Unser Blog

Sicheres Messaging?

Posted by KAB in IT Sicherheit on 14. Juni 2013 with No Comments

Messagingdienste überall präsent: Früher haben wir SMS verschickt, inzwischen nutzen wir auch im geschäftlichen Umfeld andere Messagingdienste wie WhatsApp, iMessage, Skype, Viber, Kakao oder, oder, oder. Schnell und komfortabel Nachrichten auszutauschen, Fotos verschicken, Videos, Geodaten… ist ja auch sehr bequem. WhatsApp als Marktführer glänzte in der Vergangenheit immer wieder mit Sicherheitslücken in der Authentifizierung oder unverschlüsselten Nachrichten. iMessage besitzt zwar eine Ende-zu-Ende Verschlüsselung, ist aber nur für iOS verfügbar und was wie wo verschlüsselt wird kann man auch nicht sagen. Was die anderen Marktteilnehmer machen…

Auf Grund dieser Nachteile sind die bisherigen Messenger Apps nur mit Vorsicht im geschäftlichen Umfeld zu benutzen. Gerade bei Forschung, Entwicklung, Export/Import, mal eben verschickte Passwörter und Zugangsdaten (“Ach, das geht unter und bekommt sowieso keiner mit”) wissen wir spätestens seit dieser Woche (Stichwort “Prism”), dass vieles gespeichert und analysiert wird.

Ein paar Schweizer haben sich zu dem Thema Gedanken gemacht und sind dann im Januar mit dem neuen Messenger Threema zuerst in den AppStore gekommen und seit 3 Wochen auch im Google Play Store. Was Threema kann?

  • Asymetrische Verschlüsselung mittels Public/Private Key Verfahren
  • Ende-zu-Ende Verschlüsselung, d.h. nur Sie und Ihr gegenüber können die Nachrichten lesen
  • Passwortgeschützter Export des privaten Schlüssels
  • ID’s scannen: Die ID wird als 3D Barcode erzeugt zum Austausch von Kontaktdaten
  • Versand von Fotos, Videos, Geolocation
  • Verfügbar für iOS ab Version 5 (auch iPad!) & Android (1,79€/1,60€)

Weitere Funktionen wie z.B. Gruppenchat sollen nach und nach integriert werden.

Bei der Einrichtung wird man zur Schlüsselgenerierung aufgefordert in dem man möglichst zufällig den Bildschirm berührt. Dabei werden 2 Schlüssel generiert:

  • Der öffentliche für jeden, damit der Gegenüber einem schreiben kann
  • Der private, damit man die Nachrichten, die mit dem öffentlichen verschlüsselt wurden, wieder entschlüsseln und somit lesen kann.Das gleiche Prinzip nutzt OpenPGP für Emailverschlüsselung.

Wenn das einmal geschehen ist, ist Threema auch schon einsatzbereit. Hervorzuheben ist das Vertrauenssystem welches in Threema integriert ist. Dabei wird für den öffentlichen Schlüssel ein 3D-Barcode generiert, den das Gegenüber beim persönlichen Treffen scannen kann und somit als vertrauensvollen Kontakt bewertet, quasi als Identitätsprüfung. Weniger vertrauenswürdige Gegenüber werden farblich anders dargestellt. Natürlich kann man auch mittels Telefonbuch seine Kontakte suchen, die werden dann farblich anders dargestellt.

Threema ID

Threema Einstellungen

Threema Einstellungen

Die Einstellungen sind sehr übersichtlich, bieten aber alles notwendige.

Fazit: Threema ist ein guter Ansatz für vertrauenswürdige Kommunikation mit Ende-zu-Ende Verschlüsselung. Es wird garantiert kein Massenprodukt, aber für Menschen, die Wert auf vetrauenswürdige Kommunikation legen bestimmt zu empfehlen. Das Geld ist es allemal wert und der Komfort ist auch für den Normaluser sehr gut. Übrigens gilt die Lizenz von Threema für eine Identität, nicht für beliebig viele Geräte. Deshalb ist es wichtig hin und wieder die Einstellungen z.B. auf der SD-Karte zu sichern. Die verschlüsselten Nachrichten werden übrigens in der Schweiz bis zur Auslieferung zwischengespeichert.

Threema Website, Threema im Appstore, Threema im Play Store

*Sie sollten immer Bedenken, dass Sicherheit auf mobilen Geräten relativ ist. Wenn das Gerät gestohlen wird oder eine andere App Malware einschleust sind auch diese Maßnahmen hinfällig.

Schlagwörter: , , ,

Comments are closed.

Archiv

LoadingRetrieving latest tweet...

Back to Top

2017 © CLX|NET Alle Rechte vorbehalten. Impressum - Updates, Aktion, Netzwerkstatus via Twitter @clxnet