Kontakt von rot zu grün ändern

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Hallo,

    vielleicht stelle ich mich einfach zu dumm an - aber wie bekomme ich einen (bekannten) Kontakt (der auch in meinem Adressbuch steht und manuell damit verknüpft wurde, Bild wird angezeigt) von "rot" zu "grün", nachträglich?

    Und a bissl Offtopic, aber wenn ich schon mal schreibe - ich (Firefox aktuell, Win 7 32 Bit) kann die Seiten im Forum nicht wechseln. Egal ob ich auf die Seitenzahlen oder auf "Weiter" klicke bleibe ich immer auf Seite 1 kleben.

    Danke schon mal im Voraus.
    LG

  • Stimmen denn beiderseits die Informationen über E-Mail-Adresse und/oder Handy-Nr (in den Optionen) überein? Dann müsstest ja mindestens orange haben (wenn synchronisiert wird)!?
    Der Fehler im Forum ist bekannt und muss von Simon (Foren-Chefe) behoben werden! [emoji120][emoji4]

  • Rot: ID wurde manuell in Threema hinzugefügt.
    Orange: Email oder Handynummer des Kontakts befindet sich in deinem Adressbuch.
    Grün: QR-Code wurde gescannt.

    ______________________________________________________________________________________________
    "Wir kaufen Dinge, die wir nicht brauchen, mit Geld, das wir nicht haben um Leute zu imponieren, die wir nicht mögen“

  • Würde euch davon abraten. Eurer privater Schlüssel sollte auf dem Smartphone bleiben und nicht durch Internet gesendet werden. Deswegen gibt man ja auch sonst nur den öffentlichen Schlüssel (sprich die normale ID) heraus.

    Cheers

    ______________________________________________________________________________________________
    "Wir kaufen Dinge, die wir nicht brauchen, mit Geld, das wir nicht haben um Leute zu imponieren, die wir nicht mögen“

  • Dafür ist das Ampel System ja da. Ohne persönliche Begegnung kannst du nicht sicher sein, dass du auch wirklich mit der Person kommunizierst.
    Auch dann noch, wenn dir die gleiche ungesicherte Quelle dem Schlüssel sendet ;)

    Gruß, Patrick
    -------
    Handy: Samsung Galaxy Note 8
    Android: 9
    Threema: V. 4.22
    ThreemaWork: V. 4.22k


  • Würde euch davon abraten. Eurer privater Schlüssel sollte auf dem Smartphone bleiben und nicht durch Internet gesendet werden. Deswegen gibt man ja auch sonst nur den öffentlichen Schlüssel (sprich die normale ID) heraus.

    Cheers

    Der QR Code ist der öffentliche Schlüssel!
    Es wird damit überprüft ob der Schlüssel der bereits für einen Kontakt gespeichert ist auch wirklich der öff. Schlüssel dieser Person ist.


  • Hallo. Was nun: QR-Code rausgeben oder nicht? Oli

    Man braucht den QR Code nicht per Screenshot etc. zuverschicken.

    Auch wenn der Kontakt rot angezeigt wird, gibt es keine Beschränkungen, wie man mit diesem kommunizieren kann. Wenn der Kontakt nicht grün ist, bedeutet dies lediglich, dass man sich noch nicht getroffen hat um gegenseitig den QR Code zu scannen und damit die "Echtheit" des Kontakts verifiziert hat.


    Erschreckend, dass das noch immer nicht verstanden wird!

    Punkt 5 & 6 in den FAQ!

    https://threema.ch/de/faq



    ...Eurer privater Schlüssel sollte auf dem Smartphone bleiben und nicht durch Internet gesendet werden. Deswegen gibt man ja auch sonst nur den öffentlichen Schlüssel (sprich die normale ID) heraus.

    Es geht doch um den öffentlichen Schlüssel (Scannen um den Kontakt zu verifizieren)!

    Einmal editiert, zuletzt von rorobaer (25. Februar 2015 um 22:18)


  • Hallo. Was nun: QR-Code rausgeben oder nicht? Oli

    Nein, QR-Code nicht rausgeben!

    Der QR-Code dient ja nur der Authentifizierung. Wenn der QR-Code irgendwo öffentlich herumschwirrt, könnte sich wer anders als diese Person ausgeben.
    Wie schon zuvor zutreffend bemerkt geht ja auch keine funktionale Einschränkung mit der roten bzw. Orangen Markierung einher, also keine Panik.

