bei Wire wird der Schlüssel auch pro Gerät neu erstellt. Das heisst, Backup raus, neu installieren, Backup rein und man hat einen neuen Schlüssel.
-
Ein anderer Punkt der mir leichte Sorgen bereitet ist der private Schlüssel, der bei Threema ja fest an die ID geknüpft ist. Meines Wissens nach gibt es keine Möglichkeit das Schlüsselpaar zu erneuern ohne die ID zu wechseln
Das ist aber auch ein Vorteil: Wenn du der Threema-ID einmal vertraust, dann musst du dieses Vertrauen nicht jedes mal erneuern, wenn dein Gesprächspartner ein neues Smartphone hat. Die ID ist an einen fixen Public Key gebunden, das heisst dass dir niemand unbemerkt einen anderen Public Key unterjubeln kann. Das System ist zudem kryptografisch gesehen sehr simpel und bewährt.
Bei Systemen mit Device Keys meldet sich der Gesprächspartner dann halt vielleicht mal mit einem "neuen Gerät". Die Wenigsten werden nachfragen, ob denn wirklich ein neues Gerät in Betrieb genommen wurde. Und ständig die neuen Geräte zu verifizieren, das tun sich nur die "paranoiden" an.
Es gibt immer einen Tradeoff zwischen Sicherheit, Usability und Komplexität, mit verschiedenen Vor- und Nachteilen.
-
Technology Preview: Signal Private Group System
Interessant.
Bei Signal-Gruppen gibt's derzeit keine Adminstratoren, jeder kann alles ändern. Dadurch kann's Konflikte geben, wenn zwei Gruppenmitglieder gleichzeitig konfliktierende Änderungen vornehmen. Es gibt keine Autorität die solche Konflikte auflösen kann.
Threema wird immer wieder kritisiert weil es nur einen Admin pro Gruppe geben kann. Aber diese Eigenschaft löst die Konfliktsituationen: Der Admin entscheidet autoritativ über die Gruppenzusammensetzung, es kann nicht zwei divergierende Versionen der selben Gruppe geben. Im Konfliktfall synchronisiert der Admin die Gruppe neu, und alles stimmt wieder. Das Klonen der Gruppe zur Übertragung der Adminrechte ist keine grosse Sache.
Signal wählt nun experimentelle Kryptografie mit servergespeicherten Daten als Alternative. Ist durchaus ein spannender Ansatz, kann auch gut gehen, aber ist halt eben recht experimentell. Falls ein Fehler passiert, sind dann halt die Gruppen doch auf dem Server verfügbar.
(Lustig ist, dass das existiere System dezentral ist und auf dem Server gar keine Metadaten hinterlässt, während das neue System verschlüsselte Metadaten hinterlässt. Trotzdem heisst das neue System "Private Groups", als ob es irgendwie privater wäre als das vorherige System...)
-
Was Threema aus meiner Sicht noch fehlt ist die Möglichkeit die Administration auf einen anderen User zu übertragen.
-
Signal wählt nun experimentelle Kryptografie mit servergespeicherten Daten als Alternative. [...]
(Lustig ist, dass das existiere System dezentral ist und auf dem Server gar keine Metadaten hinterlässt, während das neue System verschlüsselte Metadaten hinterlässt. Trotzdem heisst das neue System "Private Groups", als ob es irgendwie privater wäre als das vorherige System...)
Bin etwas skeptisch, ob das so eine gute Idee von Signal ist, damit die Maxime aufzugeben, so wenig Metadaten wie möglich zu erzeugen und zu speichern... ?
Andererseits hat Threema Metadaten-Minimierung in gewissem Umfang auch schon aufgegeben, nämlich durch Threema Safe: da werden ja auch Nutzerdaten auf deren Server gespeichert, natürlich verschlüsselt und anonymisiert. Das wäre bei Signal‘s „private group system“ auch der Fall, so wie ich das verstehe, oder? -