Nachricht an sich selbst - Bug-Report+Feature-Request

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.800 Mitglieder helfen dir weiter. > Frage stellen <

    Was mir an Threema sehr fehlt, ist die Möglichkeit, Nachrichten an sich selbst zu schicken.

    Whatsapp benutze ich dafür schon lange, um so meinen eigenen "Merkzettel" zu haben.
    Dafür gibt es natürlich auch wiederum eigene Apps - aber wozu eine andere App benutzen, wenn es auch im Messenger prima funktioniert?

    Das Thema gab es schon einmal - die Antwort, die Nachrichten einfach an "ECHOECHO" zu senden, geht aus Datenschutzgründen selbstverständlich gar nicht und ist keine Lösung.

    Das beste wäre natürlich, wenn man Daten in einem Chat mit der eigenen ID ablegen könnte, ohne das sie überhaupt gesendet werden.
    In Whatsapp kann man sich jedenfalls auch ohne eine Internetverbindung Nachrichten schreiben.
    Die Nachrichten erscheinen dann auch nicht doppelt (als abgesendet und empfangen), sondern erscheinen nur 1x im Chat.
    Eine einfache Prüfung in der App á la "geht die Nachricht an die eigene ID, dann nicht senden sondern einfach in diesem Chat abspeichern" sollte wohl leicht umzusetzen sein. Ansonsten sollte es ja auch einfach sein, die künstliche Beschränkung zu entfernen, dass man keinen Chat an seine eigene ID machen kann.

    Einen Umweg habe ich gefunden: man kann eine Gruppe erstellen (mit sich & einer weiteren Person), und die zweite Person dann entfernen.
    Danach ist die Gruppe dann "leer". In der App (Android) kann ich dann keine Nachricht mehr schreiben, da kommt eine Fehlermeldung.
    Aber über Threema Web ist es möglich, in diese "leere" Gruppe Nachrichten zu senden!
    So kann ich zur Zeit wenigstens vom PC aus "an eine Gruppe die nur aus mir selbst" besteht eine Nachricht senden.

    Zusammenfassung:
    - Nachricht über Threema Web an "an eine Gruppe die nur aus mir selbst" schicken ist vermutlich ein Bug (da in der App nicht möglich/erlaubt), den ich allerdings gerade als Feature benutze
    - Bitte fügt die Möglichkeit ein, Nachrichten an die eigene ID zu "senden" / in einem Chat unter der eigenen ID abzuspeichern!

    Hallo,

    prinzipiell hast Du Recht. Das ist eine feine Sache. Werde ich glatt mal in meine Wunschliste aufnehmen - ob das etwas bringt, weiß ich nicht. Habe keinen Einfluss darauf...
    Ich benutze ECHOECHO auch als Gedankenstütze für mich. Doppelte Sachen werden eben gelöscht.

    Ich kann mir aber nicht verkneifen, einige Anmerkungen zu Deinem Betrag zu geben:


    "Was mir an Threema sehr fehlt, ist die Möglichkeit, Nachrichten an sich selbst zu schicken."
    --> Wieso? Das geht doch -> eben an ECHOECHO

    "Das Thema gab es schon einmal - die Antwort, die Nachrichten einfach an "ECHOECHO" zu senden, geht aus Datenschutzgründen selbstverständlich gar nicht und ist keine Lösung."
    --> ECHOECHO gibt es immer noch
    --> Warum das aus Datenschutzgründen nicht geht, leuchtet mir nicht ein.
    --> Noch weniger leuchtet mir ein, warum Du aus Datenschutzgründen WhatsApp benutzt
    --> Die Nachrichten gehen raus und rein (E2EE verschlüsselt) - sind also NICHT auf irgendeinem Server gespeichert. Ich nehme an, dass das bei WhatsApp oder Telegram nicht doppelt erscheint, weil die Chats auf einem Server liegen und dieser merkt, dass man selbst Absender und Empfänger ist. (Ich weiß es aber nicht mehr genau. Habe beide Messenger schon ewig nicht mehr). Aber genau DAS (Nachrichten liegen auf einem Server) ist für mich ein Datenschutzproblem!!!

    "Das beste wäre natürlich, wenn man Daten in einem Chat mit der eigenen ID ablegen könnte, ohne das sie überhaupt gesendet werden."
    --> Das wäre wirklich gut. Volle Unterstützung meinerseits. (Bei ECHOECHO gehen ja Nachrichten nur raus und wieder rein bei Datenverbindung. Ist sicher eher als Test-Chat gedacht.)

