Threema wird den Quellcode veröffentlichen und Multi Device Support wird kommen

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Wie ist das eigentlich bei Signal? Wenn man den Open-Source-Code dessen Clients 'runterlädt und selbst kompiliert (auch mit eigenen Änderungen), kann dieser sich dann mit den Signal-Servern verbinden? Wenn nein, wieso nicht und woran wird der "Nachbau" erkannt?

    Wenn die Builds reproducible sind, dann dürfte für die Signal-Server eine Serververbindung identisch aussehen, wenn sie von einer selber gebuildeten App kommt. Ohne explizite Authentisierung der Verbindung kann das Signal nicht erkennen. Die App-Signatur ist dafür ja irrelevant.

    Bei Threema wird das grundsätzlich auch so sein. Threema prüft aber seit einiger Zeit beim Erstellen einer ID (wie von Claus korrekt bemerkt) die Play Store Kaufquittung (oder die Threema-Lizenz, wenn Direktkauf). Das heisst, eine selber gebuildete (oder modifizierte) App kann zwar mit einer bestehenden ID aus einem Backup problemlos verwendet werden, allerdings kann man keine neue ID erstellen. (So ist zumindest der aktuelle Stand der Dinge.)

    (Damit keiner auf blöde Ideen wie "Vor-Generieren von IDs" kommt: Die ID-Erstellung ist natürlich rate-limited.)

  • Ich befürchte die Entwickler werden das Geld mitnehmen und über kurz oder lang die Segel streichen. Afinum wird sich das eine Weile anschauen und wenn keine großen Gewinne eingespielt werden, war's das.

    Und Threema wird ein Messenger wie viele andere werden. Datenschutz ade!

  • Das Befürchte ich wegen AG auch

    -------
    ʕ•ᴥ•ʔ

    Note II / Android 4.*

    Note 8 / Android 9

    ===============================================================================
    „Der Zweifel ist der Beginn der Wissenschaft. Wer nichts anzweifelt, prüft nichts. Wer nichts prüft,
    entdeckt nichts. Wer nichts entdeckt, ist blind und bleibt blind.“

  • Ich befürchte auch das die Beteiligung dazu führen könnte, das Threema weniger konsequent mit dem Datenschutz umgehen könnte.

    Allein schon damit der Messenger "einfacher" zu handhaben (alla WA, mal eben das Telefon wechseln, neuer Schlüssel? So What!) ist,

    damit er sich besser verbreitet (und mehr einbringt).

    Ich frage mich auch grad wie das mit dem PrivateKey und den Daten beim Multidevice gehen soll.
    Wenn ich auf allen Geräte alle Nachrichten haben will, müssen diese ja zwangsläufig länger auf dem Server gespeichert werden, da ja nicht alle Geräte unbedingt online immer sind. Somit müsste die Nachricht solange auf dem Server bleiben, bis alle Geräte diese bekommen haben.
    Ein generelles Multidevice Problem.

    Und der PrivateKey? Ist der PrivateKey auf allen Geräten mit der gleichen ID auch gleich? Wenn ja, läßt der sich auf deinem PC genauso gut schützen?
    Wenn der PrivateKey nicht gleich ist, wie kann verhindert werden das es nicht noch mehr PrivateKeys für meine ID gibt die jemand anders nutzt um Nachrichten mitzulesen (das war afaik immer mit ein Hauptgrund warum Threema kein Multidevice unterstützt)

    Ich kann nur hoffen das Threema alle Veränderungen in diesem Bereich transparent erklärt und offen legt.

  • Es gäbe z.B. eine Möglichkeit das Keypair per QRCode von Gerät zu Gerät zu übermitteln. Über einen externen Server darf das auf keinen Fall laufen!

    DeltaChat z.B. macht es mit einer Backup Datei. Ist aber für einen Otto Normalo zu kompliziert.

