Hallo Gast! Bitte registriere dich um Beiträge schreiben zu können und Zugang zu allen Bereichen zu bekommen. Hier registrieren

Auch ohne Registrierung direkt eine Support-Anfrage stellen: Zum Support-Fomular


Kontakt von rot zu grün ändern
#16
FAQ-Hinweise sind nun also verstanden!? smile6 :smile: 

Dann bliebe noch der Weg: Screenshot vom QR-Code machen und diesen mit 7-Zip / AES-256-verschlüsseln (also Passwort drauf)
und dann - wenn unbedingt gewünscht - per Mail verschicken.
Oder den Screenshot mit . . . Threema smile6 . . .verschicken. Gegenüber speichert sich diesen Screen vorübergehend an einem sicheren
Ort
und scannt ihn davon dort ein. :angel: 

Aber wie schon erwähnt:
Zitat:Der QR-Code enthält Ihre Identität (bestehend aus Ihrer Threema-ID sowie Ihrem öffentlichen Schlüssel). Er ermöglicht anderen Nutzern, sich durch simples Einscannen zu vergewissern, dass der Ihrem Kontakt zugeordnete und auf ihrem Handy gespeicherte Schlüssel nicht manipuliert wurde.
Ich würde bis zum einem Treffen immer auf:
Zitat:[Bild: verification_orange.png]Stufe 2 (orange): der Kontakt wurde im Adressbuch gefunden (mit Handynummer oder E-Mail). Da der Server Handynummern und E-Mail-Adressen prüft (SMS bzw. E-Mail mit Aktivierungslink), kann man sich relativ sicher sein, dass diese Person wirklich diejenige ist, die man meint.
setzen. Also, wie schon von mir angemerkt: prüfe eure Einträge zu Handy-Nr./E-Mail-Adresse gegenseitig und schon haste mindestens orange, wenn die Einträge stimmen und synchronisert wird! Ohne Sync bleibt dir der Eintrag rot! :confused:
Zitieren
#17
QR Code natürlich nicht per eMail verschicken! Das hebt den Sinn auf! Sinn ist dass du persönlich überprüft hast dass die Person die vorgibt im Besitz dieses öffentlichen Schlüssels zu sein, auch tatsächlich die Person ist die sie vorgibt zu sein.
Per Mail versendete Schlüssel können maximal mit viel gutem Willen "orange" repräsentieren.
Soll heißen dir ist die eMail bekannt und jemand hat offensichtlich genug Kontrolle über die Email Adresse um diese mit dem öffentlichen Schlüssel zu verknüpfen.

Kurz: Grün ist NUR durch persönliches Scannen des QR Codes zu erreichen und genau dass soll so sein!
Zitieren
#18
Das Ampel system ist gut gedacht, es führt aber bei den Ottonormalverbrauchern zu viel Missverständnis
Zitieren
#19
Information 
Auch ich bin dafür den QR-Code nicht zu verschicken, da er ja dazu beiträgt die Authentizität des Gegenüber zu verifizieren.

Da es hier ja um eine elementare Funktion von Threema geht, und man (meiner Meinung nach) Sachen besser versteht, wenn man die Hintergründe kennt, bin ich mal so frei das Thema asymmetrische Verschlüsselung/Authentizität anzuschneiden:

Kleiner Exkurs: Asymmetrische Verschlüsselung
Bei Threema werden die Nachrichten asymmetrisch Ende-zu-Ende verschlüsselt. [1] Dafür benötigt jeder einen öffentlichen und einen privaten Schlüssel für Threema.
Das Schlüsselpaar hast Du bei der Einrichtung erstellt (zufälliges Wischen auf dem Display).
Dein privater Schlüssel verbleibt sicher auf deinem Gerät, der öffentliche Schlüssel wird zusammen mit deiner ID an den Threema-Server übergeben. [2]

Mit deinem öffentlichen Schlüssel kann jeder Nachrichten verschlüsseln. Entschlüsseln kannst sie aber nur Du, da Du den (zum öffentlichen Schlüssel/Schlüsselpaar) passenden privaten Schlüssel hast.
Praktisches Beispiel: Briefkasten.
Jeder kann Briefe einwerfen ("Verschlüsselung mit öff. Schl."), den Briefkasten öffnen und somit die Nachrichten lesen ("Entschlüsselung mit priv. Schl.") aber nur Du.