    Die offizielle Threema-FAQ rät davon übrigens auch eindringlich ab:
    "Bitte beachten Sie, dass im Allgemeinen QR-Codes zur Überprüfung von IDs nicht über das Internet gesendet, sondern nur direkt vom persönlichen Smartphone der entsprechenden Person gescannt werden sollten, um sicher zu gehen dass keine Manipulation durch Dritte stattgefunden hat."
    (siehe https://threema.ch/de/faq/echo_test )

  • Nein, QR-Code nicht rausgeben!

    Der QR-Code dient ja nur der Authentifizierung. Wenn der QR-Code irgendwo öffentlich herumschwirrt, könnte sich wer anders als diese Person ausgeben.

    Das stimmt nicht, für eine Authentifizierung benötigt man den privaten Schlüssel.
    Im QR Code stehen keine geheimen Informationen. Das Gegenteil ist ja der Fall, du möchtest dass der öffentliche Schlüssel möglichst weit verbreitet wird damit dir möglichst viele eine Nachricht schicken können.

    Wenn man den QR code z.b. per E-Mail verschickt könnte der E-Mail Provider das Bild manipulieren. Man muss sich also für das einscannen treffen.

  • Ja da hast Du recht, mit dem QR-Code alleine kann man keine Identität klauen, da der private Schlüssel fehlt.
    Aber wieso rät Threema dann eindringlich davon ab, den QR-Code per Email/Internet zu versenden, wenn der QR-Code ohnehin nur die ID und den öffentlichen Schlüssel beinhaltet (die entsprechende Passage ist sogar in Fettschrift hervorgehoben)?

    EDIT:
    Hier ein Szenario, wieso man Authentifizierungen vielleicht besser nicht per Email durchführen sollte (und das ist eigentlich das, wovon Threema in der FAQ eigentlich abrät):
    A will mit B kommunizieren; C möchte sich jedoch als B ausgeben. C lässt A per Email mit gefälschter Absenderadresse - geht ja ganz einfach - seine ID zukommen und behauptet, B zu sein.
    A nimmt den Kontakt auf in der Annahme, mit B zu kommunizieren, tut dies in Wahrheit jedoch mit C.
    Nun verlangt A eine Authentifizierung. C sendet A seinen QR-Code per Email zu. Daraufhin wird der vermeintliche Kontakt B bei A grün in Threema dargestellt - obwohl er eigentlich C ist. A wähnt sich nun in der falschen Gewissheit, mit B zu kommunizieren.
    --> Authentifizierungen, wenn sie denn aussagekräftig sein sollen, sollten wohl tatsächlich besser bei einem persönlichen Treffen durchgeführt werden, wobei der Code vom Gerät gescannt werden sollte. Wenn man ganz paranoid ist, kann man auch gleich mit dem Versenden von Testnachtichten untereinander noch direkt überprüfen, ob die Zustellung tatsächlich auf die erwarteten Geräte erfolgt.
    Oder vielleicht bei einem Videotelefonat (Skype/FaceTime), bei dem die zu authentifizierenden Personen ihre Geräte in die Kameras halten? Das sollte ja auch möglich sein, da in diesem Falle C auch enttarnt werden würde... (Annahme: A und B kennen sich offline sehr gut, so dass A sofort merken würde, dass im Videochat C nicht B ist).

    Einmal editiert, zuletzt von atti69 (26. Februar 2015 um 08:00)

  • FAQ-Hinweise sind nun also verstanden!? :rolleyes: :smile:

    Dann bliebe noch der Weg: Screenshot vom QR-Code machen und diesen mit 7-Zip / AES-256-verschlüsseln (also Passwort drauf)
    und dann - wenn unbedingt gewünscht - per Mail verschicken.
    Oder den Screenshot mit . . . Threema :rolleyes: . . .verschicken. Gegenüber speichert sich diesen Screen vorübergehend an einem sicheren
    Ort
    und scannt ihn davon dort ein. :angel:

    Aber wie schon erwähnt:

    Zitat

    Der QR-Code enthält Ihre Identität (bestehend aus Ihrer Threema-ID sowie Ihrem öffentlichen Schlüssel). Er ermöglicht anderen Nutzern, sich durch simples Einscannen zu vergewissern, dass der Ihrem Kontakt zugeordnete und auf ihrem Handy gespeicherte Schlüssel nicht manipuliert wurde.


