Beiträge von Aries

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support

    Steht im Artikel: "Wir wollen nicht die Grössten, sondern die Sichersten sein."


    Ansonsten geben sie sich gelassen, worauf ich aber nichts gebe. Das ist die übliche Reaktion gegenüber der Öffentlichkeit, auch wenn man eigentlich ziemlich beunruhigt ist.

    TrueCrypt war auch immer openSource und erst nach ca. 10 Jahren wurde festgestellt, dass es doch nicht so sicher war, wie immer angenommen.

    PGP und S/MIME sind noch älter und es wurden vor gar nicht langer Zeit grundsätzliche Probleme festgestellt, die die Sicherheit gefährden.


    Man kann soetwas feststellen, ist eben nicht gleichbedeutend mit "man stellt fest" und sagt nichts darüber aus, wann die Fehler entdeckt werden.


    Bei Closed Source ist aber nicht einmal die Möglichkeit gegeben, konzeptionelle Fehler direkt zu identifieren. Das fürhen manche als Argument pro Closed Source an. Jedoch lassen sich eben nicht nur keine Fehler erkennen, sondern auch nicht, was alles an wen übertragen wird.

    Ja, aber ich kann meinen kompilierten Server nur für mich bzw. meine geschlossene Gruppe nutzen. Ob man kompilierten Client mit dem offiziellen Signal-System nutzen kann, weiß ich leider nicht. Jedenfalls hat Janus Frijs sich gegen externe Clients ausgesprochen.

    Bei Closed Source muss ich genau einem vertrauen: dem Hersteller.

    Bei Open Source kann ich mich - zumindest potentiell - auf eine ganze Gruppe unabhängiger vertrauen.


    Was ich auch bei Open Source nicht machen sollte: Aus der Moglichkeit, dass viele den Quellcode prüfen können, zu folgern dass dies auch passiert. Das Internet bietet aber die Möglichkeit, sich zu informieren, ob sich jemand damit auseinandersetzt. Natürlich muss ich dem dann auch wieder vertrauen, also Informationen über ihn einholen.


    Man kann es sich natürlich einfach machen, wie es in der Praxis auch meistens passiert:

    Wenn man keine Ahnung hat, glaubt man der Werbung. Kritische Stimmen - wie bei den immer zunehmenden Verbindungen von WIndows zu Microsoft - gibt man kein Gewicht, weil


    1. die Kritiker ja aufgrund der Verschlüsselung nicht nachweisen können, was genau übermittelt wird

    2. die Sorge vor dem Verlust liebgewonnener Anwendungen besteht

    3. das Erlernen von Alternativen den Lernaufwand erzwingt und - wie bei Spielen - freiwillig ist


    Threema versucht die fehlende Transparenz durch unabhängige Audits abzufedern und das ist schon mal ein lobenswerter Ansatz, schließlich macht das nicht jeder und erhöht deshalb das Vertrauen. Offener Quellcode ist dennoch besser, wenn auch für sich alleine immer noch nicht die beste aller Möglichkeiten. Vor allem nicht wie am Beispiel Telegram zu sehen, wo mit freiem Code geworben wird, bei genauer Betrachtung aber eben nicht alles frei ist, sondern stattdessen seit Jahren nur vollständige Freigabe angekündigt wird.


    Signal muss sich gefallen lassen, dass offener Quellcode alleine noch nicht ausreicht. Ich muss mir daraus auch meine Anwendungen kompilieren können. O ich das dann mache, oder doch den fertigen Binärpakten vertraue, ist dann meine Entscheidung.

    Was bedeutet, dass 100% open-source keine Garantie sind. Das ist interessant, denn es gibt ja schon Leute, die Software ablehnen, weil sie eben nicht 100% offen sind. Ein gutes Argument für Diskussionen über dieses Thema. Vielen Dank!:thumbup:

    Vorsicht, mir scheint damit wieder das Kind mit Bade ausgeschüttet zu werden!


