seiner Reihe „Digitale Selbstverteidigung – Einfach erklärt“ gibt Alexander Lehmann einen Überblick darüber, wie man sicher kommunizieren kann.
Das Video weist dabei auf zwei wichtige Kriterien für eine sichere Kommunikation hin:
- Ist die Kommunikation Ende zu Ende verschlüsselt?
- Ist der Quellcode des Programms einsehbar?
Ende-zu-Ende-Verschlüsselung garantiert, dass nur die gewünschten Gesprächspartner die Möglichkeit zur Entschlüsselung der Nachrichten haben und es keine Möglichkeit für uneingeladene Dritte – egal, ob das die Hersteller der App oder Geheimdienste sind – gibt, sich in den Chat einzuklinken.
Die App sollte außerdem Open Source sein, damit der Quellcode und besonders die richtige Implementierung der Verschlüsselung von unabhängigen Stellen laufend kontrolliert werden kann. Das ist bei beliebten Messengerdiensten wie WhatsApp oder Threema leider nicht der Fall. Bei Telegram ist zwar der Quellcode der App offen, die Software des Servers jedoch ist Closed Source, was nur eines der Probleme der App darstellt.
Zu empfehlen ist der auch von Edward Snowden genutzte Messenger Signal, welcher sowohl Open Source ist als auch bewährte Ende-zu-Ende Verschlüsselung nutzt.
In diesem Artikel fehlt ganz klar der Himweis auf Kontalk. (www.kontalk.org)
Bei diesem Projekt kommen offene Standards wie PGP und XMPP zum Einsatz.
Das Projekt finanziert sich komplett aus freiwilligen Spenden.
Server und Client sind komplett Opensource.
Server können und werden durch die Community zur Verfügung gestellt.
Somit ist es praktisch ausgeschlossen das ein einzelnes Unternehmen die alleinige Kontrolle über die Kommunikation erlangt.
Bei oben genannten Messengern ist dies leider anders.
Ohne ABER geht es auch bei Kontalk nicht.
Es gibt bisher nur einen Android und einen Desktopclient.
Gruppenchat gibt es auch noch nicht. Aber in den nächsten beiden Monaten sollte diese Funktion implementiert sein.
Nun noch etwas an die Autoren von Netzpolitik.org:
Immer wieder weist ihr darauf hin wie wichtig Opensource und Unabhängigkeit sind.
Und dann werden immer wieder Closedsource Projekte gepushed.
Eure Aufgabe sollte sein Kleine Projekte wie Kontalk zu stützen. Nur mit Projekten die nicht unter dem Druck stehen Profit machen zu müssen ist eine freie Kommunikation möglich.
Und mit ausreichender „Werbung“finden sich vielleicht auch Entwickler (auch für Ios) die in ihrer Freizeit solche Projekte zu unterstützen.
Ihr habt die Macht dazu. Nutzt sie ?
Man könnte hier jetzt auch noch viele andere Projekte erwähnen, ChatSecure + OTR funktioniert zum Beispiel auch super.
Kontalk ist ein interessantes Projekt, insofern verfolge ich das auch mit, aber es hat eben bisher keine große Nutzerbasis, was bei einem Messenger natürlich wichtig ist. Da erreicht man denke ich mehr Leute über ChatSecure + OTR, was sogar noch mehr Vorteile als Kontalk bietet, weil es genauso frei, sicher und dezentral ist, aber auf wirklich allen Plattformen inklusive der letzten Kaffeemaschine erhältlich ist.
Den zweiten Punkt verstehe ich nicht ganz, in diesem Artikel wird doch speziell darauf hingewiesen, wie wichtig Open Source Software ist. In anderen Artikeln passiert das meiner Meinung nach ganz genauso.
Ja, da hast du wohl recht.
OpenSource ist natürlich auch immer ein Thema.
Aber häufig wird dann wieder Threema als Alternative genannt.
Das ist klar ein guter Messenger den ich selbst auch nutze. Aber eben ClosedSource.
Ja, da hast du wohl recht.
OpenSource ist natürlich auch immer ein Thema.
Aber häufig wird dann wieder Threema als Alternative genannt.
Das ist klar ein guter Messenger den ich selbst auch nutze. Aber eben ClosedSource.
Signal wird auch häufig erwähnt.
Aber ich denke das es ein offenes standardisiertes Protokoll (XMPP) braucht um den großen Paroli bieten zu können.
Leider bleiben kleine,ehrgeizige Projekte auf der Strecke.
Keine Presse weil wenig Nutzer.
Und wenig Nutzer weil nicht bekannt.
Und nicht bekannt weil keine Presse.
Keine Presse weil wenig Nutzer…….
Und natürlich gibt es noch mehr kleine Projekte die erwähnenswert sind.