  • Ich frage mich auch grad wie das mit dem PrivateKey und den Daten beim Multidevice gehen soll.
    Wenn ich auf allen Geräte alle Nachrichten haben will, müssen diese ja zwangsläufig länger auf dem Server gespeichert werden, da ja nicht alle Geräte unbedingt online immer sind. Somit müsste die Nachricht solange auf dem Server bleiben, bis alle Geräte diese bekommen haben.
    Ein generelles Multidevice Problem.

    Soweit ich das verstanden habe (bitte korrigieren, wenn falsch) hat Signal das Multi-Device-Problem so gelöst, dass der Absender jede Nachricht mehrfach sendet, nämlich an jedes der Multi-Devices des Empfängers, also ähnlich wie in einer (für den Nutzer verborgenen) Chatgruppe. Dadurch wird zwar das zu sendende Datenaufkommen erhöht, aber es gibt keine Logistik-Probleme mit dem Mehrfach-Abruf einer Nachricht (dafür ist jedes der Multi-Devices selbst zuständig). Auch kann jedes Multi-Device sein eigenes Schlüsselpaar haben. Damit kann jedes Device unabhängig von den anderen betrieben werden.

    Nachtrag: Ein Nachteil dieser Lösung ist, dass man nur auf Nachrichten zugreifen kann, die ab dem Zeitpunkt der Kopplung versandt wurden, während die ThreemaWeb-Lösung sozusagen „Vollzugriff“ auf alle Nachrichten erlaubt, die auf dem Smartphone vorhanden sind.

    Einmal editiert, zuletzt von andyg (3. September 2020 um 22:08)

  • Dass eine profitorientiertes Unternehmen eingestiegen ist, sehe ich auch kritisch. Irgendwoher muss das Geld fließen. Verkauf der Metadaten scheidet aus und wenn auf ein Werbe- oder Abomodell gesetzt wird, denke ich, sind die meisten User weg.

    Keiner meiner Threema-Partner wäre bereit ein Abo zu bezahlen. Die einmalige Zahlung ist schon für viele zu viel. Und Werbung zu akzeptieren, Nö! (auch vor dem Hintergrund der zwangsläufig anfallenden Metadaten bei den Werbeplattformen). Wer schon einmal versehentlich auf ein aufpoppendes Werbebanner getippt hat und hinterher Scherereien mit Aboverträgen hatte, dem kommt keine App mit Werbung mehr aufs Gerät.


    Bei uns in der Fa. war der Zeitpunkt als Threema Work zum Abomodell umgeschwenkt ist, der Zeitpunkt, an dem wir ausgestiegen sind. Denn für die rein interne Kommunikation war unsere GL nicht dazu zu bewegen, monatlich Geld auszugeben und die Zahl der externen Kommunikationspartner war zu klein.

  • Wahnsinn! Diese Nachricht schlägt wirklich ein wie eine Bombe!

    Offenlegung des Quelltextes wurde ja immer wieder gefordert. Genau wie Multidevice. Deswegen klingts erstmal cool.

    Und vielleicht ist mit dem neuen "Partner" jetzt genug Geld da um in Sachen Funktionsumfang zu anderen Messengern aufzuschließen. Das wird den Usern nicht gefallen dies übersichtlich mögen. Muss aber wohl so sein weil man "über den deutschen Sprachraum hinaus wachsen" will.

    Laut Webseite der Afinum Management AG: Afinum investiert Fonds, über die bevorzugt Mehrheitsbeteiligungen an mittelständischen Unternehmen eingegangen werden. Hoffentlich geht davon keine Gefahr für das Vertrauen in Threema aus.

    Mir kommts es vor als wäre das der Anfang vom Ende der gemächlichen Entwicklung, hin zu schnelleren Veränderungen und Innovationen. Schauen wir mal.

    Ganz ehrlich wenn man sich verkaufen lässt ist das so ne Sache. Welche Sicherheit hat man dann noch, wenn es nicht in der Schweiz bleibt und die AGBs auch in Deutschland gelten, und dann noch die Quelldaten frei macht. Dann ist Threema nicht mehr viel wert, dann kann man auch Telegramm nutzen, Thremma müsste dann auch nichts mehr kosten. Tja Geld regiert die Welt so ist es wohl, schade das das Threema Team sich nicht treu bleibt so ist es wohl

    .

