{"id":460,"date":"2013-08-20T13:44:18","date_gmt":"2013-08-20T11:44:18","guid":{"rendered":"http:\/\/blog.patricksauer.net\/?p=460"},"modified":"2014-02-04T18:41:28","modified_gmt":"2014-02-04T16:41:28","slug":"threema-sichere-alternative-zu-whatsapp","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/it-sicherheit\/threema-sichere-alternative-zu-whatsapp\/","title":{"rendered":"Threema: Sichere Alternative zu WhatsApp"},"content":{"rendered":"<p>Nachdem Whistle.im ein gutes Beispiel daf\u00fcr ist, wie man Verschl\u00fcsselungstechniken <a href=\"http:\/\/blog.patricksauer.net\/security\/2013\/08\/whistle-im-ist-unsicher\/\">nicht in der Praxis umsetzt<\/a>, scheint es hingegen bei <a href=\"http:\/\/threema.ch\">Threema<\/a> gelungen zu sein: Threema setzt eine Ende-zu-Ende-Verschl\u00fcsselung ein, bei der die kryptographischen Schl\u00fcssel auf dem Endger\u00e4t des Benutzers liegen. Die Entwickler von Whistle.im sind im Gegensatz dazu auf die wahnsinnige Idee gekommen, alle Schl\u00fcssel zentral auf ihren eigenen Servern zu speichern.<\/p>\n<p>Threema ist leider nicht Open Source, sodass man nicht wie bei Whistle.im zur Analyse den kompletten Zugriff auf den\u00a0 Quelltexts besitzt. Ausgehend von den offiziellen Informationen von Threema scheint das Sicherheitskonzept durchdacht zu sein. Threema generiert das eigene Schl\u00fcsselpaar lokal und geheime Schl\u00fcssel werden niemals \u00fcbertragen. Besonders gut finde ich die drei verschiedenen Stufen, in denen die Echtheit des Absenders eingeteilt wird. Die h\u00f6chste Sicherheitsstufe erreicht man, wenn man dem Absender zuvor pers\u00f6nlich begegnet ist und die beiden beteiligten Smartphones sich per QR-Code verifiziert haben. Ein pers\u00f6nliches Treffen ist jedoch nicht zwingend Voraussetzung f\u00fcr eine verschl\u00fcsselte Kommunikation.<\/p>\n<p>Die verwendeten kryptographischen Verfahren d\u00fcrften als sicher angesehen werden. Die schlimmsten Fehler entstehen im Einsatz von Krypto wie bei Whistle.im eher im grunds\u00e4tzlichen Design einer Anwendung. Solange man nicht auf die bl\u00f6de Idee kommt, kryptographische Verfahren selbst zu implementieren, sollte man auf der sicheren Seite sein. Das ist ohnehin weder bei Whistle.im noch bei Threema der Fall. Daf\u00fcr ist die Sicherheit in Whistle.im broken by design.<\/p>\n<p>Ausgehend von den vorliegenden Informationen, kann man Threema als sicher betrachten. Die Verschl\u00fcsselung wird eher nicht angreifbar sein. Der einzige offensichtlich m\u00f6gliche Angriffsvektor besteht in der Applikation selbst: Ist sie nicht Open Source, l\u00e4sst sich nur sehr schwer nachvollziehen, was im Hintergrund passiert. In wie weit man ihr vertraut, muss jeder selbst wissen. Sicherer als WhatsApp oder das security broken by design Whistle.im wird es sein.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nachdem Whistle.im ein gutes Beispiel daf\u00fcr ist, wie man Verschl\u00fcsselungstechniken nicht in der Praxis umsetzt, scheint es hingegen bei Threema gelungen zu sein: Threema setzt eine Ende-zu-Ende-Verschl\u00fcsselung ein, bei der die kryptographischen Schl\u00fcssel auf dem Endger\u00e4t des Benutzers liegen. Die Entwickler von Whistle.im sind im Gegensatz dazu auf die wahnsinnige Idee gekommen, alle Schl\u00fcssel zentral &#8230; <span class=\"more\"><a class=\"more-link\" href=\"https:\/\/security.sauer.ninja\/de\/it-sicherheit\/threema-sichere-alternative-zu-whatsapp\/\">[Read more&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[34],"tags":[54,50,53,51,48],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-460","6":"format-standard","7":"category-it-sicherheit","8":"post_tag-instant-messaging","9":"post_tag-kryptografie","10":"post_tag-threema","11":"post_tag-verschluesselung","12":"post_tag-whistle"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/460","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=460"}],"version-history":[{"count":5,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/460\/revisions"}],"predecessor-version":[{"id":465,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/460\/revisions\/465"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=460"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=460"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=460"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}