Kontalk habe ich nur als Beispiel angeführt da ich sehe das schon seit ein paar Jahren aktiv daran gearbeitet wird.
OTR steht übrigens auch auf dem Plan.
Nur ein Mann alleine kann da natürlich nicht alles stemmen.
Dafür braucht es Presse ?
NaCl, die Verschlüsselungsbibliothek, welche Threema einsetzt, ist übrigens open source. Was leider in diesem Zusammenhang viel zu wenig zur Sprache kommt, sind Metadaten. Dass (wie neuerdings bei WhatsApp) Inhalte verschlüsselt werden, ist erst die halbe Miete.
Ups, da habe ich wohl den falschen Text eingefügt.
Der erste Absatz sollte einen anderen Inhalt haben.
Mein Traum für den Messengermarkt ist:
Es gibt für verschiedene Bedürfnisse verschiedene Messenger mit einem gemeinsamen Nenner: XMPP.
Bei Mail hat sich SMTP bewährt.
Das hat aber nur funktioniert weil es keine Insellösungen gab, sondern ein offenes standardisiertes Übertagungsprotokoll.
Und so kann ich mich für oder gegen einen Mailprovider entscheiden und dennoch mit jedem kommunizieren der eine Mailadresse hat. Egal ob Gmail, GMX oder seinen eigenen Server aufsetzt.
So gut Signal auch sein mag.
Sie haben wieder ein eigenes Protokoll erfunden und damit eine weitere Insel geschaffen.
Das jedenfalls ist meine laienhafte Meinung.
Aber nicht von uns, der letzte Treffer für „Threema“ gibt mir einen Artikel mit dem Titel „Tschö Threema: WhisperSystems stellt Signal 2.0 vor, einen TextSecure-kompatiblen Open Source Messenger für iOS„, das ist ja wohl eher das Gegenteil von Werbung für Threema/Closed Source.
Der Teufelskreis aus „wenig Aufmerksamkeit, weil klein – klein, weil wenig Aufmerksamkeit“ ist natürlich real, aber in dem befindet sich selbst Signal noch.
Ich verstehe deine Kritik bzw. deine Wünsche trotzdem, nur ist es in einem Vergleich mit WhatsApp, Telegram und Threema schwerer XMPP + OTR zu empfehlen, als eine App wie Signal, die selbst technisch nicht versierten Leuten sehr sichere Verschlüsselung ermöglicht.
Kontalk setzt genau da an.
XMPP als offenes Protokoll und die (gehashte) Telefonnummer als Nutzername.
Also von der Bedienung einfach wie WhatsApp durch GPG sicher verschlüsselt.
Ob und wieviele Metadaten auf dem Sever gespeichert werden weiß ich nicht.
Aber da der Server OpenSource ist ließe sich das nachprüfen.
Hättest du dir mal Kontalk angeschaut wäre dir das aufgefallen *fg*
Mir ist da beim Schreiben gerade eine (gute???) Idee gekommen.
Vorab erst mal bevor ein falscher Eindruck entsteht, ich schätze die Arbeit von Netzpolitik.org sehr.
Wie wäre es wenn der nächste Praktikant mal ein paar Tage/Wochen Zeit bekommt um zu recherchieren?
Mit der Aufgabe einen Artikel zu schreiben über Messenger die man noch nicht aus der Computerbild oder Chip kennt.
Eben kleinere Projekte bei denen man mit den Entwicklern in Kontakt treten muss um Einzelheiten zu erfahren weil es noch nicht viele Informationen gibt.
Um solche Projekte zu finden, könntet ihr Vorschläge von Lesern sammeln.
Fragt doch im nächsten Newsletter einfach mal danach.
Ich denke das wäre durchaus eine spannende, echte journalistische Arbeit und kleine Projekte die kein Geld für Werbung haben, könnten sich präsentierten.
Quasi eine Win Win Situation :-)
Wie gesagt, das ist nur so eine Idee.
Hab ich, das Problem bei Kontalk war aber wie gesagt die (leider) sehr geringe Verbreitung.
Der Beitrag hier sollte das Video ins Zentrum stellen und bewusst keine tiefgehende Analyse werden, daher ja auch „Kurzmeldung“.
Die Idee nehm‘ ich trotzdem gerne mal so auf, danke.
Der Open-Source-Fanatismus nimmt allmählich bedenkliche Züge an. Klar, es bietet Vorteile, wenn eine Software quelloffen ist, aber sie ist damit noch nicht automatisch sicher (s. z.B. Heartbleed).
