Threema vs Element (zental vs. dezentral)

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support
  • ich hoffe mir kann einer helfen! Desto schneller desto besser, um dies noch in die Diskussion mit einzubringen,


    Unter NGOS oder Aktivisten ist ein Schutz der Daten enorm wichtig.
    Die Gruppe die ich dabei begleite, sieht das Thema ebenso wichtig und möchte daher zu dem dezentralen Anbieter Element (Matrixprotokoll) wechseln.

    Einiges konnte ich im Internet schon dazu finden. Meist leider nichts kritisches, bis auf, dass das Matrixprotokoll, auf dem Element basiert nicht auf datensparsamkeit ausgelegt ist und kopien erstellt werden. Das sogar Signal besser im vermeiden von Methadaten ist hat man mir von der dafür zuständigen AG der Gruppe zugegeben


    Ich habe Threema gegenüber, wie viele vielleicht von euch, ein hohes vertrauen. Alles klingt sehr logisch und schlüssig. Threema kann auch "leien" wie mir alles sehr glaubwürdig erklären und darstellen.
    Da ich jetzt nicht DER Experte bin was das betrifft, habe ich mich, auf Grundlage der wenigen Artikel, an die verantwortlichen gewendet und folgende Antwort erhalten:


    "(...)1. Wer betreibt / finanziert das?

    Sehr, sehr gute Frage... Element ist eine App, die das sog. Matrix-Protokoll verwendet. Das bedeutet, dass alle Leute federiert kommunizieren können. Das ist anders, als z.B. Signal: Dort gibt es eine Betreiberin (die Signal LCC), die zentral alle Nachrichten "verschicken". Bei Matrix gibt es da tausende, teils große mit 10.000den Nutzer*innen, teils kleine, die nur private 1...2 Nutzer*innen haben. Auch unseren Server, activism.international, ist Teil des Matrix-Netzwerks.

    Die meisten Server werden von Vereinen, Technik-Kollektiven (wie uns) oder NGOs betrieben, es gibt aber auf Kommerzielle, z.B. matrix.org.

    Wie sich das finanziert? Meistens aus privaten Geldern oder Spenden. Pauschal lässt sich das aber nicht sagen, weil ich natürlich nicht alle Server und Betreiber*innen im Netzwerk kenne.

    Da Matrix auch eben ein ganzes Netzwerk ist, ist dies ein weiterer Vorteil gegenüber konventionellen Messengern: Es lassen sich sog. Spaces, Widgets, Brücken und Bots integrieren, was zum effektiven Betrieb einer digitalen Community essentiell ist.

    2. Was du angeben musst

    Das entscheiden die Betreiber*innen. Manche wollen nur Username und Passwort (z.B. wir), andere wollen auch Email, Telefonnummer oder was-weiß-ich wissen.

    Matrix ist prinzipiell daher 100 % annonym, was für Aktivismus jeglicher Art praktisch ist.

    3. Welche Daten gespeichert werden

    Gute Frage. Wir z.B. speichern nichts, was wir technisch nicht müssen, siehe: https://activism.international/privacy/cloud/

    Und du hattest die Metadaten angesprochen... Das ist schon schwieriger...

    Metadaten werden bei allen Messengern gesammelt, bei manchen mehr, bei manchen weniger. Matrix sammelt eher weniger, wird da eigentlich nur getoppt von Signal. Jedoch sind bei Matrix aufgrund der Dezentralität die Metadaten kaum verkettbar (aka auswertbar), als z.B. bei Threema. Letztere haben zentrale Server in Europa, die auf richer*innenlichen Beschluss einfach durchsucht werden können. Bei Matrix ist das nicht möglich. Des weiteren sind die Backbones von z.B. Threema, Signal oder WhatsApp nicht open-source, d.h., wir können nicht überprüfen, was dort tatsächlich passiert.

    Unsere Server z.B. sind physisch vor behördlichem Zugriff gesichert, da wir sowohl LUKS2-verschlüsselte Festplatten, als auch Sicherheitsmechanismen zum Löschen des Speichers um sog. Cold-Boot-Attacs vorzubeugen.

    Aus vergangenen Durchsuchungen und Beschlagnahmung bei befreundeten Technikkollektiven wissen wir, dass z.B. deutsche Behörden a) technisch nicht befähigt sind Cold-Boot-Attacks durchzuführen und wir b) selbst für diesen Falle Vorkehrungen getroffen haben, die die Speicher vorher zuerstören.(...)"


    Zu dieser Antwort habe ich alerdings einige Fragen:

    1. Kann man bei Threema keine

    Spaces, Widgets, Brücken und Bots integrieren? oder sind da schon Bedenken zum Thema Datuschutz gefragt?

    2.Toppt wirklich nur signal die Sparsamkeit von Methadaten? Was ist mit Threema?

    3.Samelt Matrix/Element wirklich eher weniger Daten?

    4.Ist es nicht theoretisch auch Zentral wenn die Kommunikation nur über diesen Server läuft?

    5.Stimmt es, dass die Backbones von Threema & co nicht open source sind? Ich dachte threema sei 100% opensource.