  • Soweit ich das verstanden habe (bitte korrigieren, wenn falsch) hat Signal das Multi-Device-Problem so gelöst, dass der Absender jede Nachricht mehrfach sendet, nämlich an jedes der Multi-Devices des Empfängers, also ähnlich wie in einer (für den Nutzer verborgenen) Chatgruppe. Dadurch wird zwar das zu sendende Datenaufkommen erhöht, aber es gibt keine Logistik-Probleme mit dem Mehrfach-Abruf einer Nachricht (dafür ist jedes der Multi-Devices selbst zuständig). Auch kann jedes Multi-Device sein eigenes Schlüsselpaar haben. Damit kann jedes Device unabhängig von den anderen betrieben werden.

    Nachtrag: Ein Nachteil dieser Lösung ist, dass man nur auf Nachrichten zugreifen kann, die ab dem Zeitpunkt der Kopplung versandt wurden, während die ThreemaWeb-Lösung sozusagen „Vollzugriff“ auf alle Nachrichten erlaubt, die auf dem Smartphone vorhanden sind.

    In dem Fall müsste es aber zu jeder ID mehrere Schlüsselpaare geben können. Das wäre schon eine ziemlich massive Anpassung. Und grundsätzlich verhindert das auch nicht das weiter oben beschriebene Problem (dass jemand zusätzliche Schlüssel an die ID bindet).

    Meiner Ansicht nach ist es da doch die bessere Variante zu jeder ID auch weiterhin nur genau ein einziges Schlüsselpaar zuzulassen und den entsprechenden privaten Schlüssel dann auf alle beteiligten Geräte zu kopieren.

    Für die Sicherheit des Schlüssels wäre dann der Nutzer selbst verantwortlich – allerdings ist das jetzt ja auch schon so.

    Was den Abruf der Nachrichten angeht: Wenn ich es richtig verstehe ist es ja aktuell so, dass die Nachrichten auf dem Server liegen und gelöscht werden, wenn der Client sie abgerufen hat (oder nach 14(?) Tagen). Da müsste dann in Zukunft halt ein zusätzlicher Zähler gepflegt werden, der die Nachricht erst nach X Anrufen löscht (mit X = Anzahl der Devices). Wenn es dann irgendwo in der App eine Möglichkeit gibt einzusehen, auf welchem Wert dieser Zähler steht (also wie viele Geräte für den Abruf zugelassen sind), dann wäre das auch wieder einigermaßen sicher gegenüber "ungewollten" Abrufern.

  • Threema wo wird in Zukunft der Server liegen?.

    Und ist dann wirklich Threema noch so sicher wie behauptet wird, wenn Ihr alles frei legt?.

    Kommen den auch jetzt die Deutschen Behörden dran?, unter welchen Datenschutz liegt Ihr?.

    Schau dir mal das Prinzip von Open Source Software näher an.

    Dort Sicherheitslücken absichtlich reinzubauen ist sehr schwer möglich, weil jeder auf den Quellcode draufschauen kann und von den Leuten, die was davon verstehen, machen das auch viele. Dadurch werden unbeabsichtigte Sicherheitslücken schnell entdeckt und geschlossen. Absichtliche sowieso und das Auftauchen von absichlichen Sicherheitslücken im Quellcode würde den Ruf der Firma sehr schnell zunichte machen.

    "Open" bedeutet hier nicht, dass die Verschlüsselung offen liegt. Es bedeutet, dass jeder nachprüfen kann, dass die Verschlüsselung funktioniert.

  • Dass eine profitorientiertes Unternehmen eingestiegen ist, sehe ich auch kritisch. Irgendwoher muss das Geld fließen. Verkauf der Metadaten scheidet aus und wenn auf ein Werbe- oder Abomodell gesetzt wird, denke ich, sind die meisten User weg.

