Beiträge von Lenny

Zitat von Snoopy

Die Telefonnummer muss man nicht für die App nutzen! Das kann man seit März 2024 unterbinden (Hirn erforderlich …).

Das ist IMO irreführend, denn zur Anmeldung muss man bei Signal immer eine Telefonnummer angeben. Es existiert also eine zwingende Verknüpfung daran und die muss auch irgendwo auf Servern abgelegt sein.

Das ist genau das Problem dieser Person. Sie ist manchmal nicht weit entfernt von der Wahrheit, schadet Threema jedoch mit ihren teils blödsinnigen Verschwörungserzählungen, z.B. ggü. Signal, welche eine Gegenreaktion provozieren (zu Recht natürlich).

Oh je, im Heise-Forum treibt die Person auch ihr Unwesen? Man fragt sich echt, was die Person motiviert.

Muss korrigieren: Mit PFS hat das nichts zu tun. Ohne Speicherung der Nonces könnte der Chat-Server Nachrichten duplizieren und erneut ausspielen und du würdest sie erneut akzeptieren¹. Das klingt womöglich jetzt erstmal nicht allzu bedrohlich, aber damit könnte man, je nach Nachrichtentyp, schon recht interessante Dinge anstellen.

¹: Es gibt noch einen zweiten Mechanismus, der das bei vielen Nachrichten ebenfalls verhindert, aber nicht auf kryptografischer Ebene und daher schwächer.

Wenn der Ordner durch irgendeine App im Hintergrund gesichert wird, ja. Syncthing z.B. macht das.

Das ist ein bekanntes Problem, für welches es leider bisher keine gute Lösung gibt. Der technische Hintergrund ist, dass man sich damals leider dazu entschlossen hat, für beide Appvarianten die gleiche Package-ID zu verwenden. Ein Wechsel ist nicht so einfach möglich.

Es gibt zwei Möglichkeiten, wie du dem entgehen kannst:

1. Installier dir Threema Libre. Dort gibt es das Problem nicht, allerdings musst du dann Threema Push nutzen statt Google FCM (potenziell etwas erhöhter Energieverbrauch, wobei meine Praxiserfahrung zeigt, dass dieser vernachlässigbar ist).
2. Nutze einen Google Account der kein Threema gekauft hat.

Ich kann mir da ehrlich gesagt noch keinen Reim drauf machen.

Für einen automatisierten Angriff wirkt es mir zu passgenau, wenn direkt die Rolle des Sohnes eingenommen wird. Es ist zudem sehr unwahrscheinlich, denn selbst mit einem schlechtem Threema Safe Passwort ist ein Brute Force Angriff quasi aussichtslos, da die Ableitung des Schlüssels nicht günstig ist und die Server zudem rate-limiten (d.h. man kann nur eine gewisse Anzahl an Versuchen tätigen über einen Zeitraum X).

Man sollte also eher von einem gezielten Angriff mit Vorwissen (z.B. Passwort des Backups bekannt) ausgehen. Dann wirkt das Vorgehen wiederum stümperhaft. Warum so viel Aufwand betreiben, wenn man dann "MamaHandy" schreibt?

Macht alles keinen Sinn. oMPete könnte da auf einer Spur sein.

Zitat von threemlie

Weshalb eigentlich nicht?

Bin grad zu faul es nochmal zusammenzuschreiben - siehe meine beiden Antworten in diesem Thread: https://digitalcourage.social/@f09fa681/113431665787639048

Zitat von Karloss

Es gibt folgendePowerShell-Fehlermeldung:

Add-AppxPackage : "System.String" kann nicht in den Typ "System.Management.Automation.SwitchParameter" konvertiert werden, der für den Parameter "Confirm" erforderlich ist.
In Zeile:1 Zeichen:20
+ ... xPackage -C:\Users\Karloss\Downloads\threema-desktop-latest-windows-x ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidArgument: (:) [Add-AppxPackage], ParameterBindingException
+ FullyQualifiedErrorId : CannotConvertArgument,Microsoft.Windows.Appx.PackageManager.Commands.AddAppxPackageCommand

Nicht "-Path" ersetzen, erst

Add-AppxPackage -Path

in Gänze, Leerzeichen und danach der Pfad, wie im Beispiel oben aufgezeigt.

Zitat von Skipper

ich verstehe den Wechsel der Domain nicht so ganz, da die Homepage Threema.ch nach meinem Empfinden ja schon etwas mehr als "nur" Domainname, sondern eher schon ein Markenzeichen ist, welches für Qualität und Datensicherheit steht.

Tja, mein Gedanke war da ganz ähnlich.

Es hat mit besserer Sichtbarkeit für internationale Kunden zu tun.

threema.ch geht ja nicht verloren sondern leitet einfach dauerhaft weiter.