    6. "Unsere Server z.B. sind physisch vor behördlichem Zugriff gesichert, da wir
    sowohl LUKS2-verschlüsselte Festplatten, als auch Sicherheitsmechanismen zum
    Löschen des Speichers um sog. Cold-Boot-Attacs vorzubeugen."
    Spricht das für die Sicherheit des servers? Was ist mit Datren die gesammelt weden, sind diese wirklich sicher?

    7. Wurde hier wirklich eine sicherere Alternative als Threema geschaffen, obwohl Datengesammelt werden? Was mein ihr?

    Ich habe dann Threema nocheinamal kontaktiert und gefragt, weshablb sie ein Zentralessystem bevorzugen.
    Kann euch das geren auch mal zu kommen lassen.


    Es wäre super wenn mir Leute mit mehr wissen als ich das ganze einordenen könnten und sagen könnten ob hier eine sicherere und Datenschutz freundlichererer Alternative zu Threema geschaffen wurde. Ich freue mich über jede Antwort. <3



  • Hey


    Mit schnell kann ich leider nicht mehr dienen, aber vielleicht noch im Nachhinein ein wenig Licht ins Dunkle bringen.


    Zuerst zu deinen Fragen.


    1. Das geht über Threema Broadcast. Aber wirklich viele Integrationen gibt es nicht, das müsste man selber bauen. (Ob die Integrationen tatsächlich einen Mehrwert bieten sei mal dahingestellt.)


    2. Nein, Matrix verteilt die Metadaten zwar auf mehrere Server. Aber die bleiben dort dann auch gespeichert. Das heisst, statt nur einen Server schützen zu müssen, muss man alle Server mit denen man kommuniziert hat schützen. Es funktioniert so ähnlich wie bei Emails. Es bringt dir nichts wenn dein Server top geschützt ist, wenn deine Emails auch bei deinem Kontakt öffentlich rumliegen.


    3. Nein, föderierte Protokolle ergeben meist mehr Metadaten als nicht-föderierte. Das aus dem einfachen Grund, dass die Daten ja an die Föderierenden weitergegeben werden müssen, sonst gäbe es keine Föderation. Ein Experte auf dem Gebiet schreibt dazu zum Beispiel folgendes:


    Die Vermeidung von Metadaten ist demnach keine Stärke von Matrix und damit auch nicht von Element. Bei Protokollen, die eine föderale Vernetzung ermöglichen und darüber hinaus Multiclient-fähig sind, ist die Vermeidung von Metadaten generell schwierig.

    4. Ja, aber der Vorteil ist, dass wenn dir der Server nicht mehr gefällt, kannst du relativ einfach weg davon. Wenn aber nicht alle deine Freunde mitziehen, dann sind alle Metadaten trotzdem weiterhin auf dem alten Server gesichert.


    5. Bei Threema sind nur die Apps Open Source. Das spielt aber keine Rolle, erstens sieht man dem Code der Apps ja an was alles zum Server weitergeleitet wird. Zweitens kannst du sowieso nicht überprüfen was Threema auf ihrem Server macht. Dem Betreiber des Servers musst du immer vertrauen. Der Vorteil von Threema ist, dass du nur Threema vertrauen musst und nicht den Betreibern von allen Servern im Netzwerk wie bei Matrix. Oder im Falle von Signal musst du Signal und Google und Amazon und Microsoft vertrauen, weil Signal die Server dort hostet. Threema hat eigene Hardware und ist somit aus dieser Perspektive strikt besser als Signal und föderierendes Matrix (bei nicht föderiertem Matrix musst du natürlich nur dir selbst vertrauen, aber das musst du immer).


    6. Es kann sein, dass die Server tatsächlich sicher sind. (Wobei phsyikalischer Zugriff in den meisten Fällen eine untergeordnete Rolle spielt; Typischerweise geht der Zugriff über einen Administratorenzugang. Das heisst die wichtigen Zugangsdaten sind auf den persönlichen Rechnern der Administratoren.) Aber wie bereits gesagt, musst du im Falle von föderierendem Matrix auch allen Servern von deinen Kontakten vertrauen. D.h. im dümmsten Fall auch dem Typen der sich mal vor fünf Jahren nach vier Bier einen Raspberry Pi mit einem Matrix-Server in seinem Keller aufgesetzt hat und seither nie wieder etwas daran gemacht hat.


    7. Sicher wohl eher ja (wenn man tatsächlich alles strikt verschlüsselt, das ist so weit ich weiss nicht immer der Fall. Es war zumindest bei unserem Matrix-Server nicht der Fall.), Metadatensparend definitiv nein.


    Um das zusammenzufassen, Matrix ist super wenn man Föderation unbedingt will oder den Server selber hostet und nicht föderiert. Sicherheit und Privatsphärenschutz können Threema und Signal besser, weil sie die Metadaten nicht zu allen Servern von allen Kontakten verschleudern. Man muss also nur einem eingeschränkten Kreis von Personen (den Administratoren bei Threema und Signal) vertrauen. Threema ist noch einmal besser als Signal weil die Handynummer optional ist.


    Aufgrund deines Textes nehme ich an, dass du nicht Informatiker bist und die Gruppe die du begleitest ebenfalls nicht technisch bewandert ist. In diesem Fall ist es umso wichtiger auf einfache Technologien zu setzen. Eine Applikation bei der man ausversehen die Verschlüsselung deaktivieren kann, ist in einem solchen Umfeld gefährlich. Ebenso sollte relativ einfach erfassbar sein, wem man vertrauen muss damit kein falsches Sicherheitsgefühl entsteht.


