Hallo Gast! Bitte registriere dich um Beiträge schreiben zu können und Zugang zu allen Bereichen zu bekommen. Hier registrieren

Auch ohne Registrierung direkt eine Support-Anfrage stellen: Zum Support-Fomular


Neuer Threema-Audit - 28. März 2019
#1
Neuer Threema-Audit
28. März 2019

Threema ist für seine vorbildliche Sicherheit und den beispiellosen Privatsphäre­schutz bekannt. Die kryptographischen Verfahren sind umfassend dokumentiert, und die korrekte Anwendung der Verschlüsselung lässt sich jederzeit überprüfen. Um Threemas Sicherheit zusätzlich zu untermauern, werden periodisch unabhängige Audits von renommierten Experten durchgeführt.

So hat das Labor für IT-Sicherheit der FH Münster unter Leitung von Prof. Dr. Sebastian Schinzel während den letzten Monaten Threema einer eingehenden Prüfung unterzogen. Mit erheblichem Aufwand und allem verfügbaren technischen Fachwissen wurden die Android- und die iOS-App sowie Threema Safe minutiös durchleuchtet und auf etwaige Sicherheitslücken untersucht. Es wurden keine kritischen Schwachstellen gefunden, und die Forscher attestieren Threema Bestnoten:
  • "Threema nimmt die Sicherheit und den Datenschutz seiner Nutzer sehr ernst."
  • "Threema verhält sich wie in der öffentlichen Dokumentation beschrieben."
  • "Threemas Sicherheits- und Datenschutzmechanismen sind intakt und wirksam."

Der Audit-Bericht ist in seinem vollen Umfang einsehbar. Die wenigen unkritischen Probleme, die vorgebracht wurden, sind umgehend behoben worden und bestehen in den aktuellen App-Versionen bereits nicht mehr. Machen Sie sich selbst ein Bild vom Prüfverfahren, das Threema durchlaufen hat: Zum Audit-Bericht (Englisch)

Quelle
Zitieren
#2
Super! Top! 

Schön, dass Threema auch die Anregungen verschiedener Personen angenommen hat, die waren:
  • Umfangreicheren Audit-Bericht veröffentlichen
  • Audit von einer in der IT-Welt anerkannten Gruppe
Auch Lob und Dank an die Entwickler, das sind gute Ergebnisse.

Zwei kurze Fragen habe ich, evtl. kann mir diese jemand von Threema beantworten:
  1. Das Krypto-Whitepaper sagt, es wird SRTP_AES128_CM_SHA1_32 für die Threema-Anrufe verwendet. @"lgrahl" meinte mal, dass es mittlerweile SHA1_80 ist. Firefox hat den Support für SHA1_32, sofern ich mich erinnern kann, vor kurzem aus Sicherheitsgründen entfernt.
  2. Zu welchem groben Anteil ist die iOS-App in Objective-C bzw. Swift implementiert?
Wenn SaltyRTC und Threema Web eine stabilere Version erreichen, dann fehlt eigentlich nur noch dieser Teil. Momentan macht es vermutlich noch keinen Sinn viel Geld für einen Audit auszugeben.
Zitieren
#3
Zu 1. auf iOS lässt es sich recht einfach verifizieren, nämlich mit einem Long-Press auf den Avatar während eines Anrufs wenn man ins Validation Log schaut, nachdem man einen Anruf getätigt hat:

Code:
srtp-cipher=AES_CM_128_HMAC_SHA1_80

Auf Android würde ich die Information auch gerne loggen, aber... sagen wir einfach mal, die Java-Bindungs von WebRTC sind überarbeitungswürdig.

Zu 2. die iOS-App ist älter als Swift... Lächeln
Zitieren
#4
Das hat sogar in Campus Steinfurt stattgefunden :-)
Zitieren
#5
(28.03.2019., 18:04)DerBär schrieb: Das hat sogar in Campus Steinfurt stattgefunden :-)

Ich vermisse die Mensa ganz sicher nicht. Grinsen
Zitieren
#6
Ich auch nicht mehr :-)
Zitieren
#7
(28.03.2019., 16:24)lgrahl schrieb: Zu 1. auf iOS lässt es sich recht einfach verifizieren, nämlich mit einem Long-Press auf den Avatar während eines Anrufs wenn man ins Validation Log schaut, nachdem man einen Anruf getätigt hat:

Code:
srtp-cipher=AES_CM_128_HMAC_SHA1_80

Auf Android würde ich die Information auch gerne loggen, aber... sagen wir einfach mal, die Java-Bindungs von WebRTC sind überarbeitungswürdig.

Zu 2. die iOS-App ist älter als Swift... Lächeln

Danke, dann scheint einfach das Whitepaper nicht aktuell zu sein.
Zitieren