PFS nun in Gruppen

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.800 Mitglieder helfen dir weiter. > Frage stellen <
  • Bei mir (Android) wird seit gestern PFS in Gruppen angezeigt.

    Hab auf der Webseite gar keine große, explizite Info dazu gelesen..

    Weiss jemand, ob das gerade schon regulär ausgerollt ist?

    Gilt das auch bei Gruppenanrufen/Videogruppenanrufen?

    Ist PFS jetzt dann wirklich in allen Konstellationen verfügbar?

  • PFS wird nun tatsächlich (auch in gemischten iOS/Android) Gruppen angezeigt.
    Seit Threema für Android 5.3 "Verbesserungen in Zusammenhang mit Perfect Forward Secrecy"
    sowie vermutlich seit Threema für iOS ab 5.9 "Verbesserungen in Zusammenhang mit Perfect Forward Secrecy"

    Allerdings hätte ich auch, wie greenkeeper , einen etwas spezifischeren Eintrag in den Release Notes erwartet.
    wie z.B.: "Unterstützung von PFS in Gruppenchats" statt dem nur wenig aussagenden Begriff "Verbesserungen"

  • Genau, ich freue mich über die Umsetzung von PFS in Gruppen. Ich hätte eine klarere Kommunikation gut gefunden- im Einzelchat kommt ja immer immer eine Einblendung, dass dieser Chat nun durch PFS abgesichert ist- warum macht man das nicht auch in Gruppen?

    Ich habe auch keine Antworten ob

    a) PFS nun flächendeckend ausgerollt ist (auch Gruppenanrufe/Gruppenvideocalls?)
    b) was der Status ausdrückt, wenn man eine Nachricht markiert und auf "i" klickt. Dann steht bei PFS wahlweise "keine"/ "teilweise" oder "vollständig" (kenne ich alle so auch aus dem Einzelchat) oder "alle". Der Unterschied zwischen "alle" und "vollständig" erschließt sich mir nicht- zumal exakt diesselbe Nachricht, die bei mir auf "alle" stand bei einem anderen Gruppenteilnehmer auf "vollständig" stand.

    Cryptographie-Whitepaper ist auch noch auf dem Stand vor PFS in Gruppen.

  • greenkeeper
    Ich spekuliere mal etwas, da ich mir vorstellen kann wie es vermutlich funktioniert es aber nicht 100% weiß:

    Soweit ich weiß sind auch im Gruppenchat die PFS Verschlüsselung für jeden (zu jedem) Teilnehmer unterschiedlich.
    Somit ergibt sich bei beim Empfang einer Nachricht zu dir nur eine (bidirektionale) PFS Verschlüsselung vom Sender zu dir und die ist entweder "keine" wenn die PFS Schlüssel noch nicht ausgetauscht wurden oder "vollständig" da du nur diese Verbindung zu dir siehst, Verbindungen vom Sender zu anderen Gruppenchat-Teilnehmern sind für dich irrelevant.
    Andersrum wenn du der Sender bist kannst du mehrere Empfänger haben, wurden noch keine PFS Schlüssel mit diesen ausgetauscht ergibt das den Status "keine".
    Wurde bereits mit allen die PFS Schlüssel ausgetauscht "alle" oder wenn nur mit ein Teil der Empfänger die PFS Schlüssel ausgetauscht wurde ergibt das den Status "teilweise".

    Beim 1:1 Chat gibt es "keine" / "vollständig" sowie wenn ich mich recht erinnere "einseitig" (nicht aber "teilweise").
    Einseitig soll wohl bedeuten das du den deine PFS Schlüssel ausgesendet hast, dein Empfänger aber seien noch nicht zurückgesandt hat und die PFS Verschlüsselung noch "unidirektional" ist. Vergl. auch Threema Work: Merkblatt Sicherheit & Datenschutz Seite 14 "unilateral" und "complete".

    Bzgl. der auffälligeren Meldung über PFS im 1:1 Chat, das kann im Gruppenchat ja noch kommen wenn sich die Versionen 5.3/5.9 weiter verbreitet haben. Ich bilde mir ein die Meldung in 1:1 Chat kam auch erst später obwohl PFS (zumindest optional) schon möglich war.

    Gruppenanrufe/Videocalls war schon mit PFS, siehe RE: Sicherheitsbeweis von Threemas Kommunikationsprotokoll

    2 Mal editiert, zuletzt von Robby (4. Mai 2024 um 08:00)

  • Robby

    Danke fürs Teilen deiner Gedanken!

    Ich bin kein Verschlüsselungsexperte- deine Ausführungen zum Thema Bidirektionalität kann ich grob folgen.