    Für allgemeine NGOs und Aktivisten kann ich nichts empfehlen, falls ihr einem grösseren Staat (oder Konzern mit ähnlichem Budget) ans Bein pinkeln wollt, ist wohl kein technisches Gerät sicher.

    Einfach so, hätte ich Threema empfohlen weil ihr dazu keine Handynummer braucht.


    Weitere Infos zu Messengern findest du zum Beispiel im oben verlinkten Blog von Mike Kuketz.


    Dann noch zu den von dir zitierten Aussagen:

    Jedoch sind bei Matrix aufgrund der Dezentralität die Metadaten kaum verkettbar (aka auswertbar), als z.B. bei Threema. Letztere haben zentrale Server in Europa, die auf richer*innenlichen Beschluss einfach durchsucht werden können.

    Das ist natürlich falsch. Threema hat gerade erst vor dem höchsten schweizer Gericht bestätigt bekommen, dass genau dies nicht erlaubt sei. Einen Artikel dazu gibt es hier: https://www.watson.ch/!313346866. Das Urteil ist im Internet ebenfalls verfügbar.

    So etwas nicht zu wissen, spricht nicht für die Kompetenz des Zitierten.

    Aus vergangenen Durchsuchungen und Beschlagnahmung bei befreundeten Technikkollektiven wissen wir, dass z.B. deutsche Behörden a) technisch nicht befähigt sind Cold-Boot-Attacks durchzuführen und wir b) selbst für diesen Falle Vorkehrungen getroffen haben, die die Speicher vorher zuerstören.(...)"

    Vielleicht haben die Behörden auch einfach dichtgehalten und nichts wichtiges gefunden. Ich vermute mal nicht, dass die eine riesige CSAM Sammlung haben nur um zu merken, ob die Polizei auch tatsächlich Zugriff hatte.


    2. Was du angeben musst

    Das entscheiden die Betreiber*innen. Manche wollen nur Username und Passwort (z.B. wir), andere wollen auch Email, Telefonnummer oder was-weiß-ich wissen.

    Matrix ist prinzipiell daher 100 % annonym, was für Aktivismus jeglicher Art praktisch ist.

    100% anonym glaube ich kaum denn der Server kennt deine IP-Adresse wenn du nicht noch zusätzlich TOR oder ähnliches nutzt. Matrix ist deshalb gerade nicht prinzipiell anonym.


    Da Matrix auch eben ein ganzes Netzwerk ist, ist dies ein weiterer Vorteil gegenüber konventionellen Messengern: Es lassen sich sog. Spaces, Widgets, Brücken und Bots integrieren, was zum effektiven Betrieb einer digitalen Community essentiell ist.

    Das ist keine Eigenschaft die Matrix anderen Diensten voraus hat. Slack, Telegram, MS Teams und Threema bieten dies zum Beispiel auch an.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.


    Nur mit Threema Safe schläft man ruhig.

  • Noch einen Nachtrag zum Thema Föderation. Threema wird in Zukunft eine Art Mini-Föderation bieten. Falls du den Multi-Device-Server selber hostest, wird der Zugriff auf die Server von Threema über diesen Server geleitet. Wenn du diesen mit mehrere Leuten benutzt, kennt Threema nicht einmal mehr deine IP-Adresse.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.


    Nur mit Threema Safe schläft man ruhig.

  • Ich hab mal wieder im Matrix Protokoll gegraben und konnte keinen Hinweis darauf finden, dass Rooms und dessen Teilnehmer verschlüsselt sind. Kann das jemand bestätigen oder widerlegen? Das wäre noch ein signifikanter Unterschied (im Vergleich zu Threema Gruppen) falls korrekt.

  • Zumindest im UI kann man E2EE auch für Rooms aktivieren. Vgl. https://doc.matrix.tu-dresden.de/en/encryption/


    Witzigerweise funktionieren Bridges und Bots dann nicht.


    Zumindest für die Clients gibt es hier einen Guide: https://matrix.org/docs/guides…tion-implementation-guide


    Hier gibt es eine etwas ausführlichere Erklärung: https://www.cs.ru.nl/bachelors…_management_in_Matrix.pdf

    Selber gelesen habe ich sie aber noch nicht.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.


    Nur mit Threema Safe schläft man ruhig.

  • Vielen Dank für eure Antwort!


    Allerdings muss ich einiges nochmal korregieren.

    Zum einen, habe ich falsch formuliert und begleite den Umstieg nicht, sondern bin einfach nur ein Teil der Gruppe.

    Zum anderen kennen sich die Menschen, die sich mit dem Umstieg auseinandersetzten, schon aus. Mehr als ich, weshalb sich eine Diskussion für mich schwierig gestalltet.


    Ich lese hier zum teil sehr kritische Punkte gegenüber Matrix. Natürlich scheinen die Menschen von der AG so überzeugt, dass sie ihre schritte verteidigen wollen. Als leien wie mich ist das immer schwierig, weshalb ich immer Threema für den otto Normalverbraucher empfehlen würde.


    Die große Sorge die jetzt aufkommt ist folgendes: die EU will das mit lesen von Nachrichten erlauben, um so Inhalte auf Kinderpornografie zu überprüfen. Im zuge dessen kommt oft, dass auch Threema und Signal gezwungen werden sollen ihre Verschlüsselung "aufzuheben". Das ist ein weiteres Argument für die, Elememt zu nutzen. Was sagt ihr dazu?