    Ich würde bis zum einem Treffen immer auf:

    Zitat

    Stufe 2 (orange): der Kontakt wurde im Adressbuch gefunden (mit Handynummer oder E-Mail). Da der Server Handynummern und E-Mail-Adressen prüft (SMS bzw. E-Mail mit Aktivierungslink), kann man sich relativ sicher sein, dass diese Person wirklich diejenige ist, die man meint.


    setzen. Also, wie schon von mir angemerkt: prüfe eure Einträge zu Handy-Nr./E-Mail-Adresse gegenseitig und schon haste mindestens orange, wenn die Einträge stimmen und synchronisert wird! Ohne Sync bleibt dir der Eintrag rot! :confused:

  • QR Code natürlich nicht per eMail verschicken! Das hebt den Sinn auf! Sinn ist dass du persönlich überprüft hast dass die Person die vorgibt im Besitz dieses öffentlichen Schlüssels zu sein, auch tatsächlich die Person ist die sie vorgibt zu sein.
    Per Mail versendete Schlüssel können maximal mit viel gutem Willen "orange" repräsentieren.
    Soll heißen dir ist die eMail bekannt und jemand hat offensichtlich genug Kontrolle über die Email Adresse um diese mit dem öffentlichen Schlüssel zu verknüpfen.

    Kurz: Grün ist NUR durch persönliches Scannen des QR Codes zu erreichen und genau dass soll so sein!

    "no space left on device" "kein Weltraum links vom Gerät"

  • Das Ampel system ist gut gedacht, es führt aber bei den Ottonormalverbrauchern zu viel Missverständnis [emoji17]

    ______________________________________________________________________________________________
    "Wir kaufen Dinge, die wir nicht brauchen, mit Geld, das wir nicht haben um Leute zu imponieren, die wir nicht mögen“

  • Auch ich bin dafür den QR-Code nicht zu verschicken, da er ja dazu beiträgt die Authentizität des Gegenüber zu verifizieren.

    Da es hier ja um eine elementare Funktion von Threema geht, und man (meiner Meinung nach) Sachen besser versteht, wenn man die Hintergründe kennt, bin ich mal so frei das Thema asymmetrische Verschlüsselung/Authentizität anzuschneiden:

    Kleiner Exkurs: Asymmetrische Verschlüsselung
    Bei Threema werden die Nachrichten asymmetrisch Ende-zu-Ende verschlüsselt. [1] Dafür benötigt jeder einen öffentlichen und einen privaten Schlüssel für Threema.
    Das Schlüsselpaar hast Du bei der Einrichtung erstellt (zufälliges Wischen auf dem Display).
    Dein privater Schlüssel verbleibt sicher auf deinem Gerät, der öffentliche Schlüssel wird zusammen mit deiner ID an den Threema-Server übergeben. [2]

    Mit deinem öffentlichen Schlüssel kann jeder Nachrichten verschlüsseln. Entschlüsseln kannst sie aber nur Du, da Du den (zum öffentlichen Schlüssel/Schlüsselpaar) passenden privaten Schlüssel hast.
    Praktisches Beispiel: Briefkasten.
    Jeder kann Briefe einwerfen ("Verschlüsselung mit öff. Schl."), den Briefkasten öffnen und somit die Nachrichten lesen ("Entschlüsselung mit priv. Schl.") aber nur Du.

    Da der private Schlüssel das Gerät nicht verlässt, ist es wichtig ein ID-Backup zu erstellen.
    Bei Verlust des Schlüssels kannst du keine Nachrichten mehr entschlüsseln. [3]

    Fallbeispiel: Kommunikation zwischen Alice und Bob*
    Alice schreibt Bob eine Nachricht, welche Sie mit seinem öffentlichen Schlüssel verschlüsselt. Diese Nachricht kann nur von Bob mit seinem privaten Schlüssel entschlüsselt und gelesen werden. Doch woher weiß Alice, dass Sie wirklich mit Bob schreibt und nicht beispielsweise mit Eve?
    Dies kann Sie überprüfen, indem Sie Bob besucht und dessen QR-Code scannt und sieht somit, ob der öffentlichen Schlüssel zu Bob gehört. Bob kann ebenfalls den öffentlichen Schlüssel von Alice überprüfen.

    * Auf den Schlüsselaustausch/den Verschlüsselungsmechanismus wird hier nicht eingegangen, wer trotzdem mehr wissen möchte kann sich das „Cryptography Whitepaper“ von Threema durchlesen.

    [hr]

    [1] https://threema.ch/de/faq/why_secure
    [2] https://threema.ch/de/faq/identity_expl
    [3] https://threema.ch/de/faq/id_backup_expl