Zitat von Robby

nicht das Threema wegen dieses Themas schonmal von https://threema.ch auf https://threema.com gewechselt ist....

Kann ich ganz klar mit "Nein" beantworten.

Zitat von Karloss

Ich habe 3 verschiedene "threema-Desktop" Downloads durchgeführt:
am 29.04. / am 06.05. / am 10.05.2025

und mit dem z.Z. aktuellsten Windows-update (Windows 10 Pro x64, Betriebssystembuild 19045.5796) die Installation v. "threema-Desktop" vorgenommen, jedoch immer mit negativem Resultat.

Über sehr obskure Wege (man findet fast nichts zu diesem Fehlerbild) habe ich folgende potenzielle Ursache aus dem Netz gegraben:

"Grund: Ein Timeout beim Herunterladen der App, wenn die App vom Windows Smart Screen Antivirus gescannt wird, aber der Smart-Screen Server nicht erreicht werden kann."

Man kann die Installation aber per PowerShell forcieren:

Add-AppxPackage -Path <pfad-to-threema-desktop-msix>

also z.B.

Add-AppxPackage -Path %userprofile%\Downloads\threema-desktop-latest-windows-x64.msix

Zitat von Karloss

Bei mir (mit Windows 10) geht es auch nicht - es gibt folgende Fehlermeldung:
"Das App-Paket kann nicht geöffnet werden
Grund: Fehler beim Analysieren des App-Pakets."

Habe das App-Paket mehrmals heruntergeladen.

Grad auf Windows 10 ausprobiert und keine Probleme gehabt. Klingt fast so als wäre es unvollständig heruntergeladen. Ist dein Windows 10 auf dem aktuellsten Patchstand?

Vielleicht Off-Topic etwas zurückschrauben.

Hier noch die Info was Threema Push ist. In Threema Libre lässt es sich nicht deaktivieren, in allen anderen Threema Varianten ist es optional einschaltbar.

Auf Vanilla Android kann man die Notification einfach permanent stumm schalten. Leider verschlimmbessern Huawei, Xiaomi, Samsung & co häufig das Android Betriebssystem, sodass das ggf. nicht geht.

Zitat von tomkruess

Meinst du mit "revoziert" eine widerrufene ID? Das ist es auf jeden Fall nicht. Ich kann damit problemlos chatten und der Kontakt ist bei den anderen auch nicht als deaktiviert oder gelöscht markiert.

Du schon, aber in dem Fall geht es um Kontakte aus deiner Kontaktliste.

Zitat von Snoopy

Genau! Beta hin oder her – Mitbewerber haben das längst mit PFS hinbekommen und verwenden bessere und langjährig bewährte Verschlüsselungsalgorithmen/-bibliotheken. Manche sogar schon mit Post-Quantum-Lösung!

Ich bin grad maximal genervt. Mal kann es nicht schnell genug gehen, dann ist es nicht gut genug, weil die Beta nicht den Releaseanforderungen genügt (ja, ach!). Keinem kann mans hier recht machen, weil nur die Eierlegendewollmilchsau jetzt sofort aber pronto gerade so akzeptabel ist, ob da jetzt Alpha oder Beta dran steht - egal.

Zitat von ecosviszero

Also ein Messenger ohne Benutzer-ID UND Multi-Device ohne gravierende Einschränkungen (wie Verzicht auf PFS etc.) im Bereich Sicherheit bzw. Privatsphäre bleibt offenbar immer noch eine Herausforderung.

Was ist denn rein objektiv das Problem an IDs wie bei Threema? Ich sehe nämlich keins.

Zitat von Voltadino

Bei mir funktioniert es unter Windows 11 auch nicht. Es erscheint die Meldung:

Device join protocol failed: Error: Could not validate EdToNd message: ValitaError: custom_error at .essentialData.cspHashedNonces.0 (Array of length 24 is not a valid nonce hash) (+ 286 other issues)

Gibt es eine Lösung?

Noch nicht. Du wirst auf ein Update für den Android Client warten müssen, welches das Problem behebt. Siehe auch: Multi Device Android geht nicht - Fehler beim Verknüpfen

Entweder ein Bug oder die Gegenseite verwendet die ID auf mehreren Geräten ohne Multi-Device. Ein Downgrade wird hier sehr wahrscheinlich nichts bringen.

Im Zweifel mit Log an *SUPPORT wenden.

Sind unterschiedliche Fehlermeldungen. Eine davon ist bekannt (nonce hash length) und wird sicher demnächst im Android Client gepatcht. Die Andere (public key length) meines Wissens noch nicht, aber vermutlich handelt es sich da um eine revozierte ID was im Android Client falsch gespeichert wurde.

Sprich: Abwarten bis ein Patch es fixed.