    Desweiteren habe ich natürlich angesprochen, dass Matrix nicht auf die Vermeidung von Methadaten aufgebaut ist. Deren Antwort war:

    "- pro Server entstehen viel weniger Metadaten, da einzelne Server gar nicht das ganze Netzwerk kennen

    - es gibt keinen technischen Grund, warum bei federierten Systemen mehr Metadaten anfallen sollten"

    Ist das wirklich so??


    Wie viele Server sind in einer Kommunikation beteiligt? Wenn alle über den selben Server schreiben, kann das bei dem richtigen Server doch gut und sicher sein oder?


    Und zur Antwort das der Server die IP-Adresse speichert, kam die Antwort, das dies nicht der fall sei und deshalb die DATEN Anonymisiert werden und daher nicht zurückzuführen sind.


    Natürlich gab es noch weitere Dinge die ich so nicht verstehe. Vielleicht kann mir da jemand bei interresse helfen.


    Vielleicht mal eine generrelle Frage, kann man einen Matrix/Element Server so gestalten, dass er Threema, was Datenschutz und Sicherheit betrifft, schlägt?

  • Die große Sorge die jetzt aufkommt ist folgendes: die EU will das mit lesen von Nachrichten erlauben, um so Inhalte auf Kinderpornografie zu überprüfen. Im zuge dessen kommt oft, dass auch Threema und Signal gezwungen werden sollen ihre Verschlüsselung "aufzuheben". Das ist ein weiteres Argument für die, Elememt zu nutzen. Was sagt ihr dazu?

    Das würde ja genauso für Element gelten, insofern verstehe ich die Argumentation nicht. Threema hat sich in Vergangenheit zudem klar gegenüber weit weniger weitreichenden Massnahmen positioniert (siehe BÜPF) und damals gesagt, man würde eher noch ins Ausland ziehen, als bei so etwas mitzumachen. Nicht zu vergessen ist auch, dass die Schweiz bzgl. EU eine Sonderrolle hat und das gar nicht 1:1 übertragbar ist. Und da die Clients Open Source sind, könnte jeder sehen was für ein Blödsinn veranstaltet wird (das "Server sind aber Closed Source" Argument zieht hier nicht, da bei Threema keine Möglichkeit besteht, die Nachrichten zu entschlüsseln, ohne den Key der Clients zu kennen; es braucht daher zwingend eine Modifikation der Clients). Jetzt noch meine persönliche Note als Entwickler: Ich würde wohl eher schweren Herzens den Job wechseln, als meine eigens mitentwickelte Software und Protokolle zu sabotieren.

    Das Gesetz wäre in der Form jedenfalls eine Katastrophe für alle sicheren Messenger und muss auf jeden Fall verhindert werden.

    "- pro Server entstehen viel weniger Metadaten, da einzelne Server gar nicht das ganze Netzwerk kennen

    - es gibt keinen technischen Grund, warum bei federierten Systemen mehr Metadaten anfallen sollten"

    Ist das wirklich so??

    Prinzipiell sehe ich weder Vor- noch Nachteile bei föderierten Systemen, was die Metadaten betrifft. Die Metadatendebatte würde ich weniger bzgl. der Menge und eher bzgl. welcher konkreten unverschlüsselten Daten führen. Tatsächlich bin ich nicht im Detail mit den anfallenden Metadaten vertraut, habe aber damals in meiner Bachelorarbeit (zu dem Zeitpunkt hatte Matrix noch gar keine E2EE-Encryption) und jetzt letztens nochmal kurz ins Matrix Protokoll geschaut. Wenn die Gruppenkonstellation und solche Dinge wie Name, Avatar, Beschreibung von Rooms, wie stark vermutet, nicht verschlüsselt sind, wäre das für mich persönlich ein Ausschlusskriterium, da es insb. kleine geschlossene Gruppen exponiert. Man müsste sich für einen besseren Überblick mal im Detail damit beschäftigen, was Matrix konkret verschlüsselt überträgt und was nicht.
    Auf jeden Fall kann man aber sagen, dass Matrix auf Protokollebene eher zentral organisiert und Threema eher dezentral. Konkret erkennbar ist das an der Art und Weise wie Gruppen (bei Matrix Rooms) implementiert sind, wo bei Matrix die Gruppe auf dem Server organisiert wird und bei Threema auf den Clients. Ein weiteres Beispiel ist die Art und Weise wie Multi-Device in Threema integriert wird und wie sie in Matrix funktioniert. Das resultiert dann zwangsläufig in mehr Metadaten bei Matrix.

    Wie viele Server sind in einer Kommunikation beteiligt? Wenn alle über den selben Server schreiben, kann das bei dem richtigen Server doch gut und sicher sein oder?

    Die Sicherheit der Metadaten ist hier durch den kleinsten gemeinsamen Nenner definiert. Ein User Account als Mitglied eines Rooms bei einem "falschen" Server reicht aus, dass die Metadaten des Rooms abfliessen.

    Und zur Antwort das der Server die IP-Adresse speichert, kam die Antwort, das dies nicht der fall sei und deshalb die DATEN Anonymisiert werden und daher nicht zurückzuführen sind.