Was gegen das Modell verschiedener Messenger gemeinsamem Nenner XMPP spricht sind die Metadaten. Heute bieten auch Gmail und WhatsApp Verschlüsselung an, aber ich will z.B. nicht, dass Facebook (aus dem ich schon lange ausgetreten bin) mit wem ich wann, wie oft und von wo aus chatte. Daher verwende ich Threema, das ohne Angabe identitäntsbestimmender Informationen (wie der Rufnummer) verwendet werden kann.
Heartbleed wird ja oft als Beispiel angeführt um zu zeigen, dass Open Source nicht hundertprozentige Sicherheit garantiert. Das ist auch richtig, aber genauso ist es auch ein Beispiel für die Stärken von Open Source: nur durch einen offenen Code konnte die Schwachstelle doch erst von zwei unabhängigen Personen gefunden werden, die dann die Warnung weiter geben konnten. Und da soll es jetzt besser sein, dass der Code nicht offen und damit von jedermann überprüfbar ist? Ist es nicht, denn das führt nur dazu, dass Fehler länger ungefunden bleiben können, dass selbst wenn sie gefunden sind der öffentliche Druck fehlt sie zu beheben, und dass sie währenddessen von „bösen Mächten“ ausgenutzt werden können.
Der zweite Absatz ist völliger Blödsinn, bei Threema entstehen – wie bei jedem anderen Messenger- genauso Metadaten.
1.) Woher willst du wissen, dass diejenigen, welche die Öffentlichkeit über Heartbleed informiert haben, die ersten waren, welche die Schwachstelle entdeckten? Es ist möglich, dass sie schon zuvor über Jahre hinweg von Personen ausgenutzt wurde, die sie früher entdeckt hatten.
2.) Natürlich fallen auch bei Threema Metadaten an. Aber einerseits werden sie gelöscht, sobald die betreffende Nachricht zugestellt wurde, und andererseits kann Threema anonym genutzt werden, wodurch die Metadaten keinen Rückschluss auf die Identität der Nutzer zulassen. WhatsApp kann mit den Metadaten ein detailliertes Bild über seine Nutzer erstellen und es noch mit den Angaben aus Facebook ergänzen.
@Ben Siegler @OpenSource Unterstützer
Zum Thema dezentrale Messenger, Insellösungenund deren Problematik hat Moxie (ein Entwickler von Signal) gestern einen sehr gelungenden Artikel geschrieben:
https://whispersystems.org/blog/the-ecosystem-is-moving/
Auch wenn ich es traurig finde, ich muss Moxie da rechtgeben. Wirklich dezentrale System sind in der Praxis sehr schwierig umzusetzen. Zu viele Köche verderben oft den Brei :-(
Ich habe den Artikel gerade gelesen.
Wenn er wirklich recht hat, dann bedeutet das m. E. das wir jetzt alle WhatsApp installieren sollten.
Denn letztendlich geht es nur darum wer die größte Insel baut.
Und ich denke an die Insel WhatsApp
kommt.
Auch wenn er sicher in einigen Punkten nicht ganz Unrecht hat, so glaube ich doch es es nicht ganz so düster ist.
Ich glaube fest daran dass ein dezentrales System funktionieren kann.
Das dann nicht jeder Client alles kann ist klar.
Aber das muss kein Nachteil sein.
So kann ich mich gezielt für einen Client entscheiden der diverse Funktionen NICHT unterstützt.
Nur zur Verbildlichung:
Ich z.B. würde einen Client haben der KEINE (WhatsApp) Profilbilder unterstützt.
Ich finde Wahlmöglichkeiten hervorragend…..
Viel besser als einen bestimmten Messenger wiederwillig zu nutzen, nur weil ihn alle haben.
Vielleicht ist es aber auch einfach nur ein frommer Wunsch von mir und ich bin ein Träumer?
Wer weiß das schon so genau.
Schauen wir mal was die Zukunft bringt und ich noch lange von WhatsApp verschont bleibe…..
Es ist einfach Mist am Handy zu schreiben.
Der Satz „Und ich denke an die Insel WhatsApp kommt.“
sollte heißen: Und ich denke an die Insel WhatsApp kommt keiner ran.
Also wenn da noch andere seltsame Fehler sein sollten:
Sorry.
„das wir jetzt alle WhatsApp installieren sollten“
Meiner Meinung nein, da WA nicht transparent (genug) ist. Es geht eher in
Richtung „wenige haben Entscheidungsgewalt aber alle können draufschauen“. Also open source aber in der Hand weniger Menschen.
„Das dann nicht jeder Client alles kann ist klar. Aber das muss kein Nachteil sein.“
Doch. Leider. Denk dran, wir reden hier von Sicherheit, nicht von Features.
Wenn ein Client keine Profilbilder unterstützt ist das eine Sache. Aber
wenn ein Client es versäumt sich gegen neu-entdeckte Schwachstellen zu schützen, ist das sehr kritisch. Und das schlimmste: Wenn die anderen Clients trotzdem Kontakt halten wollen sind sie gezwungen die schwache Crypto ebenfalls weiter zu unterstützen. Wie viele Angriffe nur deshalb funktionieren, weil Systeme aus Kompatibilitätsgründen weiterhin schwache Crypto erlauben…ich will gar nicht anfangen zu zählen ;-)
Denzentralität hat trotzdem viele Vorteile! Nur sollte man sich die
Nachteile auch immer wieder bewusst machen…
@Luke
Ich glaube genau das Gegenteil wäre der Fall.
Als häufiges Argument für WhatsApp höre ich:
Da sind meine Kontakte.
Und bei einem Wechsel zu einem anderen Messenger verliere ich sie.
Könnte man einfach zu einem anderen Messenger wechseln und seine Kontakte behalten, würde ein Wechsel viel einfacher sein.
Somit müsste man versuchen attraktiv zu sein um Nutzer zu halten, da es nicht mehr ausreichen würde die größte Nutzerbasis zu heben.
Bei einem zentralisierten System wie WhatsApp oder Signal bestimmt einfach der Monopolist die Spielregeln.
Denn:
Da sind ja meine Kontakte.
Alles richtig was du schreibst. Ist aber ein anderer Aspekt. Zwischen wie vielen Clients du wählen kannst hat erstmal wenig mit der Sicherheit des Protokoll oder der Infrastruktur zu tun. Die wird bestimmt durch den Schwächsten (schwächstes Glied in der Kette).
Du hast eMail als positives Beispiel genannt. Wenn man es ausschließlich(!) aus der Sicherheits-Perspektive betrachtet, war und ist die Mail ein ziemlicher Albtraum ;-)
Ich halte ein zentralisiertes System aus netzpolitischer Sicht für katastrophal.
-zwangsläufig Monopolbildung
-Bei einem Angriff auf wenige neuralgische Punkte kann die Kommunikation großflächig lamgelegt werden.
-Anfällig für staatliche Restriktionen (Beispiel: WhatsApp in Brasilien)
Da ist mir ein dezentrales System mit allen von dir genannten realen Unzulänglichkeiten noch immer lieber.
Das Gleiche gilt auch für Email.
Lieber das aktuelle löchrige System als alles in der Hand EINES Unternehmens wie z.B. Google.
Ein Monopolist wird seine marktbeherrschende Stellung sicher auf die eine oder andere Weise ausnutzen.
Egal ob Facebook, Signal oder Kontalk.
Mein Fazit:
Was wollen wir?
Eine Demokratie mit Schwächen (dezenrales Kommunikationssystem)
oder
eine strafff organisierte Diktatur ohne Wahlmöglichkeit (zentralisiertes Kommunikationssystem)
Diesen Blog kann ich uneingeschränkt empfehlen: https://www.kuketz-blog.de/
Hier ein Artikelserie über Android ohne Google:
https://www.kuketz-blog.de/your-phone-your-data-teil1/
@ Leutle Bau
Und woher weißt du das die Metadaten bei Threema gelöscht werden?
Hast du dir mal deren Quellcode angeschaut ;-)
@OpenSource\ Unterstützer Die Gründe, zu glauben, dass die Metadaten bei Threema nach erfolgreicher Zustellung von Nachrichten umgehend gelöscht werden, sind mindestens ebenso gut, wie die Gründe, zu glauben, dass z.B. Signal keine Hintertüre hat. Es hat unlängst ein unabhängiges Audit gegeben, das den besagten Claim von Threema bestätigt. Sofern du den Quellcode von Signal nicht selbst systematisch überprüft hat, gibt es keine Gründe, dem einen mehr zu trauen als dem anderen. Dass eine Software quelloffen ist, heisst noch nicht, dass sich tatsächlich jemand die Mühe macht, sie systematisch zu überprüfen (was weder trivial ist, noch wenig Zeit in Anspruch nimmt). Und wenn es jemand macht, ist noch lange nicht gesagt, dass er allfällige Schwachstellen nicht einfach ausschlachtet.
Der relevante Punkt ist aber, wie schon angedeutet, dass Threema — anders als Signal und WhatsApp etc.) — anonym verwendet werden kann. Die Metadaten wären somit für Aussenstehende von geringem Wert, da keine Rückschlüsse auf die Identität anonymer Nutzer gemacht werden können.
Ich habe den von dir verlinkten Artikel noch nicht gelesen, werde es aber noch tun.
Versprochen!
Ein einheitliches Protokoll kann aber gut funktionieren.
Wie schon erwähnt ist es bei E-mail praktisch schon immer so.
Und es funktioniert hervorragend.
Warum also sollte es bei Messengern nicht gehen?