Da der private Schlüssel das Gerät nicht verlässt, ist es wichtig ein ID-Backup zu erstellen.
Bei Verlust des Schlüssels kannst du keine Nachrichten mehr entschlüsseln. [3]

Fallbeispiel: Kommunikation zwischen Alice und Bob*
Alice schreibt Bob eine Nachricht, welche Sie mit seinem öffentlichen Schlüssel verschlüsselt. Diese Nachricht kann nur von Bob mit seinem privaten Schlüssel entschlüsselt und gelesen werden. Doch woher weiß Alice, dass Sie wirklich mit Bob schreibt und nicht beispielsweise mit Eve?
Dies kann Sie überprüfen, indem Sie Bob besucht und dessen QR-Code scannt und sieht somit, ob der öffentlichen Schlüssel zu Bob gehört. Bob kann ebenfalls den öffentlichen Schlüssel von Alice überprüfen.

* Auf den Schlüsselaustausch/den Verschlüsselungsmechanismus wird hier nicht eingegangen, wer trotzdem mehr wissen möchte kann sich das „Cryptography Whitepaper“ von Threema durchlesen.



[1] https://threema.ch/de/faq/why_secure
[2] https://threema.ch/de/faq/identity_expl  
[3] https://threema.ch/de/faq/id_backup_expl
Zitieren
#20
(26.02.2015., 06:04)Dr.Evil schrieb: .

Das stimmt nicht, für eine Authentifizierung benötigt man den privaten Schlüssel.

Wenn ich das richtig verstehe braucht man den privaten nicht zur Authentifizierung sondern nur zum entschlüsseln der Nachrichten, die mit dem öffentlichen Schlüssel verschlüsselt wurden.
Zitieren
#21
Ja, man braucht den privaten Schlüssel in erster Linie um Nachrichten zu entschlüsseln. Er wird aber auch zur Authentifizierung (= beweisen, dass man im Besitz des privaten Schlüssels ist) benutzt. In Threema passiert das alles unter der Haube.


siehe Wikipedia
Zitieren
#22
...wobei in diesem Zusammenhang auch von digitaler Signatur gesprochen wird - das ist nochmal was anderes als die Authentifizierung mit den grünen Punkten...
Zitieren
#23
Der QR Code ist nur eine Bestätigung für deinen öffentlichen Schlüssel! Der private Schlüsseln verlässt das Gerät nicht! Mein Gegenüber braucht diesen Schlüssel nicht. Warum sollte Threema ihn also ohne Grund exportieren?
Zitieren
#24
So - und um das Ganze abzuschließen - hier die Antwort vom Threema-Support zu dem Thema.

Zitat:Sie können das persönliche Scannen ersetzen, wenn Sie zum Beispiel per E-Mail einen Screenshot des QR-Codes austauschen und diesen abscannen. Dies erfüllt natürlich nicht den eigentlichen Sinn der grünen Vertrauensstufe, da nur ein persönliches Scannen die höchste Sicherheit, dass es sich dabei tatsächlich um die Person handelt, gewährleistet.

Mir persönlich zu schwammig und es kommt nicht direkt heraus, ob es nun "grob fahrlässig" wäre oder nicht.
Insofern...
Zitieren
#25
"Grob fahrlässig" wohl eher nicht - Sicher? Kommt darauf an:
  • Kontakt schickt dir seinen QR-Code in Threema
    -> unsicher, da du nicht weißt, ob es sich um die "richtige" Person handelt (würde trotzdem grün werden, da ID/öff. Schl. ja zum Gegenüber passen)
  • per E-Mail
    -> schon besser, da du ja weißt welche E-Mail-Adresse(n) Person X besitzt
  • persönliches Treffen
    -> 100% sicher, du weißt dass der öffentliche Schlüssel von Person X ist
Mit dem QR-Code an sich kann ja kein anderer etwas "schlimmes" anstellen, denn wenn Eve den QR-Code von Bob an Alice schickt, kommt ja ein Fehler (ID/öff. Schl. passen ja nicht zu Eve).
Zitieren


Möglicherweise verwandte Themen…
Thema Verfasser Antworten Ansichten Letzter Beitrag
Question Passwort ändern - wie? Support Formular 1 771 24.12.2018., 08:29
Letzter Beitrag: jnL
Question Nickname von Kontakten ändern Support Formular 1 583 07.12.2018., 11:57
Letzter Beitrag: Aries
  Welche Bedeutung haben die drei Punkte - rot, orange und grün? 4 4.716 26.02.2016., 11:32
Letzter Beitrag: Chris