    Es hat niemand behauptet, dass sie gespeichert werden. Sie fallen aber technisch an, d.h. sie sind zum Zeitpunkt einer Verbindung zwangsläufig existent. Threema speichert sie auch nicht, daher gibts bzgl. dieser konkreten Anonymitätsfrage keine Gewinner.

    Vielleicht mal eine generrelle Frage, kann man einen Matrix/Element Server so gestalten, dass er Threema, was Datenschutz und Sicherheit betrifft, schlägt?

    Du müsstest die genauen Kriterien schon gezielt aufstellen.

  • Na, ich würde vermuten, dass die Nutzung von Threema in der EU dann verboten wäre. Selbst dann könnte man wohl klagen. Aber IANAL. Wie das mit OSS Software auf privaten Servern aussieht, kann ich auch nicht beantworten. Aber ich würde nicht zu sehr auf der Ebene dieses (vollkommen absurden) Gesetzesvorschlags entscheiden, weil der, wie erwähnt, vollkommen absurd ist: Kriminelle könnten problemlos den jetzigen Source Code von Signal/Threema/Matrix/Whatever nehmen, einen Walled Garden aufbauen und dann unbehelligt verschlüsselt kommunizieren, während die ehrlichen Bürger anlasslos durchleuchtet werden. Dagegen könnte kein Server der Welt etwas tun. Das ist so, als würde man Mathematik verbieten. Vollkommener Quatsch.

  • Mosies:

    Privat betriebene Matrix-Server würde der Staat einfach konfiszieren und dem Betreiber das Passwort mit Beugehaft abpressen.


    Wenn es wirklich soweit käme, dass Threema bei dem Unsinn mitmachen müsste, angeblich nach Kinderpornographie zu suchen, würden die drei Geschäftsführer vermutlich hinschmeißen.

    Ich glaube auch nicht, dass sich die Schweiz dem Druck der EU beugen wird.


    Traurig wäre, wenn dann Nichtschweizer Threema wirklich illegal nutzen müssten, um weiterhin privat kommunizieren zu können.


    Wenn Unternehmen gesetzlich zum Einbau von Hintertüren gezwungen würden:

    Ich würde keine Kommunikationssoftware mehr verwenden.

    Denn wer eine Hintertür nutzt, greift irgendwann nicht mehr nur lesend auf die Daten zu, sondern manipuliert sie.

    So kann man Existenzen nach Belieben vernichten (passendes z. Zt. noch fiktives Anschauungsmaterial: SF-Film Sandra Bullock: Das Netz).

    Dazu würde ich jegliche Möglichkeit verhindern, indem ich solche Dienste nachweislich nicht mehr nutzen würde.


    Deutschland wäre dann auch kein Rechtsstaat mehr, denn private Kommunikation ist ein Grundrecht.

    Ciao

    Snoopy


    Threema-Nutzer seit 23.12.2020 (immer mit gleicher Threema-ID!) 8)

    Kein Backup? – Kein Mitleid! 8o

    Einmal editiert, zuletzt von Snoopy () aus folgendem Grund: Als Bsp. z. Veranschaulichung Filmempfehlung hinzugefügt. Gruselig, dass immer mehr aus SF-Videos bekannte Aktionen schneller Wirklichkeit werden als uns lieb ist.

  • Vielleicht mal eine generrelle Frage, kann man einen Matrix/Element Server so gestalten, dass er Threema, was Datenschutz und Sicherheit betrifft, schlägt?

    Bei Sicherheit kann man bei Matrix generell punkten im Bezug auf PFS, das Threema fehlt.

    Außerdem ist Interoperabilität mit durchgängiger E2EE möglich. Die einzige Threema-Bridge, dich bisher kenne, bricht zweimal E2EE auf (einmal durch die Bridge selbst, einmal durchs Threema Gateway).


    Bei Datenschutz kann man argumentieren, dass man selbst in der Hand hat, wer Zugriff auf die Daten hat (der eigene gewählte Server sowie diejenigen der Kommunikationsteilnehmer).

    Ansonsten (Datenschutz -> Metadaten) muss man erst weitere Entwicklungen beim Protokoll abwarten, z.B.

    - P2P Matrix: In diesem Szenario wären gehostete Server entweder gar nicht mehr nötig, oder nur als Store&Forward-System nötig: Introducing the Pinecone overlay network | Matrix.org

    - Verschlüsseln von z.B. der Raumbeschreibung (State-Events): matrix-spec-proposals/3414-encrypted-state.md at travis/msc/encrypted-state · matrix-org/matrix-spec-proposals (github.com)


    Bis dahin gilt, dass es allemal besser ist die Leute nutzen einen verschlüsselten Messenger (z.B. Element) statt unverschlüsselte wie z.B. Telegram, weil Matrix einem halt die Welt bietet.


    Auf jeden Fall kann man aber sagen, dass Matrix auf Protokollebene eher zentral organisiert und Threema eher dezentral. Konkret erkennbar ist das an der Art und Weise wie Gruppen (bei Matrix Rooms) implementiert sind, wo bei Matrix die Gruppe auf dem Server organisiert wird und bei Threema auf den Clients.

