Messenger

myENIGMA & TextSecure: wie haben sich die sicheren Messenger entwickelt?

28. April 2015
  • Messenger

myENIGMA gehört zu den Messengern, bei denen die Entwickler zuerst auf Sicherheit, dann auf Funktionalität achten. Ausgerüstet mit Ende-zu-Ende-Verschlüsselung und transparenten Datenschutzbedingungen begeisterte uns die App beim ersten Test vor einem guten Jahr, wir haben jedoch von häufigen Funktionsstörungen gelesen und sind gespannt, was sich im letzten Jahr getan hat. Einen sehr guten Eindruck hinterließ TextSecure vor einem Jahr: Der Messenger zeigte sich sicher und nutzerfreundlich. Wir prüfen nun, ob uns noch immer die geringe OS-Kompatibilität stört und wie TextSecure mit unseren restlichen Kritikpunkten umgegangen ist.

myENIGMA im Test

Noch immer ist myENIGMA für Android, BlackBerry OS sowie iOS kostenfrei erhältlich und kann auf Smartphones und Tablets installiert werden. Die Windows Phone-Version, die bereits während unserer ersten Testrunde in Planung war, existiert leider immer noch nicht; auch das angekündigte Bezahlmodell scheint auf Eis zu liegen.

Bedienbarkeit & Features von myENIGMA

myenigma-verschluesselungmyENIGMA hebt sich ab von den sonst eher üblichen hellen Farben anderer Messenger: in edlem Schwarz ist das Interface gehalten, das sich nach wie vor intuitiv bedienbar zeigt, auf diverse Spielereien jedoch verzichtet. Den Funktionsumfang empfinden wir als völlig ausreichend: die Messenger-App myENIGMA erlaubt den Versand von Textnachrichten (verschlüsselte Einzel- und Gruppen-Chats oder verschlüsselte SMS) und Multimedia-Dateien (Bilder, Videos, Audios; Limitierung auf 20 MB). Sämtliche Funktionen nutzen Sie kostenfrei, beim SMS-Versand und -Empfang fallen jedoch gängige SMS-Gebühren an.

Verglichen mit LINE oder WeChat fällt die Funktionalität von myENIGMA leider recht mager aus. Blicken Sie auf die Namensgebung des Messengers, wissen Sie gleich, warum dem so ist: Der App-Name leitet sich vom griechischen Wort „Ainigma“ ab, was sich mit Rätsel oder Geheimnis übersetzen lässt. myENIGMA möchte, dass die von Ihnen versendeten Nachrichten und Inhalte eben ein solches Geheimnis bleiben und verzichtet deshalb von vornherein auf Features, die die Sicherheit des Messengers beeinträchtigen. Andererseits werden jene Funktionen hineingenommen, mit denen Sie sicher kommunizieren – wie eben die verschlüsselte SMS. Das macht Sinn für einen Messenger, dem Privatsphäre auf die Fahnen geschrieben wurde.

Vor einem Jahr noch sah sich myENIGMA dem Vorwurf gegenüber, dass einige Features nicht oder unzureichend funktionierten. Viele Störungsmeldungen zogen sich durch die Facebook-Fanpage des Messengers, aber auch durch die App-Store-Bewertungen. Das ist deutlich weniger geworden – und wenn sich doch Probleme ergeben, finden wir auf sämtlichen Kommunikationskanälen zeitnahe Antworten, sodass sich der Eindruck ergibt, dass die Störungen insgesamt zurückgegangen sind und sich das Support-Team gerne um jegliches Anliegen kümmert. Haben Sie hier andere Erfahrungen sammeln müssen, berichten Sie unseren Leserinnen und Lesern gerne davon in den Kommentaren.

Die Sicherheit von myENIGMA

Schon in der ersten Testrunde waren wir sehr angetan von der Transparenz, die die Entwickler der Messenger-App, die Schweizer Qnective AG, an den Tag legt. AGB und die Datenschutzvereinbarung sind leicht aufzufinden, inhaltlich seit unserem ersten Test gleich geblieben, in deutscher Sprache aufrufbar und verzichten auf kompliziertes Fachchinesisch, zudem ermöglichen sie auch dem technischen und juristischen Laien, sich zurechtzufinden. Da dies Seltenheitswert hat, nimmt myENIGMA diesbezüglich eine Vorbildfunktion ein – solch eine Transparenz wünschen wir uns von allen Messenger-Anbietern!

Die App-Entwickler sind bei ihren Schweizer Servern geblieben, ebenfalls bei der hochgradigen Ende-zu-Ende-Verschlüsselung. Da Nachrichten ausschließlich von Sender und Empfänger ver- und entschlüsselt werden können, haben auch Behörden keinen Zugriff auf Gesprächsinhalte. Für zusätzliche Sicherheit sorgt die Tatsache, dass der Schlüssel, den Sender und Empfänger austauschen, in regelmäßigen Abständen gewechselt wird. Daten auf dem Weg zum und vom Server werden ebenfalls verschlüsselt. Auf das Offenlegen des Quellcodes verzichten die Schweizer Entwickler, ein Whitepaper (PDF) soll konkret erklären, wie myENIGMA verschlüsselt.