    Open Source erlaubt zunächst mal die Überprüfung, was wirklich passiert. Auch kann man sich sein eigenes "Signal" aufbauen. Für manchen geschlossenen Anwenderkreise ist das durchaus interessant.


    Man weiß aber nicht, ob Server und Client, den man selbst nutzt auch wirklich aus diesen Sourcen kompiliert wurden. Es könnte ja noch Sourcen mit undokumentierten Funktionen geben. Diese Unsicherheit besteht bei Closed Source aber auf jeden Fall. Dort kann man nichts prüfen und benötigt daher weit mehr Vertrauen, nicht belogen zu werden.

    Jetzt ist es öffentlich dokumentiert und das ist eine entscheidende Veränderung. Wenn man auch schon früher durchscannen konnte und das nicht auf die App beschränkt war, umso schlimmer.


    Auf jeden Fall wäre ich gerne gefragt worden, ob ich soetwas haben möchte.

    Und das ist hier leider off topic.


    Mein Hinweis sollte nur die abgeschlossenen Systeme in Frage stellen und da gibt es derzeit eben nur XMPP als Alternative, die wenigstens Potenzial hat. Matrix hat sich ja leider ein ziemliches Ei gelegt und wäre aktuell die deutlich schlechtere OSS-Alternative.

    Ändert aber nichts an der Tatsache, dass mir bis jetzt noch keiner helfen konnte! ;)

    Vielleicht weil keiner Dein Telefon kennt? Wenn Du in unserer Gruppe der einzige bist und auch sonst keiner eine Lösung für Dich hat, ist das doch eher ein Heinweis, dass bei Deiner Konfiguration etwas kaputt ist, und nicht dass Conversations und OMEMO instabil sind.

    Die dann wieder mit Nutzern auf fremden Servern in Kommunikation treten. Was da passiert, bleibt mir verschlossen. Die Vertrauensfrage bleibt auch bei Jabber/XMPP bestehen. Es sei denn man bleibt auf seiner Insel, sprich dem eigenen Server.

    Zuerst muss ich einem Serverbetreiber vertrauen. Da habe ich bei keiner Insellösung die Wahl. Vielmehr wird "Vertrauen" in der Praxis" durch Herdentrieb ersetzt.


    Wenn ich einen eigenen Server betreibe, ist es doch wurscht, ob deren Nutzer mit Nutzern anderer Server in Kontakt treten, selbst wenn ich meinen Server nicht öffne.

    Ein eigener XMPP Server ist für jemanden, der sich mit der Marterie auskennt und der auch dauerhaft die Zeit, Lust und die finanziellen Mittel hat, da dran zu bleiben. Es ist ja nicht damit getan, einmal einen Server aufzusetzen und das war's dann. Ein Server muss gepflegt und gewartet werden und immer mit aktuellen Sicherheitspatches versorgt werden. Der "Otto-Normal-User" will damit gar nix zu tun haben! ;)

    Dann hat man bei XMPP immer noch die Auswahl, wem man selbst vertraut. Bei Threema, Signal, WhatsApp nicht. Entweder alles oder nichts!


    Zitat

    Und dass OMEMO bzw. XMPP stabil ist, meinst du jetzt nicht wirklich ernst oder? Du weißt von meinem Problem(en) welches ich schon seit Monaten habe und wo mir selbst XMPP-Experten bis jetzt nicht helfen konnten.

    Die Probleme hat aber auch nur Du aus unserer Gruppe.

    Und im Endeffekt bleibt es immer eine Vertrauensfrage des Serverbetreibers. Auch bei XMPP muss ich einen vertrauensvollen, stabilen und vor allem zuverlässigen Serverbetreiber finden.

    Dem Betreiber musst Du ab einem gewissen Punkt immer vertrauen, insbesondere bei Threema, aber auch bei Signal. Bei XMPP kannst Du immerhin einen eigenen Server betreiben und nur vertrauenswürdige Nutzer hereinlassen.


    Zitat

    Dafür, dass es das älteste Protokoll ist, steckt es aber immer noch total in den Kinderschuhen, was die Verschlüsselung anbelangt.