    Ich mache mir da keine Sorgen. Threema sagt ja auch klar im Blog "...haben wir einen Partner gefunden, der unsere Werte bezüglich Sicherheit und Datenschutz voll und ganz teilt." - da wird man am Geschäftsmodell sicher nichts ändern.

    Ich sehe das eher als Chance. Ein Investor bringt Geld. Damit können neue Entwickler eingestellt und das Entwicklungstempo gesteigert werden. Bei Signal war das nach dem Einstieg von Brian Acton (WhatsApp/Facebook) auch so. Vielleicht wird die private Variante von Threema dadurch sogar irgendwann mal gratis angeboten, weil es durch die Einnahmen von Threema Work querfinanziert werden kann. Das alles hilft der Akzeptanz von Threema und damit auch uns Nutzern.

  • Es gab vor 2 Tagen einen Beitrag im RSS-Feed Changelog Privacy Handbuch. Siehe hier Punkt 2, gestern dann die Threema-Nachricht...!

    Ob's (zumindest teilweise auch) miteinander zu tun hat?:/

  • Ein Investor bringt Geld. Damit können neue Entwickler eingestellt und das Entwicklungstempo gesteigert werden.

    Genau das macht mir Sorge. Ein Investor tut dies nicht aus Menschenfreundlichkeit, sondern er will Rendite. Und wenn die Erträge aus Work so üppig wären, das querzufinanzieren, warum stemmt das Threema nicht alleine mit diesen Mitteln?

    Für mich sieht es einfach so aus, dass zusätzliche Mittel fließen (müssen) und diese wollen refinanziert sein. Wo aber sollen die Erträge herkommen, wo sie nicht bisher auch an Threema flossen? Und darauf hoffen, dass sich Threema und Work jetzt schlagartig verbreitet und diese Mittel generiert, welche diesen Invest refinanzieren ... Naja an den Weihnachtsmann glaube ich auch seit einiger Zeit nicht mehr...

    Ich sehe das erst mal kritisch

  • Und ist dann wirklich Threema noch so sicher wie behauptet wird, wenn Ihr alles frei legt?.

    Kommen den auch jetzt die Deutschen Behörden dran?, unter welchen Datenschutz liegt Ihr?.

    Ich Allesdings auch, wenn man jetzt anfängt es offen zu legen, vielleicht auch viel Politik dahinter kann auch sein.

    Das Prinzip von Open Source ist dir bekannt?

    https://de.wikipedia.org/wiki/Open_Source

  • Genau das macht mir Sorge. Ein Investor tut dies nicht aus Menschenfreundlichkeit, sondern er will Rendite. Und wenn die Erträge aus Work so üppig wären, das querzufinanzieren, warum stemmt das Threema nicht alleine mit diesen Mitteln?

    Weil du dir nur begrenzt Wissen einkaufen kannst. Aus einer reinen Informatikfirma kannst du nicht ruckzuck eine Vertriebsabteilung dazu zaubern. Denn es kennt sich ja niemand mit Vertrieb aus und kann die Bewerber nicht gut beurteilen.

    Seit mehr als 20 Jahren gestalten wir als deutsche Beteiligungsgesellschaft Nachfolgesituationen für den Mittelstand: respektvoll, strategisch und weitsichtig. Mit der Anspruchshaltung Gutes noch besser zu machen, stärken und entwickeln wir heute führende Unternehmen für morgen. Dafür leben und schätzen wir unsere unternehmerische Freiheit.

    Unser Beteiligungsansatz stellt den Menschen in den Mittelpunkt, weil wir überzeugt sind, dass die Menschen in einem Unternehmen das wertvollste Kapital sind.

    Das schreibt Afinum auf der Webseite ja auch, es geht hier um die Nachfolge und nicht um Wagniskapital (https://de.wikipedia.org/wiki/Wagniskapital) wie bei WhatsApp, Instagram und co der Fall war.

    Threema hat wohl die letzten 6 Jahre nicht von der Hand im Mund gelebt. Deshalb mache ich mir hier wenig Sorgen, sondern freue mich auf Multidevice.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.