    Bei Matrix gibt es nicht DEN Server. Schon alleine beim Lesen von Threema dezentraler als Matrix steigen einem die Haare zu Berge

  • Bei Matrix gibt es nicht DEN Server. Schon alleine beim Lesen von Threema dezentraler als Matrix steigen einem die Haare zu Berge

    Bitte den Schaum vorm Mund abwischen. Ich sprach von Protokollebene. Gruppen sind in Threema auf Protokollebene im Vergleich zu Matrix vollständig dezentral organisiert und es ist für den Server nicht ersichtlich, dass diese überhaupt existiert. Was ein Threema-Server sieht, sind Nachrichten von A nach B. Ein Matrix-Server kennt wesentlich mehr, z.B. dass Kommunikation in Room XY stattfindet.

  • und es ist für den Server nicht ersichtlich, dass diese überhaupt existiert.

    Das stimmt so nicht.

    Sobald du an eine Gruppe eine Nachricht schickst, weiß der Server, dass diese existiert. In der Tat kann die Gruppe nicht existieren, ohne eine Nachricht über den Server zu senden.


    Was ein Threema-Server sieht, sind Nachrichten von A nach B. Ein Matrix-Server kennt wesentlich mehr, z.B. dass Kommunikation in Room XY stattfindet.

    Ein Matrix Server kennt ohne weitere Informationen erstmal nichts. Damit ein Matrix Server Informationen über die Kommunikation einer Gruppe erfährt, muss sich mindestens ein Teilnehmer der Gruppe auf diesen Server registriert haben.

    Das steht im Gegensatz zu Threema, wo die Nachrichten IMMER über den einen Server gehen.

    Fazit: Threema weiß über jegliche Kommunikation Bescheid.


    Was Threema nur nicht weiß ist wie ihr eure Gruppe genannt habt ;)


    Hier mal ein Schaubild zu Dezentralität vs Zentralität:

    Matrix, a decentralized communication platform | Linux Addicts

  • Das stimmt so nicht.

    Sobald du an eine Gruppe eine Nachricht schickst, weiß der Server, dass diese existiert. In der Tat kann die Gruppe nicht existieren, ohne eine Nachricht über den Server zu senden.

    Nein, alle Nachrichten an Gruppenteilnehmer (A, B, C) sind ganz normale E2EE-Nachrichten für den Server und sehen so aus, als hätte A etwas an B und dann A etwas an C geschickt. Eine Gruppe mit zwei Threema IDs kann natürlich nur existieren, wenn Nachrichten ausgetauscht werden, aber der Knackpunkt ist, dass diese Information für den Server intransparent ist.

    Ein Matrix Server kennt ohne weitere Informationen erstmal nichts. Damit ein Matrix Server Informationen über die Kommunikation einer Gruppe erfährt, muss sich mindestens ein Teilnehmer der Gruppe auf diesen Server registriert haben. Das steht im Gegensatz zu Threema, wo die Nachrichten IMMER über den einen Server gehen.

    Deine Aussage ist in etwa gleichbedeutend zu, "wenn man nicht kommuniziert, ist auch nichts sichtbar". Ja, natürlich fallen dann auch keine Daten an. Bei Threema übrigens auch nicht - exakt so funktionieren Note Groups. Wenn man die Gruppe dann aber nutzt, werden die Daten einfach nur nicht zwangsläufig über einen einzigen zentralen Server verteilt. Aber sie gehen über irgendeinen Server.


    Wenn man dann aber bei Matrix kommuniziert, ist eben so einiges sichtbar. Wer ist im Room, wie heisst der Room, etc. Schau doch einfach ins Protokoll: https://spec.matrix.org/v1.3/client-server-api/#rooms-1


    Jetzt darf gerne jeder für sich selbst entscheiden, was besser ist: Die Information, dass eine Gruppe existiert, a) in intransparenter Form über eine zentrale Instanz senden, oder b) die Information transparent über eine dezentrale Instanz senden.


    Dein Schaubild zeigt übrigens sehr anschaulich, dass die Daten einfach nur über noch mehr Knoten fliessen. Dezentralität hat eine gewisse Resilienz und auch viele Vorteile, aber Dezentralität führt nicht etwa zu weniger Metadaten, sondern maximal zu verteilteren Metadaten.

    Was Threema nur nicht weiß ist wie ihr eure Gruppe genannt habt ;)

    Das ist, wie bereits erwähnt, falsch. Der Threema-Server weiss nicht einmal, dass eine Gruppe existiert. Es gibt Indikatoren dafür, dass etwas eine Gruppennachricht sein könnte (z.B. zeitlicher Abstand zwischen Nachrichten), aber keine Garantie. Ich hoffe, der Unterschied ist nun klar. :)

  • Nein, alle Nachrichten an Gruppenteilnehmer (A, B, C) sind ganz normale E2EE-Nachrichten für den Server und sehen so aus, als hätte A etwas an B und dann A etwas an C geschickt.

    Ahja, und der Serverbetreiber stellt sich dann dumm und tut so als würde er nicht wissen, dass ein Batch von gleich großen Nachrichten vom gleichen Absender an x Ziele an die selbe Gruppe geht?


    Deine Aussage ist in etwa gleichbedeutend zu, "wenn man nicht kommuniziert, ist auch nichts sichtbar". Ja, natürlich fallen dann auch keine Daten an.

    Bei Threema ist das so. Bei Matrix nicht.


    die Information transparent über eine dezentrale Instanz senden.