    "Einen Umweg habe ich gefunden: man kann eine Gruppe erstellen (mit sich & einer weiteren Person), und die zweite Person dann entfernen."
    --> Interessante idee - aber wenn es in der App nicht geht, ist das eher nicht praktikabel. Man hat ja nicht bei jedem Einfall einen PC zur Hand. Bevor ich mir das merke für Threema-Web schreibe ich es lieber auf ;)

    Einmal editiert, zuletzt von Miaz (6. Februar 2018 um 09:37)

    Erzeuge doch einfach eine ID und füge die der Gruppe zu. Nur so als Kompromiss.
    Die Gruppe kann man dann sogar sich sparen und direkt auf die ID schreiben.

    -------
    ʕ•ᴥ•ʔ

    Note II / Android 4.*

    Note 8 / Android 9

    ===============================================================================
    „Der Zweifel ist der Beginn der Wissenschaft. Wer nichts anzweifelt, prüft nichts. Wer nichts prüft,
    entdeckt nichts. Wer nichts entdeckt, ist blind und bleibt blind.“

    Einmal editiert, zuletzt von DerBär (6. Februar 2018 um 09:46)

    Zitat von "Miaz" pid='36455' dateline='1517905568'


    die Nachrichten einfach an "ECHOECHO" zu senden, geht aus Datenschutzgründen selbstverständlich gar nicht und ist keine Lösung."

    --> Warum das aus Datenschutzgründen nicht geht, leuchtet mir nicht ein.


    Die Nachricht an ECHOECHO muss bei Threema entschlüsselt und dann wieder neu verschlüsselt an dich zurück gesendet werden. Dieses „Umschlüsseln“ der Nachricht hat zur Folge, dass deren Inhalt währenddessen im Klartext auf einem fremden Server vorliegt. Damit ist die Ende-zu-Ende-Verschlüsselung auf dem Gesamtweg von Dir, über ECHOECHO und dann zurück zu Dir gebrochen.


    Andy

    Einmal editiert, zuletzt von andyg (6. Februar 2018 um 17:08)

    Wenn du keine weitere ID anlegen möchtest (weil evtl. zu umständlich) dann lege ganz einfach eine Verteilerliste mit nur einem Teilnehmer "ich" an. In die kannst du dann posten. Nur unter Android getestet!

    Viel Spaß

    Gruß DerBär

    -------
    ʕ•ᴥ•ʔ

    Note II / Android 4.*

    Note 8 / Android 9

    ===============================================================================
    „Der Zweifel ist der Beginn der Wissenschaft. Wer nichts anzweifelt, prüft nichts. Wer nichts prüft,
    entdeckt nichts. Wer nichts entdeckt, ist blind und bleibt blind.“

    Zitat von andyg


    Die Nachricht an ECHOECHO muss bei Threema entschlüsselt und dann wieder neu verschlüsselt an dich zurück gesendet werden. Dieses „Umschlüsseln“ der Nachricht hat zur Folge, dass deren Inhalt währenddessen im Klartext auf einem fremden Server vorliegt. Damit ist die Ende-zu-Ende-Verschlüsselung auf dem Gesamtweg von Dir, über ECHOECHO und dann zurück zu Dir gebrochen.


    Andy

    Das ist mir jetzt in der Tat wirklich neu! :ängstlich:
    Und warum wird bei ECHOECHO "umgeschlüsselt"? Ich dachte, das ist eine reiner Kontakt wie jeder andere (nur eben ich selbst), nur dass man eben selbst testen kann, ob und wie Nachrichten rausgehen + ankommen. Ich hatte angenommen, dass hier auch E2EE verschlüsselt wird.

    Einmal editiert, zuletzt von Miaz (7. Februar 2018 um 11:08)

    Wird ja auch E2E-Verschlüsselt:

    Deine Nachricht wird mit dem Publickey von ECHOECHO verschlüsselt und auf dem Server mit dem Privatekey entschlüsselt, um von ECHOECHO mit deinem Publickey verschlüsselt wieder an dich gesandt zu werden, damit Du die Nachricht mit deinem Privatekey wieder entschlüsseln kannst.

    Gruß, Patrick
    -------
    Handy: Samsung Galaxy Note 8
    Android: 9
    Threema: V. 4.22
    ThreemaWork: V. 4.22k

    Zitat von HuhuGast

    Was mir an Threema sehr fehlt, ist die Möglichkeit, Nachrichten an sich selbst zu schicken.

    Das Ganze selbstverständlich sehr zur Freude von FB/WA und Co.

    Zitat von HuhuGast

    Das Thema gab es schon einmal - die Antwort, die Nachrichten einfach an "ECHOECHO" zu senden, geht aus Datenschutzgründen selbstverständlich gar nicht und ist keine Lösung.

