[Feature-Request] Anonymitäts-Modus

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Auch wenn Threema anonym genutzt werden kann, so gibt es doch noch einen Unterschied zwischen anonym und WIRKLICH anonym.

    Probleme:

    • Push-Token
    • IP-Adresse
    • Mobilfunknummer (Hash)
    • E-Mail-Adresse (Hash)


    Was tatsächlich eine coole Lösung wäre, wenn man unter den „Experten-Einstellungen“ einen Anonymitäts-Modus aktivieren könnte oder evtl. bei der Registrierung einer neuen ID.
    Dieser Modus soll dann garantieren, dass

    • Kein GCM/Apple Push Service genutzt wird, es gibt also keine gespeicherten Push-Token, sondern nur Polling
    • Es kann keine Mobilfunknummer hinterlegt werden
    • Es kann keine E-Mail-Adresse hinterlegt werden
    • Jegliche Kommunikation der App verläuft über Tor (nur diese App)


    Das würde bedeuten, dass Threema einen Tor-Daemon für Android und iOS entwickeln müsste. Manche Funktionen, wie z. B. das Empfangen von Anrufen würde nicht mehr so wirklich funktionieren, aber immerhin hätte man wirkliche Anonymität gewährleistet. Man nimmt also dem Nutzer Arbeit ab bzw. verhindert, dass dieser Fehler macht.

    Was meint ihr?

  • Zu keinem Zeitpunkt ist die Eingabe der Telefonnummer oder E-Mail-Adresse zwingend. Beides sind rein optionale Angaben, die die automatische Auffindbarkeit bei anderen Nutzern erleichtern sollen. Das ganze wird damit entschärft, dass nur Hashes ausgetauscht werden. Diese Wünsche sind damit hinfällig.

    Wer auf FCM/GCM oder Apple Push verzichten will, darf kein iOS-Gerät kaufen und muss ein Android-Gerät mit einer Custom ROM ohne Google-Dienste versehen. Alternativ gibt beispielsweise Sailfish OS, das keinen Push-Service hat und deren Android-Unterstützung ohne GCM/FCM läuft. Damit läuft Threema ausschließlich im Polling-Modus.

    Wenn ich jemandem etwas in den Briefkasten werfen möchte, muss ich seine Adresse kennen. Die Adresse im Internet ist die IP-Adresse. Threema wird nicht die Basis des Internets umkrempeln können. Selbst Tor ist diesbezüglich nicht so anonym, wie es gerne dargestellt wird, lediglich der Aufwand zur Nachverfolgung wird höher. Signal entfernt die Absender-IP-Adresse und verschlüsselt die Absender-ID, weil diese für die Zustellung nicht nötig ist und der Empfänger die Absender-ID wieder entschlüsseln kann. Das wäre tatsächlich auch für Threema eine Überlegung wert.

    Wer seine IP-Adresse nicht preisgeben will, darf keinen eigenen Mobilfunkvertrag und keinen DSL-/Kabel-Vertrag abschließen und sollte stattdessen ausschließlich anonym nutzbare öffentliche WLANs verwenden. Das geht aber dann mit keiner unterbrechungsfreien Erreichbarkeit einher.

    Einmal editiert, zuletzt von Aries (13. Juli 2019 um 06:26)


  • Was tatsächlich eine coole Lösung wäre, wenn man unter den „Experten-Einstellungen“ einen Anonymitäts-Modus aktivieren könnte oder evtl. bei der Registrierung einer neuen ID.

    Eine gute Idee. Die entsprechenden Einstellungen sind nämlich überall verteilt.
    Es wäre schon ein guter Anfang, wenn in den FAQs in einem Artikel erwähnt würde, was man tun und lassen sollte, um möglichst anonym zu bleiben.


  • Zu keinem Zeitpunkt ist die Eingabe der Telefonnummer oder E-Mail-Adresse zwingend. Beides sind rein optionale Angaben, die die automatische Auffindbarkeit bei anderen Nutzern erleichtern sollen. Das ganze wird damit entschärft, dass nur Hashes ausgetauscht werden. Diese Wünsche sind damit hinfällig.


    Stimmt. Die Hashes für die Handynummer und E-Mail-Adresse sind ggf. aber umkehrbar. Zudem soll im Anonymitäts-Modus gar nicht die Möglichkeit gegeben sein, diese Daten (evtl. unabsichtlich!) zu hinterlegen.


    Wer auf FCM/GCM oder Apple Push verzichten will, darf kein iOS-Gerät kaufen und muss ein Android-Gerät mit einer Custom ROM ohne Google-Dienste versehen. Alternativ gibt beispielsweise Sailfish OS, das keinen Push-Service hat und deren Android-Unterstützung ohne GCM/FCM läuft. Damit läuft Threema ausschließlich im Polling-Modus.


    Ja, das geht immer irgendwie. Die Frage ist nur, wie aufwendig das ganze ist. Und die von dir genannte Lösung ist alles andere als toll. Warum die Arbeit an den Nutzer auslagern, wenn auch Threema selbst das automatisiert lösen könnte? Das ganze wäre weit weniger fehleranfällig.


    Wenn ich jemandem etwas in den Briefkasten werfen möchte, muss ich seine Adresse kennen. Die Adresse im Internet ist die IP-Adresse. Threema wird nicht die Basis des Internets umkrempeln können. Selbst Tor ist diesbezüglich nicht so anonym, wie es gerne dargestellt wird, lediglich der Aufwand zur Nachverfolgung wird höher. Signal entfernt die Absender-IP-Adresse und verschlüsselt die Absender-ID, weil diese für die Zustellung nicht nötig ist und der Empfänger die Absender-ID wieder entschlüsseln kann. Das wäre tatsächlich auch für Threema eine Überlegung wert.


    Es geht ja nicht unbedingt darum, ob der Empfänger einer Nachricht öffentlich/erkennbar ist, sondern der Absender. Tor ist bestimmt nicht perfekt, aber momentan die wohl beste Lösung die übrig bleibt. Was Signal macht ist in der Tat nicht schlecht, aber es löst nicht das hier angesprochene Problem.


  • Zudem soll im Anonymitäts-Modus gar nicht die Möglichkeit gegeben sein, diese Daten (evtl. unabsichtlich!) zu hinterlegen.

    Während des ersten Starts wird man gefragt, ob man Telefonnummer und/oder E-Mail-Adresse eintragen möchte. Das ist deutlich mit dem Zusatz "optional" gekennzeichnet. Was soll das dann für ein Anonymitätsmodus sein? Einer für den Einrichtungsprozeß?


    Es geht ja nicht unbedingt darum, ob der Empfänger einer Nachricht öffentlich/erkennbar ist, sondern der Absender. Tor ist bestimmt nicht perfekt, aber momentan die wohl beste Lösung die übrig bleibt. Was Signal macht ist in der Tat nicht schlecht, aber es löst nicht das hier angesprochene Problem.

    Warum löst die Signal-Lösung das Problem nicht? Ich denke, Signal löst es eigentlich besser als Tor. Tor setzt nur auf Verwirrung. Mit entsprechender Mühe, kann man Tor zurückverfolgen und Tor ist bekanntermaßen unterminiert. Bei Signal fehlen die notwendigen Informationen des Absender in den Metadaten ganz.

    Aber auch die Signal-Lösung bietet einen Angriffspunkt, die Kommunikationspartner doch zu ermitteln, sobald eine Antwort gesendet wird. Das wirst Du aber technisch nicht lösen können. Es muss nunmal immer ein Empfänger angegeben werden.