    Was ist eine dezentrale Instanz?


    aber Dezentralität führt nicht etwa zu weniger Metadaten, sondern maximal zu verteilteren Metadaten.

    Stimmt, aber es ist durchaus relevant WER Metadaten sieht.


    Sind die Metadaten von allen Nutzern an einer Stelle einsehbar (Threema)?

    Können Nutzer bestimmen wer Zugriff auf die Metadaten hat (Matrix)?

    Können Nutzer komplett vermeiden, dass Metadaten überhaupt bei einem festen Dienst landen (P2P Matrix)?


    Es gibt Indikatoren dafür, dass etwas eine Gruppennachricht sein könnte (z.B. zeitlicher Abstand zwischen Nachrichten), aber keine Garantie. Das war jetzt auch mein letzter Versuch, dir das zu erklären.

    Nenn mir ein realistisches Szenario, in dem es keine Garantie ist.

    Ich denke mal die vermeintliche Dezentralität ist sowieso schon vom Tisch.

  • Ahja, und der Serverbetreiber stellt sich dann dumm und tut so als würde er nicht wissen, dass ein Batch von gleich großen Nachrichten vom gleichen Absender an x Ziele an die selbe Gruppe geht?

    Ja, der Serverbetreiber muss die Zeit aktiv mitschneiden, ansonsten geht die Information verloren. Das ist ein signifikanter Unterschied dazu, wenn es auch später noch nachvollziehbar ist, wie bei Matrix, weil Nachrichten an irgendwelche Rooms gebunden sind.


    Die Nachrichten bei Threema sind eben nicht gleich gross, denn das Padding ist jedes Mal unterschiedlich (ja, auch für den selben Inhalt). Hier kann man höchstens grob abschätzen.

    Bei Threema ist das so. Bei Matrix nicht.

    Quark. Daten fallen immer an, nur bei Matrix eben nicht zwingend immer am selben Ort. Und auch nicht qualitativ die gleichen (Meta-)Daten.

    Was ist eine dezentrale Instanz?

    Irgendetwas, was deine Nachricht weiterleitet, idr. ein Server.

    Stimmt, aber es ist durchaus relevant WER Metadaten sieht.

    Du übersiehst hier meinen Punkt: Es ist ganz offensichtlich besser, wenn Metadaten gar nicht oder so wenig wie möglich anfallen, dann braucht man sich nämlich darum auch überhaupt keine Gedanken machen. Ausserdem muss man die Qualität der Metadaten unterschiedlich gewichten. Hier steht Matrix momentan einfach nicht sonderlich gut da. Es ist schön, dass das bei einem Privatserver kein Problem darstellst, aber du wirst praktischerweise auch ausserhalb von deinem Privatserver kommunizieren.

    Nenn mir ein realistisches Szenario, in dem es keine Garantie ist.

    Distribution List. Zug fährt durch Tunnel. Internet war kurz weg. Führt alles gleichermassen zu Bursts.

    Ich denke mal die vermeintliche Dezentralität ist sowieso schon vom Tisch.

    Nein, aber scheinbar ist es für dich unvorstellbar, dass der Begriff Dezentralität kontextuell verwendet werden kann und nicht immer nur der Serverstandort gemeint ist. Wenn nur das für dich zählt, dann, bitte, ist aber dann nur bis zum Tellerrand.

  • Ja, der Serverbetreiber muss die Zeit aktiv mitschneiden, ansonsten geht die Information verloren. Das ist ein signifikanter Unterschied dazu, wenn es auch später noch nachvollziehbar ist, wie bei Matrix, weil Nachrichten an irgendwelche Rooms gebunden sind.

    Es reicht, wenn die Nachrichten einfach nicht wie geplant aktiv gelöscht werden, dann ist es auch später noch nachvollziehbar.


    Zitat

    Daten fallen immer an, nur bei Matrix eben nicht zwingend immer am selben Ort.

    Richtig. Das ist doch der Knackpunkt. Bei Matrix kannst es dir aussuchen. Wenn du da keine Lust hast, dass der eigene Geheimdienst rankommt, dann meldet ihr euch an Servern in Russland an.

    Bei Threema wird einfach bei der Firmenzentrale geklopft und los geht's.

    Wird bei z.B. FluffyChat angeklopft, zeigen die dir einfach nur die Tür xD


    Du übersiehst hier meinen Punkt: Es ist ganz offensichtlich besser, wenn Metadaten gar nicht oder so wenig wie möglich anfallen, dann braucht man sich nämlich darum auch überhaupt keine Gedanken machen. Ausserdem muss man die Qualität der Metadaten unterschiedlich gewichten. Hier steht Matrix momentan einfach nicht sonderlich gut da.

    Wer, Wann mit Wem - das leaked Threema wie Matrix. Man ist also weit davon entfernt sich keine Gedanken machen zu müssen. Da hilft es nun auch nicht damit anzukommen, dass doch bei Matrix z.B. eine eventuelle Raumbezeichnung/thema (zumindest aktuell noch) geleaked wird.


    Faktisch stehen beide nicht gut da.

    Bei Threema ist es sogar noch total unnötig, weil sie ohne Probleme z.B. den Sender der Nachrichtmit in die verschlüsselten Inhalte bringen könnten.