    Das ist schon irgendwie interessant! Dem Megaimperium "FB/WA", neben Google einer der weltweit größten Datensammler, schenkst du volles Vertrauen. Aber bei Threema´s "ECHOECHO" siehst du ein "Datenschutzproblem". Oh, lieber Gott, lass´ Abend werden ... .

    Version 3.7 Build 482 Threema Shop – Nutzung mit v3.7.482 zum 30. Sep. 2019 eingestellt X(

    Zitat von patrick


    Wird ja auch E2E-Verschlüsselt:

    Deine Nachricht wird mit dem Publickey von ECHOECHO verschlüsselt und auf dem Server mit dem Privatekey entschlüsselt, um von ECHOECHO mit deinem Publickey verschlüsselt wieder an dich gesandt zu werden, damit Du die Nachricht mit deinem Privatekey wieder entschlüsseln kannst.

    Ähm... Das ist dann also offensichtlich bei "Normalen" Kontakten.
    Hm...

    Habe jedenfalls mal (neben meinem Wunschthema) den Vorschlag eines "internen Erinnerungs-Chats ohne Versand" auf der Homepage als Vorschlag eingereicht. Fände das sehr gut. Sollten evtl. mehrere Leute machen.

    Zitat von "Miaz" pid='36471' dateline='1517998022'


    Das ist mir jetzt in der Tat wirklich neu! :ängstlich:
    Und warum wird bei ECHOECHO "umgeschlüsselt"? Ich dachte, das ist eine reiner Kontakt wie jeder andere (nur eben ich selbst), nur dass man eben selbst testen kann, ob und wie Nachrichten rausgehen + ankommen. Ich hatte angenommen, dass hier auch E2EE verschlüsselt wird.


    Es ist auch wie bei einem normalen Kontakt, der dir eine Nachricht zurückschickt:
    die Nachricht wird zwischen Dir und ECHOECHO (und zurück) selbstverständlich jeweils E2E-verschlüsselt übertragen. Aber auf dem Threema-Server muss die Nachricht entschlüsselt werden (mit dem privaten Schlüssel von ECHOECHO) und sodann wieder neu verschlüsselt werden für den Rückweg (mit deinem öffentlichen Schlüssel)—das habe ich mit „Umschlüsseln“ gemeint. Nach dem besagten Entschlüsseln und vor dem besagten Verschlüsseln liegt kurzzeitig auf besagtem Server der Klartext der Nachricht vor.
    Das ist ganz analog zu einem normalen Kontakt, der Dir eine Mitteilung wieder zurücksendet: er empfängt zunächst deine Nachricht, entschlüsselt sie mit (seinem privaten Schlüssel), und kann sie dann im Klartext lesen!, und verschlüsselt sie dann erneut (mit deinem öffentlichen Schlüssel), um sie dir dann zurückzusenden.

    Das angesprochene Datenschutzproblem entsteht nun durch die Tatsache, dass der Server den Klartext der Nachricht vorliegen hat und folglich Kenntnis von deren Inhalt hat. Damit ist die E2E-Verschlüsselung *auf dem gesamten Rundweg hin und zurück* gebrochen; nicht jedoch auf den beiden Einzelwegen für sich genommen (da haben „externe“ Mitleser nach wie vor keine Chance).

    Fazit: wenn man ECHOECHO als persönlichen Notizzettel nutzt, sollte man sich nur bewusst sein, dass Threema prinzipiell den Inhalt deiner Notizen sehen könnte. Ob sie das tun weiß man natürlich nicht mit Gewissheit (und kann letztlich nur hoffen, dass sie es nicht tun).

    Sorry, falls ich für Verwirrung gesorgt habe... [emoji6]

    Andy

    Einmal editiert, zuletzt von andyg (7. Februar 2018 um 19:03)

    Danke @"andyg" ,
    jetzt ist es klar. (Hatte ich mir aber trotzdem nicht so vorgestellt. Ich dachte ECHOECHO wäre "die eigene ID" als Kontakt)

    Um so wichtiger wäre also ein "interner Chat" als Notizzettel, der einfach die Daten in der Datenbank speichert, OHNE dass Nachrichten raus gehen oder ein Netz nötig wäre.

    Zur Info: In Chiffry z.B. gibt es einen Kontakt für den eigenen Account (mit eigenem Zertifikast). Allerdings hat man dabei auch das Problem, dass Nachrichten raus + rein gehen und dass die Nachrichten (Notizen) doppelt vorhanden sind. Entschlüsselt werden sie aber auf dem Server nicht.

