Neuer Threema-Audit - 28. März 2019

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Neuer Threema-Audit
    28. März 2019

    Threema ist für seine vorbildliche Sicherheit und den beispiellosen Privatsphäre­schutz bekannt. Die kryptographischen Verfahren sind umfassend dokumentiert, und die korrekte Anwendung der Verschlüsselung lässt sich jederzeit überprüfen. Um Threemas Sicherheit zusätzlich zu untermauern, werden periodisch unabhängige Audits von renommierten Experten durchgeführt.

    So hat das Labor für IT-Sicherheit der FH Münster unter Leitung von Prof. Dr. Sebastian Schinzel während den letzten Monaten Threema einer eingehenden Prüfung unterzogen. Mit erheblichem Aufwand und allem verfügbaren technischen Fachwissen wurden die Android- und die iOS-App sowie Threema Safe minutiös durchleuchtet und auf etwaige Sicherheitslücken untersucht. Es wurden keine kritischen Schwachstellen gefunden, und die Forscher attestieren Threema Bestnoten:


      "Threema nimmt die Sicherheit und den Datenschutz seiner Nutzer sehr ernst."


      "Threema verhält sich wie in der öffentlichen Dokumentation beschrieben."


      "Threemas Sicherheits- und Datenschutzmechanismen sind intakt und wirksam."

    Der Audit-Bericht ist in seinem vollen Umfang einsehbar. Die wenigen unkritischen Probleme, die vorgebracht wurden, sind umgehend behoben worden und bestehen in den aktuellen App-Versionen bereits nicht mehr. Machen Sie sich selbst ein Bild vom Prüfverfahren, das Threema durchlaufen hat: Zum Audit-Bericht (Englisch)

    Quelle

    Einmal editiert, zuletzt von Mogli (28. März 2019 um 15:19)

  • Super! :daumen:

    Schön, dass Threema auch die Anregungen verschiedener Personen angenommen hat, die waren:

    • Umfangreicheren Audit-Bericht veröffentlichen
    • Audit von einer in der IT-Welt anerkannten Gruppe


    Auch Lob und Dank an die Entwickler, das sind gute Ergebnisse.

    Zwei kurze Fragen habe ich, evtl. kann mir diese jemand von Threema beantworten:

    • Das Krypto-Whitepaper sagt, es wird SRTP_AES128_CM_SHA1_32 für die Threema-Anrufe verwendet. @"lgrahl" meinte mal, dass es mittlerweile SHA1_80 ist. Firefox hat den Support für SHA1_32, sofern ich mich erinnern kann, vor kurzem aus Sicherheitsgründen entfernt.
    • Zu welchem groben Anteil ist die iOS-App in Objective-C bzw. Swift implementiert?


    Wenn SaltyRTC und Threema Web eine stabilere Version erreichen, dann fehlt eigentlich nur noch dieser Teil. Momentan macht es vermutlich noch keinen Sinn viel Geld für einen Audit auszugeben.

    Einmal editiert, zuletzt von Crixus (28. März 2019 um 15:28)

  • Zu 1. auf iOS lässt es sich recht einfach verifizieren, nämlich mit einem Long-Press auf den Avatar während eines Anrufs wenn man ins Validation Log schaut, nachdem man einen Anruf getätigt hat:

    Code
    srtp-cipher=AES_CM_128_HMAC_SHA1_80

    Auf Android würde ich die Information auch gerne loggen, aber... sagen wir einfach mal, die Java-Bindungs von WebRTC sind überarbeitungswürdig.

    Zu 2. die iOS-App ist älter als Swift... :)

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

    Einmal editiert, zuletzt von f09fa681 (28. März 2019 um 18:11)

  • Das hat sogar in Campus Steinfurt stattgefunden :)

    -------
    ʕ•ᴥ•ʔ

    Note II / Android 4.*

    Note 8 / Android 9

    ===============================================================================
    „Der Zweifel ist der Beginn der Wissenschaft. Wer nichts anzweifelt, prüft nichts. Wer nichts prüft,
    entdeckt nichts. Wer nichts entdeckt, ist blind und bleibt blind.“

  • Ich auch nicht mehr :)

    -------
    ʕ•ᴥ•ʔ

    Note II / Android 4.*

    Note 8 / Android 9

    ===============================================================================
    „Der Zweifel ist der Beginn der Wissenschaft. Wer nichts anzweifelt, prüft nichts. Wer nichts prüft,
    entdeckt nichts. Wer nichts entdeckt, ist blind und bleibt blind.“


  • Zu 1. auf iOS lässt es sich recht einfach verifizieren, nämlich mit einem Long-Press auf den Avatar während eines Anrufs wenn man ins Validation Log schaut, nachdem man einen Anruf getätigt hat:

    Code
    srtp-cipher=AES_CM_128_HMAC_SHA1_80

    Auf Android würde ich die Information auch gerne loggen, aber... sagen wir einfach mal, die Java-Bindungs von WebRTC sind überarbeitungswürdig.

    Zu 2. die iOS-App ist älter als Swift... :)

    Danke, dann scheint einfach das Whitepaper nicht aktuell zu sein.