    Auf Grund der Zentralisierung kann man sogar ähnlich guten Metadatenschutz wie Signal implementieren, oder gar darüber hinausgehen:

    Improving Signal’s Sealed Sender – NDSS Symposium (ndss-symposium.org)

    Warum wird das nicht gemacht?



    Distribution List. Zug fährt durch Tunnel. Internet war kurz weg. Führt alles gleichermassen zu Bursts.

    Selbst in diesem Szenario kann man sie auseinanderhalten durch die Timestamps, oder nicht?

    threema-android/MessageBox.java at 065fc5736dff8aa9ad24d75f2cf0619317248148 · threema-ch/threema-android (github.com)


    Nein, aber scheinbar ist es für dich unvorstellbar, dass der Begriff Dezentralität kontextuell verwendet werden kann und nicht immer nur der Serverstandort gemeint ist.

    Der Serverstandort kam bisher doch nichtmal ins Spiel, oder? Bisher wolltest du uns verklickern, dass das Protokoll von Threema dezentral wäre, weil der Server sich nicht um Gruppenmanagement kümmert.

  • Keine Ahnung, warum Relatable2273 jetzt gesperrt ist. Aber wie dem auch sei, ich wollte das eigentlich noch abschliessen.


    Bei Threema fallen auch Metadaten an, das ist richtig. Und ebenfalls ist korrekt, dass Threema hier noch einiges verbessern kann und beizeiten wohl auch wird. Es ist auch klar, dass man sowas tiefgreifendes nicht von heute auf morgen machen kann.

    Aber die Ausgangssituation bzgl. Metadaten, würde ich bei Matrix als weit schlechter bezeichnen, einfach weil die Metadaten offensichtlicher und somit qualitativer (im Schlechten) sind. Es wird für Matrix daher voraussichtlich schwieriger sein, diese Metadaten zu verringern, als das bei Threema der Fall ist. Solche Protokolländerungen sind schmerzhaft und dauern lange, je nachdem wie der eigene Supportplan für ältere Versionen aussieht. Das kann man anders sehen - ist einfach meine Einschätzung.


    Und wo wir grad beim Thema Upgrades sind: Ich mag ja dezentrale und auch föderierte Protokolle. Und, wie bereits gesagt, sehe ich auch einige Vorteile darin, z.B. bei der Resilienz. Vor einigen Jahren hätte ich sicher auch gesagt, lasst uns alles dezentral und föderiert organisieren. Aber es lässt sich nicht leugnen, was in der Vergangenheit bei diversen anderen dezentralen/föderierten Protokollen passiert ist, z.B. XMPP und Email. Sie werden häufig nach dem grossen User-Boom recht träge und leiden dann schlagartig unter Agilitätsmangel. Das Problem, ein in Verwendung befindliches Protokoll weiterzuentwickeln, ohne dabei zu disruptiv zu sein, haben alle Protokolle. Aber darüber hinaus müssen bei föderierten/dezentralen Protokollen alle, die am System teilnehmen, die Änderungen auch mitmachen. Das ist viel träger und komplexer als wenn Threema das auf einem Server machen muss und dann später eine neue Clientversion deployed. Und das ist jetzt nur der technische Aspekt. Aus gesellschaftlicher Perspektive will ich das an der Stelle gar nicht bewerten. Auch die unvermeidlichen zähen Diskussionen in irgendwelchen Standardgremien (been there, done that) nachdem ein Protokoll Erfolg hatte, lasse ich mal aussen vor.


    Zum Thema dezentral über das Protokoll organisierte Gruppen bleibe ich bei meiner obigen Aussage und kann weiterhin nicht verstehen, wie man das selbst nach etlichen Erklärungsversuchen in den falschen Hals bekommen kann.

  • Aber die Ausgangssituation bzgl. Metadaten, würde ich bei Matrix als weit schlechter bezeichnen, einfach weil die Metadaten offensichtlicher und somit qualitativer (im Schlechten) sind.

    In Aspekten würde ich dir zustimmen, jedoch nicht (objektiv) generell, da Trade-Offs im Spiel sind, die in die eine oder andere Richtung spielen können. Um mal zwei Aspekte beispielhaft rauszugreifen:

    1. Matrix sieht vor, dass auf mindestens einem Server die Gruppenmitglieder vorliegen müssen, während bei Threema sofern keine Nachrichten serverseitig in der Queue vorliegen und Nachrichten nicht unnötig aufbewahrt werden, keine Gruppeninformation vorliegen.

    2. Zentralität vs Dezentralität wie im vorherigen Post erläutert - ein Aspekt, in dem Matrix objektiv Vorteile hat.


    Es wird für Matrix daher voraussichtlich schwieriger sein, diese Metadaten zu verringern, als das bei Threema der Fall ist. Solche Protokolländerungen sind schmerzhaft und dauern lange, je nachdem wie der eigene Supportplan für ältere Versionen aussieht. Das kann man anders sehen - ist einfach meine Einschätzung.

    Das ist richtig.

    Siehe auch das Projekt P2P Matrix, dessen Ziel es ist Serverlogik aufs Endgerät zu verlagern, was nun schon sehr lange in Arbeit ist.


    Threema hat hier Flexibilität, die im Bezug auf Metadatenschutz (unverständlicherweise) aber nicht genutzt zu werden scheint.