Threema ID als QR-Code-Versand an Kontakt

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Hallo Zusammen

    OS: Android 12

    Situation: Persönliches Scannen von Threema-ID nicht möglich, da Kontakt in Übersee ansässig ist.

    Frage: Wie kann man sich gegenseitig die jeweilige Threema-ID als QR-Code zusenden um ihn auf dem eigenen Handy einscannen zu können (grüne Punkte)??

    Danke und Grüsse

  • Hallo threemlie,

    beispielsweise per Brief. Besser per verschlüsselter Mail, Upload in eine sichere Cloud (eigens gehostet), eventuell den QR Code (das Bild) archivieren und mit Kennwort schützen, welches über einen anderen Weg mitgeteilt wird, oder gar bei einer Videotelefonie von einem anderen Gerät vorzeigen.

    Es gibt viele Wege, wenn man möchte ;)

  • Hi threemlie,

    ich glaube, es war diese Folge von Security Now, in der Leo Laporte Steve Gibson erzählte, wie er seinen Threema-Kontakt mit einem Bekannten per Videochat verifizierte: https://twit.tv/shows/security-now/episodes/780

    Auf jeden Fall muss man absolut sicher sein, dass man wirklich mit dem richtigen kommuniziert, bevor man da den QR-Code als Screenshot verschickt.

    Weil die NSA in den USA sogar Pakete öffnet, Geräte (vorzugsweise Router) manipuliert und wieder originalverpackt weiterschickt, könnten auch Briefe betroffen sein (wenn sie Absender o. Empfänger schon gezielt überwachen).

    Wenn man den Kontakt schon ewig kennt und man irgendwelche Dinge gemeinsam erlebt/gemacht hat, von denen sonst niemand weiß, kann man das als Sicherheitsfrage verpacken und nur der Empfänger kann diese korrekt beantworten (außer, ihr wurdet damals schon überwacht).

    Ciao
    Snoopy

    Threema-Nutzer seit 23.12.2020 (immer mit gleicher Threema-ID!) 8)
    Kein Backup? – Kein Mitleid! 8o

  • Ich würde es z.B. via Videochat (z.B. Jitsi) machen. Wenn es sicher sein soll:

    1. Einladung zum Videochat via Threema oder anderem sicheren Kanal schicken. (Das, was die Giffey verbockt hat.)
    2. Im Videochat eine Person den QR Code anzeigen lassen und auf dem anderen Ende der Leitung scannen.

    Videodaten in Echtzeit zu manipulieren ist wahnsinnig aufwändig und, wenn du nicht gerade verfolgt wirst, extrem unwahrscheinlich.

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

  • Hallo Zusammen

    Vielen Dank für Eure interessanten Antworten! :)

    Das hat mich zu weiterem Nachdenken angeregt. Eigentlich müsste der gegenseitige QR-Austausch, sprich Versand, direkt mit Threema machbar sein. Schliesslich bietet einem die Software eine sichere Kommunikation an.

    Vorgehensweise

    1. Screenshot von jeweiligem QR-Code.

    2. Versand per Threema an persönlich bekannten Kontakt.

    3. Jeweiligen QR-Code zuhause ausdrucken.

    4. Auf den jeweiligen Geräten einscannen.

    Dies wäre doch ein sicherer Weg, oder?

  • Wir sprechen hier von dem Risiko, dass Threema (oder eine dritte Partei die Threema oder dessen Server infiltriert hat) den Public Key der gegenseitigen Kontakte ausgetauscht hat und nun permanent die Nachrichten mitliest und mit den untergejubelten Keys verschlüsselt. Ansonsten wäre ein Nachrichtenaustausch mit untergejubelten Keys zwischen den beiden Personen überhaupt nicht möglich. In der Annahme, dass das passiert ist, würde das beim gegenseitigen Scannen eine Fehlermeldung erzeugen. Deswegen macht man das überhaupt.

    Und nun in Bezug auf meinen obigen Vorschlag (Videochat und QR-Code in die Kamera halten) mit der Annahme, dass ein Angriff aus vorherigem Absatz geschehen ist: Das Mitschneiden und neu verschlüsseln von Nachrichten ist einfach und auch einfach automatisierbar. Deswegen macht es natürlich keinen Sinn, den QR Code via Threema zu verschicken. Das Erkennen, dass jemand einen Termin + Link für einen Videochat ausmacht und diesen zu modifizieren, ist schon deutlich schwerer automatisierbar. Und nun noch den entsprechenden Dienst des Videochats infiltrieren und dann die Videodaten in Echtzeit so zu modifizieren, dass nur der dann per Kamera gezeigte QR-Code präzise und ohne Fragmente mit dem untergejubelten Public Key zu überschreiben, wär ein Stunt den ich maximal einigen wenigen Institutionen der Welt zutrauen würde, die auf der Suche nach einer spezifischen Person sind.

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

    Einmal editiert, zuletzt von f09fa681 (30. Juni 2022 um 23:07)