Threema ID als QR-Code-Versand an Kontakt

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support
  • Hallo Zusammen


    OS: Android 12

    Situation: Persönliches Scannen von Threema-ID nicht möglich, da Kontakt in Übersee ansässig ist.

    Frage: Wie kann man sich gegenseitig die jeweilige Threema-ID als QR-Code zusenden um ihn auf dem eigenen Handy einscannen zu können (grüne Punkte)??


    Danke und Grüsse

  • Hallo threemlie,


    beispielsweise per Brief. Besser per verschlüsselter Mail, Upload in eine sichere Cloud (eigens gehostet), eventuell den QR Code (das Bild) archivieren und mit Kennwort schützen, welches über einen anderen Weg mitgeteilt wird, oder gar bei einer Videotelefonie von einem anderen Gerät vorzeigen.


    Es gibt viele Wege, wenn man möchte ;)

  • Es gibt viele Wege, wenn man möchte ;)

    Genau !

    Es gibt auch einfache Wege wo der Missbrauch ausgeschlossen ist.

    Auf derzeit Xiaomi 11T 5 G , mit Android 12 SP1A.210812.016


    Mit mir kann man auch echt telefonieren! :)

    Wenn du mich anrufst und ich kann nicht abheben, dann rufe ich zurück.


    Gruß,


    Reinhard


    Motto: " Über Pflänzchen wird gestolpert, Bäumen weicht man aus! "

  • Hi threemlie,


    ich glaube, es war diese Folge von Security Now, in der Leo Laporte Steve Gibson erzählte, wie er seinen Threema-Kontakt mit einem Bekannten per Videochat verifizierte: https://twit.tv/shows/security-now/episodes/780


    Auf jeden Fall muss man absolut sicher sein, dass man wirklich mit dem richtigen kommuniziert, bevor man da den QR-Code als Screenshot verschickt.


    Weil die NSA in den USA sogar Pakete öffnet, Geräte (vorzugsweise Router) manipuliert und wieder originalverpackt weiterschickt, könnten auch Briefe betroffen sein (wenn sie Absender o. Empfänger schon gezielt überwachen).

    Wenn man den Kontakt schon ewig kennt und man irgendwelche Dinge gemeinsam erlebt/gemacht hat, von denen sonst niemand weiß, kann man das als Sicherheitsfrage verpacken und nur der Empfänger kann diese korrekt beantworten (außer, ihr wurdet damals schon überwacht).

    Ciao

    Snoopy


    Threema-Nutzer seit 23.12.2020 (immer mit gleicher Threema-ID!) 8)

    Kein Backup? – Kein Mitleid! 8o

  • Ich würde es z.B. via Videochat (z.B. Jitsi) machen. Wenn es sicher sein soll:

    1. Einladung zum Videochat via Threema oder anderem sicheren Kanal schicken. (Das, was die Giffey verbockt hat.)
    2. Im Videochat eine Person den QR Code anzeigen lassen und auf dem anderen Ende der Leitung scannen.

    Videodaten in Echtzeit zu manipulieren ist wahnsinnig aufwändig und, wenn du nicht gerade verfolgt wirst, extrem unwahrscheinlich.

  • Hallo :)


    ich persönlich rate davon ab.


    Gruß Ingo

    Ja ich weiß, das hast du glaube ich schon mal erwähnt!

    Aber es gibt Möglichkeiten des Austausches mit null Risiko!


    Gruß,


    Retired

    Auf derzeit Xiaomi 11T 5 G , mit Android 12 SP1A.210812.016


    Mit mir kann man auch echt telefonieren! :)

    Wenn du mich anrufst und ich kann nicht abheben, dann rufe ich zurück.


    Gruß,


    Reinhard


    Motto: " Über Pflänzchen wird gestolpert, Bäumen weicht man aus! "

  • Hallo Zusammen


    Vielen Dank für Eure interessanten Antworten! :)

    Das hat mich zu weiterem Nachdenken angeregt. Eigentlich müsste der gegenseitige QR-Austausch, sprich Versand, direkt mit Threema machbar sein. Schliesslich bietet einem die Software eine sichere Kommunikation an.


    Vorgehensweise

    1. Screenshot von jeweiligem QR-Code.

    2. Versand per Threema an persönlich bekannten Kontakt.

    3. Jeweiligen QR-Code zuhause ausdrucken.

    4. Auf den jeweiligen Geräten einscannen.


    Dies wäre doch ein sicherer Weg, oder?

  • Ich sage jetzt hier nichts mehr... ;)

    Auf derzeit Xiaomi 11T 5 G , mit Android 12 SP1A.210812.016


    Mit mir kann man auch echt telefonieren! :)

    Wenn du mich anrufst und ich kann nicht abheben, dann rufe ich zurück.


    Gruß,


    Reinhard


    Motto: " Über Pflänzchen wird gestolpert, Bäumen weicht man aus! "

  • Wir sprechen hier von dem Risiko, dass Threema (oder eine dritte Partei die Threema oder dessen Server infiltriert hat) den Public Key der gegenseitigen Kontakte ausgetauscht hat und nun permanent die Nachrichten mitliest und mit den untergejubelten Keys verschlüsselt. Ansonsten wäre ein Nachrichtenaustausch mit untergejubelten Keys zwischen den beiden Personen überhaupt nicht möglich. In der Annahme, dass das passiert ist, würde das beim gegenseitigen Scannen eine Fehlermeldung erzeugen. Deswegen macht man das überhaupt.


    Und nun in Bezug auf meinen obigen Vorschlag (Videochat und QR-Code in die Kamera halten) mit der Annahme, dass ein Angriff aus vorherigem Absatz geschehen ist: Das Mitschneiden und neu verschlüsseln von Nachrichten ist einfach und auch einfach automatisierbar. Deswegen macht es natürlich keinen Sinn, den QR Code via Threema zu verschicken. Das Erkennen, dass jemand einen Termin + Link für einen Videochat ausmacht und diesen zu modifizieren, ist schon deutlich schwerer automatisierbar. Und nun noch den entsprechenden Dienst des Videochats infiltrieren und dann die Videodaten in Echtzeit so zu modifizieren, dass nur der dann per Kamera gezeigte QR-Code präzise und ohne Fragmente mit dem untergejubelten Public Key zu überschreiben, wär ein Stunt den ich maximal einigen wenigen Institutionen der Welt zutrauen würde, die auf der Suche nach einer spezifischen Person sind.