Wie WhatsApp durchforstet auch myENIGMA das Telefonbuch Ihres Smartphones, um andere Nutzer anhand ihrer Mobilfunknummer zu identifizieren. Die Umsetzung dieses Durchforstens funktioniert bei myENIGMA jedoch sicherer: sämtliche Telefonnummern sind mittels Hash-Verfahren anonymisiert. Über eine verschlüsselte TLS-Verbindung werden die Mobilfunknummern in gehashter Form an die Schweizer Server gesendet, wo sie mit den hash-anonymisierten Mobilfunknummern anderer Nutzer verglichen werden. MyENIGMA interessiert sich dabei ausschließlich für die Telefonnummern; Namen und andere ergänzende Angaben werden ausschließlich lokal auf Ihrem Gerät bearbeitet und landen erst gar nicht auf den Servern.

Fazit myENIGMA: Das ist aus dem Messenger geworden

Transparent, sicher, funktional, aber nicht über-funktional, jedoch mit zahlreichen Störungsmeldungen behaftet: Das war unser Fazit nach dem ersten myENIGMA-Test. Funktionalität, Sicherheit und Transparenz sind geblieben, während die Störungsmeldungen deutlich zurückgegangen sind – eine sehr positive Entwicklung! Können Sie auf Sticker- und Standortdaten-Versand gut und gerne verzichten und sind Ihnen verschlüsselte SMS als Zugabe lieb, finden Sie mit myENIGMA einen sicheren, kostenfreien und guten Messenger.

TextSecure im Test

Ausschließlich für Smartphones entwickelt, können TextSecure nach wie vor nur Android-Nutzer verwenden. Vor einem Jahr kündigten die TextSecure-Entwickler eine Lösung für iOS an, die nun indirekt auch gefunden wurde: Zwar existiert TextSecure ausschließlich für Android, mit Signal 2.0 hat WhisperSystems, das Entwickler-Stübchen um Moxie Marlinspike, jedoch einen iOS-kompatiblen Messenger entwickelt, der mit TextSecure kommunizieren kann. Für Android-User ist die App TextSecure kostenfrei geblieben.

Bedienbarkeit & Features von TextSecure

Noch vor einem Jahr hat sich TextSecure auf klassische Messenger-Funktionen beschränkt und ist dieser Linie im vergangenen Jahr treu geblieben. Im Quellcode auf Github sehen Sie Änderungen an der App, die vorrangig aus Fehlerkorrekturen und dem Integrieren weiterer Sprachen bestehen. Mit TextSecure versenden Sie verschlüsselte SMS und Einzel- sowie Gruppenchats mit unbegrenzter Teilnehmerzahl. Auch Multimedia-Inhalte (Bilder, Videos und Audios) übertragen Sie mit dem Messenger. Möchten Sie darüber hinaus verschlüsselt telefonieren, bietet sich RedPhone als zusätzliche App an – ebenfalls aus dem Hause WhisperSystems, nur für Android erhältlich und mit Signal 2.0 für iOS kompatibel.

Nicht möglich ist die Kommunikation zwischen WhatsApp und TextSecure. Sie erinnern sich: WhatsApp setzt nun auf das Verschlüsselungsprotokoll von TextSecure; viele Anwender hatten die Hoffnung, nun über beide Messenger miteinander kommunizieren zu können. An der TextSecure-Version für iOS wird offenbar noch immer getüftelt, die Pläne wurden allerdings erweitert: Die TextSecure-Chats sollen dann Teil der Signal-App werden. Signal soll auch für Android kommen und TextSecure sowie RedPhone zu einer Lösung vereinen.

Die Sicherheit von TextSecure

textsecure-verschluesselungDer quelloffene Messenger TextSecure wurde vom Hacker Moxie Marlinspike erdacht und entwickelt, die Open Source-Gemeinde entwickelt fleißig mit. Die Tatsache, dass TextSecure quelloffen ist, erlaubt es, die Ende-zu-Ende-Verschlüsselung, die der Messenger verwendet, gemeinschaftlich zu überprüfen. Die OTR-Weiterentwicklung Axolotl kommt zum Einsatz – und damit auch Perfect Forward Secrecy, was ein nachträgliches Entschlüsseln Ihrer Nachrichten unmöglich macht. Wie schon myENIGMA setzt auch TextSecure beim Adressbuch-Abgleich auf gehashte Werte, die verschlüsselt an den Server übertragen werden. Gespeichert werden auf den Servern weder Telefonnummern noch andere Kontaktinformationen. Auf dedizierte AGB und Datenschutzvereinbarungen verzichtet der Messenger; er steht unter GNU GPL V3-Lizenz.

Fazit TextSecure: Das ist aus dem Messenger geworden

Im Wesentlichen hat sich bei TextSecure nicht viel getan. Die intuitive Bedienbarkeit sprach uns bereits im vorigen Jahr an, genauso wie die Sicherheitsaspekte des Messengers. TextSecure bringt alles mit, was ein Messenger braucht – nur an der Verbreitung hapert es nach wie vor. Mit Signal 2.0, dem iOS-Pendant, der auch unter Android TextSecure und RedPhone vereinen soll, könnten die Nutzerzahlen steigen und es könnte sich lohnen, auf diesen Messenger zu setzen. Die Entwickler jedenfalls stehen für Sicherheit: Edward Snowden lobt die Sicherheitsfeatures und US-Behörden drangsalieren Marlinspike in beeindruckender Regelmäßigkeit. Dass auch WhatsApp von der hauseigenen Verschlüsselung profitiert, spricht sehr für TextSecure als Messenger. Bleibt zu hoffen, dass die Signal-Apps wirklich bald plattformübergreifend verfügbar sind, um alles in einer App nutzen zu können.



0 Kommentar(e)

Schreibe einen Kommentar