    OMEMO ist eigentlich stabil. Was in den Kinderschuhen steckt, ist die Umsetzung in den Clients. Conversations beweist, wie gut es läuft.


    Die Bedienung ist für Laien nicht gerade einfach, insbesondere was die Akzeptanz der Schlüssel in Gruppen betrifft. Aber du sprichst auch von "Vertrauen". Gerade deshalb ist XMPP diesbezüglich Threema überlegen. Die Unterteilung rot, gelb, grün sagt nichts darüberhinaus, ob ich dieser Person tatsächlich vertraue. Das ist nur ein Vorschlag. Bei XMPP kille ich den Key für eine Person, der ich nicht mehr vertraue oder nehme ihn gar nicht erst an. Das macht die Bedienung natürlich komplizierter, aber das liegt in der Natur der Sache. Einfach ist meistens auch unsicherer.

    Die Umstellung auf eine UUID ist gut, aber ein geschlossenes System bleibt auch Signal weiterhin.


    Es ist vollkommen wurscht, bei welcher Telefongesellschaft ist bin und welches Telefon ich habe, erreichen kann ich jeden auf der ganzen Welt, der ein Telefon und einen Telefonvertrag hat. Bei E-Mail das gleiche. Aber beim Instant Messaging gilt das Highlander-Prinzip? Das ist für mich das Grundproblem.


    Soll doch jeder den Client nutzen, den er nutzen will. Dann wären wir aber bei XMPP, was älter ist, als die ganzen WhatsApps., Telegrams, Threemas, Signals oder Wires.

    Bei Whatsapp bin ich raus, also an der Stelle schon mal sicher! ;)

    Das denkst Du!


    Jeder mit WhatsApp, auf dessen Smartphone Du in den Kontakten gespeichert bist, verteilt Deine Nummer an Facebook.


    Dass diese Infos auch mal "versehentlich" für jedermann abrufbar waren, sollten die Datenpannen, die bei Facebook dieses und letztes Jahr bekannt wurden, bewiesen haben.

    An WhatsApp ist problematisch, dass sie die Telefonnummern im Facebook-Konzern zu Schattenprofilen hinzufügen und für ihr Werbegeschäft verwenden. Das schließen Threema und Signal vertraglich aus. Sie löschen die Telefonnummern sogar. Genauer arbeiten sie nur mit Hashes der Telefonnummern und halten sie nur für die Zeit des Nummernabgleiches im Arbeitsspeicher (RAM) und nie auf einem Massenspeicher (HDD oder SSD).


    Ein Vorteil von Signal ist, dass sie den Absender ebenfalls verschlüsseln. Liest jemand auf dem Übertragungsweg mit, kann er nur den Empfänger erkennen. Das macht es schwieriger (aber nicht unmöglich), die Kommunikationspartner zuzuordnen.


    Signal ist zwar Open Source, sie lassen dennoch keine anderen Clients zu. Offen ist es damit nicht. Nur der Quellcode steht offen zur Verfügung.


    Man kann nicht allgemein sagen, Signal oder Threema sei besser. Man kann nur aufgrund eigener Gewichtungen das eine oder andere System als die persönlich bessere Lösung einzuschätzen.

    Meine Wissens nach gehen die mit Threema verknüpften Telefonnummer/Email-Adresse niemals an anderer Nutzer raus (sondern nur die Threema-ID). Die verknüpften Daten sollten auch in Gruppen niemals rausgehen.

    Deshalb habe ich geschrieben „wie bei anderen Messengen“

    Die Variante von Threema ist mir deutlich lieber. Ich habe meine Telefonnummer hinterlegt und bin somit für jeden auffindbar, der meine Telefonnummer im Telefonbuch hat. Aber die Nummer ist für niemanden sichtbar. Ich überlege sogar, meine E-Mail-Adresse ebenfalls zu hinterlegen, um noch besser auffindbar zu sein. Ich möchte nur nicht. dass wie bei anderen Messengern, über Gruppen diese Infos an Leute herausgehen, die ich wohlmöglich nicht (gut genug) kenne.