Hallo Gast! Bitte registriere dich um Beiträge schreiben zu können und Zugang zu allen Bereichen zu bekommen. Hier registrieren

Auch ohne Registrierung direkt eine Support-Anfrage stellen: Zum Support-Fomular


Threema wirklich anonym nutzen
#1
Threema schreibt ja immer gerne von Anonymität, die es bietet, weil keine Handynummer erforderlich ist. Nichtsdestotrotz ist es mit dem Smartphone extrem schwierig Threema auch WIRKLICH anonym nutzen zu können. Auf dem Desktop ist Threema nicht verfügbar.

Was ich meine:
  • Man kommuniziert mit Threema natürlich standardmäßig mit seiner normalen IP-Adresse. Für Android gibt es zwar Orbot, aber für iOS gibt es keine offizielle Tor-Lösung. Und selbst dann müsste man erst verifizieren, ob wirklich jeder Threema-Traffic dadurch geleitet wird.
  • Des Weiteren gibt es ja noch die Push-Notification-Services. Selbst wenn man also Orbot verwendet, kann durch den Push Token die tatsächliche IP-Adresse herausgefunden werden.
Klar, das ist evtl. etwas paranoid, aber hat die Threema GmbH evtl. schonmal darüber nachgedacht, eine extra Version für die wirklich sichere Nutzung, z. B. für Whisteblower, zu veröffentlichen? Da wäre Tor z. B. mit integriert und die komplette Threema-Kommunikation würde über Tor laufen; die Push-Notification-Services von Google oder Apple werden nicht genutzt, sondern z. B. nur Polling; und eben die richtigen Default-Einstellungen.

Wäre ein richtiges Alleinstellungsmerkmal für Threema. Was meint ihr?
Zitieren
#2
Grundsätzlich stimme ich dir zu, die Möglichkeit den kompletten Chat über Tor laufen zu lassen, würde die Anonymität nochmal auf eine ganz andere Eben bringen. Außerdem lassen sich dann mithilfe des Tor Netzwerks auch entsprechende Zensuren umgehen.

Wenn die Threema GmbH wirklich eine Tor Version von Threema herausbringt, ist meine Befürchtung, dass die App nicht nur von Whistleblower, sondern auch für Illegale Zwecke verwendet wird.
Ich denke das könnte ein negatives Licht auf Threema werfen..."Polizei beschlagnahmt Handy mit ... Threema Gruppe" etc... 

"Wir speichern keine IP-Adressen und bewahren keine Nachrichten-Logs auf. " 
Quelle: https://threema.ch/de/transparencyreport


---- 

Technisch wäre es meiner Meinung nach sicherlich möglich wenn bekannt wird das z.B. Threema ID XYZ z.B. Kinderpornografische Bilder in einer Gruppe verbreitet, die IP dieser Threema ID beim nächsten Kontakt mit den Servern zu speichern.


Ob sie das aber wirklich machen weiß nur die Threema GmbH selbst, das es technisch möglich wäre schreckt entsprechende Personen natürlich ab, mit Tor integration wäre dies sicherlich nicht so. 

Meiner Meinung nach wäre das Vorgehen bei Whistleblowern falsch, aber beim oben genannten Beispiel finde eine deanoymisierung der einzelnen Threema ID  i.O.

Ergänzung:

Da ich jetzt schon PMs bekommen habe, und einige wohl von 100% Anonymität bei Threema ausgehen, will ich hier mal Beschreiben wie meiner Meinung nach Behörden vorgehen könnten. 
-> Ich Arbeite bei keiner Behörde oder der Threema GmbH und alles geschriebene ist meine persönliche Meinung. 

Im Internet ist man nie zu 100% anonym, selbst Tor garantiert keine 100% Anonymität. 

Die Threema GmbH macht durch das Speichern von so wenig Metadaten wie möglich meiner Ansicht nach aber alles richtig. 

Wie könnte eine ID meiner Meinung nach deanonymisiert werden: 

1. Wir gehen von folgenden Fall aus: Die Polizei hat Zugriff auf ein beschlagnahmtes Smartphone, es können die Threema Nachrichten gelesen werden.
Wenn die Beschuldigte Person entsprechende Bilder, Texte, Videos von einer anderen Person erhalten hat, ist die ID der anderen Person sichtbar. 
-> Wir haben also Nachrichten & ID des Absenders

2. Die Behörden können eine offizielle Anfrage bei Threema stellen, wenn die Anfrage i.O. ist liefern sie folgende Daten:
  • Hash der Handynummer, sofern durch den Nutzer verknüpft
  • Hash der E-Mail-Adresse, sofern durch den Nutzer verknüpft
  • Push-Token, sofern der Nutzer einen Push-Dienst verwendet
  • Öffentlicher Schlüssel
  • Datum (ohne Uhrzeit) der Erstellung der Threema-ID
  • Datum (ohne Uhrzeit) des letzten Logins
Quelle: https://threema.ch/de/transparencyreport

3. Wie könnte man nun meiner Meinung nach einen Threema User deanonymisieren (Leicht -> Schwer)



1. Der Nachrichteninhalt gibt Aufschluss auf die Person. (Handynummern, Adresse, Namen etc..) -> Dann wäre 2. nicht nötig

2. Mit dem Push Token (sofern der ID Besitzer Pushnachrichten bekommt) zu Apple oder Google gehen.
  • Diese würden vermutlich entsprechende Informationen Account / IP-Adressen eher preisgeben als Threema. 
    Ob eine Datenauskunft bei einem US Unternehmen von einer Deutschen Behörde wirklich so leicht ist weiß ich nicht. 
3. Wenn eine Handynummer verknüpft ist, kann mit etwas Aufwand über den Hash die eigentliche Telefonnummer herausgefunden werden.
  • Telefonnummern haben ein vorgegebenes Format (Länge, Ziffern) dadurch ist es nicht weiter schwer. 
    Im Cryptography Whitepaper wird auf die geringe Anzahl der Möglichkeiten hingewiesen. (Toll das es darin erwähnt wird!) 

4. Wenn eine E-Mail Adresse verknüpft ist, kann mit Aufwand über den Hash die eigentliche E-Mail herausgefunden werden.
  • Ich würde E-Mail Listen von Leaks (Dropbox, Adobe etc...) mit dem Threema E-Mail Hash vergleichen, vlt hat man Glück. 
         Durchprobieren dürfte meiner Meinung nach nicht sehr effektiv sein. (1 Jahr...10 Jahre...100 Jahre alles ist da möglich) 

5. Letzte Möglichkeit wäre mein Vorgehen wie ich oben geschrieben habe, ob es wirklich gemacht wird weiß nur Threema und die Behörden.
Zitieren
#3
Wie sicher ist den TOR und wer entwickelt TOR? Ich denke die Antwort auf diese Frage bringt einen etwas zum Nachdenken in Bezug auf Sicherheit von TOR.

Gruß DerBär
Zitieren


Möglicherweise verwandte Themen...
Thema Verfasser Antworten Ansichten Letzter Beitrag
Question Gelöschte Chats wirklich gelöscht? 8470 10 16.903 23.09.2014., 13:26
Letzter Beitrag: 8470
  Messenger-Test: Ist Threema wirklich besser als WhatsApp und Line? DJ_Ralf 15 13.290 29.06.2014., 11:40
Letzter Beitrag: