22. Februar 2014

Das Threema-Experiment – Teil 2: Threema – simpel eingerichtet, aber schwer verschlüsselt

Durch den Kauf von WhatsApp durch Facebook hat Threema in den vergangenen Tagen eine ungeahnte Zuwanderung neuer Nutzer bekommen. Laut eigenen Angaben hat man seine Nutzerzahlen über Nacht verdoppeln können. Dass ich gerade umgestiegen bin und das Experiment Threema durchführe, hat rein gar nichts mit dem Aufkauf von WhatsApp zu tun. Ich habe diesen weder geahnt, noch das Experiment erst danach gestartet. Ich habe mich von WhatsApp aus den vorhergehenden Gründen getrennt und bereue bis heute nichts. Im heutigen Artikel möchte ich euch kurz erklären, was Threema ist, wie es funktioniert und wie ihr es einrichtet.

Was ist Threema

Threema ist ein ganz gewöhnlicher Messenger, wie der Messenger von Facebook, WhatsApp, Lime, Telegram und wie sie alle heißen. Letztlich hast du eine Liste mit all deinen Kontakten, kannst Einzelnachrichten und Gruppenchats führen, Dateien hin und her senden und das ganze via Internet. Dabei werden deine Nachrichten ähnlich WhatsApp nur solange auf den Servern gespeichert, wie sie nicht zugestellt wurden. Kommt der Kontakt online und ruft seine Nachrichten ab, so werden diese auch von den Servern gelöscht (da traue ich Threema aber mehr als WhatsApp, dass es wirklich geschieht -.-).

Threema setzt seinen Fokus allerdings ganz klar auf die Sicherheit und Verschlüsselung der Nachrichten und möchte sich dadurch hervorheben. Hierbei kommt den Entwicklern nicht nur zugute, dass sie aus der Schweiz kommen, die Server für den Nachrichtenversand in der Schweiz stehen und somit noch strengere Datenschutzbestimmungen als in Deutschland zu berücksichtigen haben, sondern auch das Setzen auf eine End-zu-End-Verschlüsselung. Das heißt also, dass eure Nachrichten auf eurem Smartphone verschlüsselt, dann an den Server gesendet und erst wieder beim Chatpartner auf dem Gerät entschlüsselt werden.

Da man hier auf eine asymmetrische ECC-Verschlüsselung, mit einer Stärke von 255 Bits setzt, kann niemand zwischen dem Sender und dem Empfänger diese Nachrichten entschlüsseln. Das heißt, dass nicht mal die Entwickler selber auf dem Server Zugriff auf die Klartext-Nachrichten haben.

Funktionsweise

Wie bereits erwähnt, wird bei Threema ein großer Wert auf Verschlüsselung gesetzt. Hierbei kommen sogenannte öffentliche und private Schlüssel zur Anwendung. Beim Einrichten von Threema (siehe weiter unten) wird praktisch ein vollkommen willkürlicher und individueller privater Schlüssel aus Zahlen und Buchstaben generiert, der theoratisch und auch unter normalen Verhältnissen praktisch unerratbar ist.

Im weiteren Verlauf der Einrichtung meldet man sich dann bei den Threema-Servern an und bekommt eine achtstellige Identifikationsnummer zugewiesen. Diese ID ist mit einem öffentlichen Schlüssel verknüpft, der auf den Servern von Threema liegt.

Nun hat man auch die Möglichkeit seine Telefonnummer beziehungsweise eine Email-Adresse bei Threema zu registrieren, was den Vorteil hat, dass andere dich in ihrer Liste finden, wenn sie eins von beiden in deinen Kontaktdaten gespeichert haben.

Die Nachrichten werden also generell mit der starken Standard-ECC-Verschlüsselung verschlüsselt. Um allerdings wirklich zu verhindern, dass die Daten unterwegs geknackt werden, werden die Nachrichten auch in Kombination mit dem öffentlichen und dem privaten Schlüssel vercryptet. Sprich, der Postbote sieht zwar auch nie was in einem Paket enthalten ist, weil im Standard Paketpapier drum herum ist, aber wenn das Päckchen zusätzlich ein Schloss hat, wozu nur die beiden Chatteilnehmer den Schlüssel besitzen, kann auch der Postbote nicht heimlich lunschen :-).

Damit ist schon fast das ganze Prinzip erklärt. Threema setzt jetzt nämlich auf drei Sicherheitsstufen, die letztlich ebendiese Vertrauenswürdigkeit des Nachrichtenverkehrs widerspiegeln sollen.

Rot:

Die rote Sicherheitsstufe erscheint dann, wenn ich keinerlei Daten von dem Gegenüber habe. Ich habe ihn also über seine achtstellige ID hinzugefügt und habe somit weder den öffentlichen, noch den privaten Schlüssel von ihm. Somit wird der Nachrichtenverlauf zwar mit dem Standard verschlüsselt, aber es ist und bleibt der Standard.

Orange:

Diese Stufe wird so ziemlich die häufigste in eurer Kontaktliste sein. Diese sagt aus, dass die Threema-Server Daten haben, die auch bei dir lokal vorliegen. Ob nun die Handynummer oder die Email-Adresse des Nutzers, aber somit ist es schon mal möglich, den öffentlichen Schlüssel vom Server herunterzuladen und euren Nachrichtenversand in Kombination mit dem Standard zu verschlüsseln.

Grün:

Die grüne Stufe heißt, widererwarten, dass ihr auf höchster Sicherheitsstufe miteinander kommuniziert. Das bedeutet also, dass man den anderen mal getroffen hat und seine ID abgescannt oder abgetippt hat und sie dem eigenen lokalen Kontakt zugeordnet hat. Somit hat man also den privaten Schlüssel des anderen und die künftigen Nachrichten werden mit ECC-Standard, dem öffentlichen Schlüssel und dem privaten Schlüssel kombiniert verschlüsselt.

[tl-hinweis Der private Schlüssel verlässt euer Gerät niemals! Nicht mal Threema weiß ihn. Er wird lokal erstellt und sollte daher niemals über das Netz verschickt werden. Orange reicht vollkommen aus und für grün solltet ihr euch wirklich beim nächsten Treffen kurz zusammensetzen und euch gegenseitig abscannen!!!]

Einrichtung

Anfangen müssen wir logischerweise mit dem Herunterladen und Installieren von Threema.

Threema
Threema
Entwickler: Threema GmbH
Preis: 2,99 €
Threema
Threema
Entwickler: Threema GmbH
Preis: 3,49 €

[tl-hinweis Ja die App kostet einmalig 1,79 €. Da allerdings Threema damit im Gegensatz zu WhatsApp gleich von Anfang an ein Finanzierungskonzept vorgestellt hat, kann man sich schon ein wenig sicherer sein, dass da keine Daten verkauft werden und nicht irgendwann Werbeeinblenungen erscheinen. Sicherheit sollte einem das wenige Geld wert sein!]

Nach der erfolgreichen Installation begrüßt euch der erste Bildschirm, wo ihr mit einem eurer Finger einen ganz persönlichen Schlüssel generieren müsst. Hier einfach ein wenig den Finger bewegen bis der Balken oben voll ist.

Im nächsten Bildschirm wird euch eure ID angezeigt, die ihr euch zwar merken könnt, aber nicht unbedingt braucht.

Nun könnt ihr noch Threema die Erlaubnis erteilen, euer Telefonbuch zu durchsuchen.

[tl-hinweis Hierbei werden die Daten nur kurz auf den Servern abgeglichen und sofort wieder gelöscht. Sprich, es findet nach eigenen Angaben keine Langzeitspeicherung statt. Aus diesem Grund kann es vorkommen, dass neu hinzugefügte Kontakte erst nach 24 Stunden korrekt angezeigt werden (also auch wenn Handynummer oder Email-Adresse eigentlich im Telefonbuch vorhanden sind). Denn der Abgleich erfolgt nur alle 24 Stunden.]

Also Empfehlung? Schaltet es an!

Im nächsten Schritt könnt ihr euch nun über eure Handynummer und/oder Email-Adresse authentifizieren. Hier müsst ihr einfach abwägen, was eure Kontakte im meisten Falle von euch haben. Ihr solltet aber auf jeden fall eines von beiden machen.

Nach der Registrierung eines Datensatzes könnt ihr euch noch einen öffentlichen Nicknamen ausdenken, der bis dato allerdings nur bei iOS-Geräten angezeigt wird.

Im letzten Schritt könnt ihr noch überlegen, ob ihr ein Passwort erstellen wollt zum Schutze der Threema-App. Diese muss wie die PIN-Nummer beim Neustart des Gerätes erneut eingeben werden. Muss nicht, solltet ihr aber vergeben. Allerdings solltet ihr euch das Passwort gut merken, denn ohne kommt ihr da nicht mehr ran und wäre ja schade um die Nachrichten.

Fertig? Fertig. Das war´s auch schon. Nicht schlimm oder? :-)

Besonderheiten

Joar, Threema ist eben kein WhatsApp. Weder hat man eine fünfjährige Bestehensgeschichte zu verzeichnen, noch die große Nutzerschaft bisher. Das muss man sich immer wieder vor Augen führen und auch ich entdecke bis heute immer wieder neue Eigenarten oder Funktionen, die diese App mit sich bringt. Der Mensch ist eben ein Gewohnheitstier und man sollte Threema nicht gleich abstempeln, nur weil da einige Sachen anders sind als beim geliebten WhatsApp. Gebt dem ganzen eine Chance.

Einige Dinge habe ich den Threema-Entwicklern bereits geschrieben und ich hoffe, dass alsbald ein Update mit den Umsetzungen herauskommt.

Bisherige Fehlerliste bzw. fehlende Funktionen, die mir aufgefallen sind:

Teilnehmer nachträglich zum Gruppenchat hinzufügen

Man kann zwar Gruppenchats erstellen, allerdings keine Teilnehmer mehr nachträglich hinzufügen. Hierbei muss man immer wieder eine neue Gruppe erstellen, was natürlich nicht nur den Nachrichtenverlauf nichtig macht, sondern auch ein bisschen Arbeit bedeutet. Dringende Umsetzung erwünscht

Bestätigung auch als Push

Man kann sich das “Joar”, “Jo”, “Ok” und “Jop” als Bestätigung des Nachrichtenlesens bei Threema sparen, denn bei langem Druck auf eine Nachricht bekommt diese einen Haken und suggeriert dem Gegenüber eine Bestätigung, dass man die Nachricht gelesen und verstanden habe. Problem ist nur, dass man nicht ständig wieder reinschaut und vielleicht auf eine Antwort wartet und dann reinschauen muss um das Häkchen zu sehen. Besser wäre hier eine Benachrichtigung, dass die Nachricht bestätigt wurde. Ebenfalls dringende Umsetzung erwünscht.

Dateiversand unterstützt bisher nicht alle Dateien

Der Dateiversand unterstützt derzeit leider nicht jeden Dateityp. Sollte ebenfalls dringend aktualisiert werden.

Medien-Dateien nicht als im Dateisystem bei Android

Bei WhatsApp habe ich mir mit Tasker meine erhaltenen Bilder und Videos via WhatsApp immer auf dem PC abgespeichert, um diese auch irgendwie zu archivieren. Bei Threema gibt es die Möglichkeit nur in der iOS-Version. Bei Android kann man nur die Auflösung einstellen, aber nicht dass man die Mediendateien herunterladen kann.

Fazit

Kurzes Fazit – gebt Threema eine Chance. Teilt diesen Beitrag, redet mit Freunden über Verschlüsselung und Co. und beschäftigt euch mit dieser oder anderen Apps, die ihren Fokus auf Sicherheit der Nutzerdaten gelegt haben. Threema war für mich die wirklich sinnvollste Alternative, aber das erfahrt ihr im nächsten Teil der Serie. Also folgt uns fleißig und verpasst nicht die Fortsetzung.

Pushbullet: erste Beta-Version für Windows erschienen

Im Zeitalter von vielen Geräten hat man immer wieder das Problem, dass man zwar auf Gerät A eine Datei hat, diese aber auf Gerät B benötigt. Bei Android gibt es viele Möglichkeiten den Transfer zu realisieren. Hierbei sind sicherlich Cloud-Dienste wie Dropbox, SkyDrive und Google Drive zu nennen, aber auch die App AirDroid oder BitTorrent Sync machen hier einen guten Job.

Eine etwas andere Anwendung hatte ich vor einiger Zeit schon einmal vorgestellt – Pushbullet. Die Jungs und Mädels machen verdammt gute Arbeit und können neben Dateitransfer inzwischen auch Benachrichtigungen anzeigen lassen. So ist es möglich mal flott Texte, Links oder Dateien zwischen den angemeldeten Geräten auszutauschen. Hierbei ist allerdings der Einsatz von Google Chrome beziehungsweise Firefox eine Voraussetzung, da es bisher nur für diese beiden Browser Erweiterungen gibt. Die Verbindung wird dann über das Google Konto hergestellt, womit alle Geräte verbunden sein müssen.

Nun geht man einen Schritt weiter und hat eine erste Beta-Version für Windows veröffentlicht. Diese soll den Sprung von reiner Browser-Erweiterung auf den Desktop ermöglichen und sah auf den Blick sehr vielversprechend aus. Unbedingt anschauen, wenn man genauso fleißig wie ich ist und stetig Dateien hin und herschiebt. Simpler geht’s nun nimmer :-).

Pushbullet - SMS on PC and more
Pushbullet - SMS on PC and more
Entwickler: Pushbullet
Preis: Kostenlos+

Quelle: Pushbullet Blog

WhatsApp 2Date: Hier gehts zum Download

Anlässlich meines Artikels von eben, hier noch einmal die beiden Möglichkeiten für den Download der App. Wir werden natürlich auch weiterhin berichten, wenn neue Funktionen bei WhatsApp 2Date veröffentlicht werden.

[perma-whatsapp2date-androidapp]

[tl-hinweis Wir bieten absichtlich keinen eigenen Download an, geben aber eine Empfehlung der beiden folgenden Quellen, da sie vom Entwickler selber empfohlen wurden.]

[tl-download http://beste-apps.chip.de/android/app/whatsapp-2date-android-app,cxo.64324657/# WhatsApp 2Date bei Chip Online]

[tl-download http://porcupine.de/ WhatsApp 2Date offizielle Downloadseite]

[tl-hinweis Zur Installation muss der Haken “Installationen aus unbekannten Quellen” in den Systemeinstellungen aktiviert sein!]

[thumbs-whatsapp2date-androidapp]

Die Geschichte von WhatsApp und WhatsApp 2Date: so sollte man NICHT mit nützlichen Erweiterungen um

Heute wende ich mich an euch mit einem Thema, was mir seit Tagen schon unter den Fingern brennt und einfach erzählt werden muss. Bekanntlich bin ich ein fleißiger Nutzer der App WhatsApp 2Date gewesen, die es mir ermöglicht hat aktuellere WhatsApp-Versionen zu installieren, die noch nicht die breite Masse besitzt (gewesen, da ich bekanntlich kein WhatsApp mehr habe).

Möglich ist die Installation von Beta-Ausgaben über die Webseite von WhatsApp. Diese haben nämlich scheinbar die Möglichkeit des Alpha- und Betakanals im Google Play Store noch nicht entdeckt und bieten daher oldschool die aktuelle Beta-Version auf ihrer Webseite an. Andy hat sich daher im letzten Jahr hingesetzt und eine App entwickelt, die nichts anderes macht, als sich die aktuelle Version von der WhatsApp-Seite herunterzuladen und zur Installation anzubieten.

Feine Sache, die auch im Dezember mit dem Erreichen von einer Million Downloads belohnt wurde. Sie war also beliebt und wurde hin und wieder bei uns und auch in anderen Tech-Medien genannt. Nun aber räumte WhatsApp vor zwei Wochen ein wenig das Netz auf und saugte mal so richtig in den App-Stores und bei Github durch und entfernte alles, was irgendwie auf Webseite oder API zu griff, das Logo verwendete oder die Bezeichnung WhatsApp im Namen trug.

Laut Google hieß es erst, man habe die App aufgrund von missbräuchlichem Nutzen von Berechtigungen aus dem Play Store verbannt. Im Wortlaut:

[…] für diese App die Installation externer Quellen aktiviert werden muss.

Soll heißen, eine Funktion die Google selber in Android anbietet, ist verboten durch eine App zu nutzen!? Macht genauso viel Sinn wie die klischeehafte Frauenlogik mit Männerlogik gleichzusetzen -.-.

Nachdem nun zwei Tage darauf herauskam, dass WhatsApp der Putzteufel war, Google hier aber den schwarzen Peter spielen musste, entschloss man sich seitens der WhatsApp 2Date Entwickler dagegen vorzugehen. Ein Ersuchen bei Google brachte nichts und auch ein erweitertes Hochladen bei AndroidPit hielt nur einen Tag ehe es entfernt wurde.

Andy blieb also nichts anderes übrig als sich andere Wege zu suchen, den Download der nützlichen App anzubieten. Eine Möglichkeit bestand bei Chip Online, die auch weiterhin existiert oder natürlich selber eine Downlodseite zu stellen, die allerdings weder beliebt noch schnell gefunden würde. Diese beiden Möglichkeiten gibt es also derzeit, wie man an die App herankommt.

[tl-meinung] Was ich erschreckend finde? Ganz einfach – der Umgang von WhatsApp mit nützlichen Funktionen. Die App von Andy bietet (so muss man es ehrlich betrachten) keine Funktion, die WhatsApp nicht selber bieten könnte. Für solche Fälle gibt es seit “einiger Zeit” den Beta- und Alpha-Kanal im Google Play Store. Auch wenn ich es Andy nicht wünsche, da er sicherlich den ein oder anderen Cent mit der App aufgrund von Werbeeinblendungen verdient, wäre seine App vollkommen nutzlos, wenn WhatsApp mehr Erfahrung über die Developer Tools des Android-Stores hätte.

Wenn sie es aber selber nicht mitbekommen, dann kann man doch froh sein, dass es Apps wie die von Andy gibt, oder? Also warum sperrt man eine App, die eine Funktion aufweist, die man selber nicht hat und die einem Unternehmen nicht schadet? Im Gegenteil – so berichten wir früher als alle anderen Tech-Medien von Features und helfen dem Dienst dadurch, dass sich mehr Menschen dafür interessieren. Oder verlangen sie allen Ernstes, dass ich jeden Tag manuell auf ihre Seite gehe und nachschaue, ob vielleicht eine neue Version erschienen ist? Auch wenn es logo- oder namensrechtliche Probleme gegeben hätte, hätte Andy es umbenennen oder ein anderes Logo hochladen können. Aber ohne Worte? Ne Leute, das geht garnicht!

Nichts desto trotz hat WhatsApp vor einigen Tagen die Datenschutzoptionen in der Beta-Version freigeschaltet und nun können auch Android-Nutzer ihren “Zuletzt online”-Status verbergen. Andy hat das über 2000 neue Downloads seiner App gebracht und WhatsApp wieder in die Kritik, Updates nicht schnell genug der breiten Masse zur Verfügung zu stellen. Denn im Google Play Store ist die neue Version bis dato immer noch nicht angekommen. Schade WhatsApp, so macht man es also NICHT!

WhatsApp Messenger
WhatsApp Messenger
Entwickler: WhatsApp Inc.
Preis: Kostenlos

Facebook: Konto nach dem Ableben auf Gedenkzustand setzen

Es klingt wie es klingt: abgefahren. Aber wir müssen uns mit den Tatsachen der heutigen Welt beschäftigen und dazu gehört die tiefe Integration von Facebook und Co. in unser soziales Leben nun mal dazu. Selbst wenn man selber dem Netzwerk seine Nutzung versagt, so gibt es wohl hier und da immer einen Bekannten, Freund oder Verwandten der seine Erlebnisse und Daten dort mit seinen Leuten teilt.

[perma-facebook]

Nun ist es so, dass der Mensch eine begrenzte Lebensdauer hat. Meistens ist es leider viel zu früh, dass diese Begrenzung eintritt, aber es kann ja vorkommen, dass man plötzlich die Verantwortung trägt nach dem Ableben eines geliebten Menschen sein Hab und Gut zu verwalten und sein Leben auch rein rechtlich abzuschließen mit allen Abmeldungen und der Bürokratie die so dazu gehört. Leider vergisst man aber auch, dass es im Internet noch sämtliche Accounts gibt. Diese müssen auch zur Löschung beantragt werden oder gammeln eben einfach so vor sich hin.

Facebook, wie gesagt als Teils unserers Lebens, bietet neben der Löschung eines Accounts auch das Versetzen in einen Gedenkzustand an. Dabei bleiben alle bisherigen Privatsphäre-Einstellungen erhalten. Also Beiträge die öffentlich gepostet wurden, die bleiben auch öffentlich, Beiträge die nur Ilse sehen durften, darf auch weiterhin nur Ilse sehen. Außerdem kann auch ein Lookback-Video erstellt werden, welches nach dem 10-jährigen Jubiläum von Facebook eine tolle Funktion war. Diese hilft sicherlich nochmal um in Erinnerung zu schwelgen.

[perma-facebook-alookback]

[tl-meinung] Ihr haltet das sicherlich für verrückt? Ja, das kann ich verstehen. Aber man darf Facebook und andere soziale Medien nicht vergessen, denn darüber sind schon Freundschaften, Beziehungen und wunderbare Erlebnisse zustande gekommen. Der ein oder andere erinnert sich sicherlich gerne daran, wie er Person XYZ auf Facebook wieder getroffen oder kennengelernt hat. Ich finde es eine praktische Funktion von Facebook, um den geliebten Menschen wenigstens für eine Weile noch “zu erhalten”. Vielleicht also mal ein Tipp am Rande, ehe gleich die Löschung beantragt wird!

[thumbs-facebook]