    Zitat von andyg

    Das angesprochene Datenschutzproblem entsteht nun durch die Tatsache, dass der Server den Klartext der Nachricht vorliegen hat und folglich Kenntnis von deren Inhalt hat.

    Woher nimmst du die Gewissheit, dass der Ablauf zwischen Nutzer und ECHOECHO tatsächlich so ist?

    Zur Verschlüsselung wird grundsätzlich immer der öffentliche Teil des Schlüssels (Empfänger) benutzt.

    Version 3.7 Build 482 Threema Shop – Nutzung mit v3.7.482 zum 30. Sep. 2019 eingestellt X(

    Einmal editiert, zuletzt von BamBam (11. Februar 2018 um 11:22)

    Zitat von "BamBam" pid='36528' dateline='1518305453'


    Woher nimmst du Gewissheit, dass der Ablauf zwischen Nutzer und ECHOECHO tatsächlich so ist?


    Ähm... ich würde sagen, weil so asymmetrische privat/public-Key Verschlüsselung funktioniert?

    Zitat


    Zur Verschlüsselung wird grundsätzlich immer der öffentliche Teil des Schlüssels (Empfänger) benutzt.


    Genau. Und Entschlüsseln kann man immer mit dem zugehörigen privaten Schlüssel des Empfängers. Das bedeutet, dass die Mitteilung, die mit dem öffentlichen Schlüssel von ECHOECHO verschlüsselt von Dir abgesendet wurde, mit dem privaten Schlüssel von ECHOECHO entschlüsselt werden kann. Und besagter privater Schlüssel des Empfängers ECHOECHO befindet sich logischerweise in Besitz des Empfängers, also von ECHOECHO/Threema. Voilà.

    Als einzige Möglichkeiten, das zu umgehen, fallen mir ein:
    A) nur diejenigen Mitteilungen, die speziell an ECHOECHO gehen, werden—im Widerspruch zum normalen Vorgehen—durch die Threema-App mit dem öffentlichen Schlüssel des Absenders (statt des Empfängers) verschlüsselt. Davon habe ich aber nichts gelesen, weder im Threema WhitePaper, noch in den Threema-FAQs zum Thema ECHOECHO.

    B) Der HSalsa20-Algorithmus zur Erzeugung des gemeinsamen Geheimnisses („shared secret“) würde die ECHOECHO-Funktionalität sogar grundsätzlich ohne „Umschlüsseln“ zulassen, da ein reines Bouncing (unverändertes zurücksenden) möglich zu sein scheint (habe eben im Whitepaper [1] nochmal nachgelesen, siehe Punkt 1 des Abschnitts „Procedure to encrypt a message“:

    Zitat


    „Note that due to the properties of the elliptic curve, this shared secret is the same if the keys are swapped (i.e. if Bob’s private key and Alice’s public key are used instead).“

    Threema könnte also grundsätzlich den privaten ECHOECHO-Schlüssel löschen und folglich nicht mehr entschlüsseln. Die unwiederbringliche Zerstörung des privaten ECHOECHO-Schlüssels ist jedoch nicht überprüfbar und damit der ECHOECHO-Versand als potenziell kompromittiert anzusehen.

    Andy

    [1] https://threema.ch/press-files/cryptography_whitepaper.pdf

    Einmal editiert, zuletzt von andyg (11. Februar 2018 um 10:06)

    Zitat von andyg

    [...]Der HSalsa20-Algorithmus zur Erzeugung des gemeinsamen Geheimnisses („shared secret“) würde die ECHOECHO-Funktionalität sogar grundsätzlich ohne „Umschlüsseln“ zulassen, da ein reines Bouncing (unverändertes zurücksenden) möglich zu sein scheint (habe eben im Whitepaper [1] nochmal nachgelesen, siehe Punkt 1 des Abschnitts „Procedure to encrypt a message“[...]

    Exakt das meinte ich mit "Woher nimmst du die Gewissheit ...".

    Version 3.7 Build 482 Threema Shop – Nutzung mit v3.7.482 zum 30. Sep. 2019 eingestellt X(

    Zitat von "BamBam" pid='36534' dateline='1518344458'


    Exakt das meinte ich mit "Woher nimmst du die Gewissheit ...".


    Alles klar [emoji23]

    Also Umschlüsseln nicht (zwingend) erforderlich; dennoch ist Kommunikation über ECHOECHO/Threema entschlüsselbar
    -> Kommunikation über ECHOECHO nicht als vertraulich einzustufen

    Andy

    Einmal editiert, zuletzt von andyg (11. Februar 2018 um 13:51)