    Zum Thema PFS-Status:
    Tatsächlich kann ich in meiner Threema Gruppe bestätigen, dass der PFS-Status "alle" immer dann auftaucht, wenn es von mir verfasste Nachrichten sind. Diese Nachrichten zeigt es bei anderen Teilnehmern als "vollständig" an.
    Bei anderen Teilnehmern der Gruppe war es identisch: eigene Nachrichten als Sender -> "alle", fremde Nachrichten als Empfänger: vollständig

    Bezüglich 1:1 Chat:
    doch hier gibt es "einseitig", neben "keine" und "vollstänig"

    Bezüglich Gruppenanrufen/Videochalls: tatsächlich war bisher PFS nur in 1:1 calls aktiv (siehe Whitepaper aus 04/24 S. 15/16)
    Da es keine Kommunikation zu PFS in Gruppen seitens Threema bisher gab, weiss ich nicht ob PFS wirklich in Gruppencalls funktioniert

    Zum Thema prominenterer PFS-Anzeige in Gruppen (analog 1:1 Chats: Nachrichten mit diesem Kontakt sind nun durch PFS geschützt). Hab mir nochmal überlegt ob das wirklich Sinn machen wprde. Vermutlich wäre da viel Volatilität drin (neue Gruppenmitglieder, handytausch..)

    Bleibt spannend

  • Gilt das auch bei Gruppenanrufen/Videogruppenanrufen?

    Gruppenanrufe waren schon immer PFS (nur das Announcement nicht).

    Ist PFS jetzt dann wirklich in allen Konstellationen verfügbar?

    Ja.

    b) was der Status ausdrückt, wenn man eine Nachricht markiert und auf "i" klickt. Dann steht bei PFS wahlweise "keine"/ "teilweise" oder "vollständig" (kenne ich alle so auch aus dem Einzelchat) oder "alle". Der Unterschied zwischen "alle" und "vollständig" erschließt sich mir nicht- zumal exakt diesselbe Nachricht, die bei mir auf "alle" stand bei einem anderen Gruppenteilnehmer auf "vollständig" stand.

    Vielleicht bräuchte man dafür nen Eintrag im FAQ der das genauer erklärt.

    Cryptographie-Whitepaper ist auch noch auf dem Stand vor PFS in Gruppen.

    Stimmt, aber dort würde sich so gut wie nichts ändern. Es wird einfach der Zusatz "1:1" entfernt.

    Der FS-Status würde in Gruppen zu extremen Spam führen, da, wie Robby erläutert hat, jede FS-Session 1:1 aufgebaut wird. Man kann den FS-Status aber jeweils aus der 1:1-Konversation ablesen, da die selbe FS-Session auch für Gruppen verwendet wird.

    Im Chat mit bereits bestehenden Kontakten erhalte ich keinerlei PFS-Einblendung.

    Solange die FS-Session existiert, bekommst du auch keine weiteren Meldungen. Ob sie für eine Message verwendet wurde, siehst du in den Messagedetails.

    Allerdings hätte ich auch, wie greenkeeper , einen etwas spezifischeren Eintrag in den Release Notes erwartet.
    wie z.B.: "Unterstützung von PFS in Gruppenchats" statt dem nur wenig aussagenden Begriff "Verbesserungen"

    Hätte ich auch besser gefunden. 🤷‍♀️

  • Gruppenanrufe waren schon immer PFS (nur das Announcement nicht).

    Danke für deine Antworten.
    Nur dass ich dein Zitat oben richtig verstehe:

    a) mit "Gruppenanrufen" meinst Du sowohl Audio- als auch Videogruppenanrufe?
    b) das Announcement von Gruppenaudio-/Gruppenvideoanrufen hat mit dem neuesten Threema-Update jetzt auch PFS?

  • Wo wir grad bei PFS sind...
    Stimmt dieses FAQ eigentlich noch?
    Da PFS erst seit 4.9 unterstützt wurde aber seit 5.4 per default aktiv ist, sollten die Versionen unter 4.9 eigentlich inkompatibel sein, oder?

    Welche iOS-Versionen werden unterstützt? – Threema
    "
    Das sind die letzten unterstützten Threema-Versionen für vergangene iOS-Versionen:
    - iOS 9: Threema 4.2.3
    - iOS 10: Threema 4.6.18
    - iOS 15: Threema 5.0
    "

  • PFS ist ein extra Layer, aber die Kommunikation ohne funktioniert natürlich weiterhin. Threema Broadcast kann z.B. auch noch kein PFS. Daher sind alte Appversionen nicht generell inkompatibel.