Messenger

Threema & Telegram: „Privacy“ als oberstes Ziel

14. April 2015
  • Messenger

Als wir vor rund einem Jahr erstmals Threema testeten, konnten wir die Ende-zu-Ende-Verschlüsselung, transparente AGB und Datenschutzrichtlinien sowie die Bedienbarkeit positiv bewerten. Dass es die App jedoch nur für Android und iOS gab und kein Quellcode-Zugriff möglich, außerdem die Validierung fragwürdig war, führte zu Kritik. Telegram warf Fragen auf: Das hauseigene Verschlüsselungsprotokoll wurde häufig kritisiert und der Datenschutz als unzureichend eingestuft. Positiv zu erwähnen waren eine immense Flexibilität, die Nutzung ohne Kosten sowie die einfache Bedienung. Ein Jahr ist ins Land gegangen – und wir schauen uns an, was sich bei Threema und Telegram getan hat.

Threema im Test

Als plattformübergreifende App existierte Threema noch vor einem Jahr nur für iOS und Android. Mittlerweile können Sie als Windows Phone-User den Messenger ebenfalls verwenden. Jedoch hat sich preislich etwas getan: Für alle Betriebssysteme kostet die App nun 1,99 Euro; iOS-User zahlten vormals 1,79 Euro, Android-User 1,60 Euro.

Bedienbarkeit & Features von Threema

was_ist_neu_threema-1Neben diversen kosmetischen Korrekturen am optischen Erscheinungsbild der Messenger-App Threema haben die Schweizer Entwickler auch an der Funktionalität geschraubt. Unter Android wurden die vorhandenen Features unter anderem durch die folgenden ergänzt:

  • Kontakte:
    • Das Synchronisieren und das Verknüpfen von Kontakten wurde optimiert, zudem können Sortierung und Format der Kontaktnamen in den Einstellungen angepasst werden.
    • Eine Ausschlussliste erlaubt es, unerwünschte Kontakte aus der Synchronisation auszuschließen.
    • Das Blockieren von Kontakten ist zudem möglich geworden.
    • Von unbekannten Kontakten wird nun der Nickname angezeigt.
    • Verteilerlisten können mittlerweile ebenfalls erstellt werden.
    • Mit den neuen Aktions-URLs lassen sich Kontakte direkt hinzufügen oder Nachrichten versenden.
    • Inaktive Kontakte, also Kontakte, die seit mindestens drei Monaten Threema nicht mehr verwenden, werden ausgeblendet.
    • Die Kontaktliste hat eine Suchoption erhalten.
  • Medien:
    • Ein integrierter Bildbetrachter optimiert das Anschauen von Bildern.
    • Medien können nach dem Download direkt in der Galerie gespeichert werden.
    • Ab Android 4.3 können Videos komprimiert werden.
    • Die Video-Kamera lässt sich direkt aus dem Chat starten.
  • Optik:
    • Neue Icons schmücken das User Interface, es existieren optimierte Bedienelemente oder erweiterte Möglichkeiten wie das Senden von Medien direkt aus einem Chat.
    • Chat-Verknüpfungen lassen sich auf dem Homescreen erstellen.
    • Schwebende Aktionstasten und ein neu gestaltetes Seitenmenü machen die Bedienung noch intuitiver.
    • In Chats lassen sich individuelle Hintergrundbilder einstellen.
  • Nachrichten:
    • Mithilfe eines separaten Plugins lassen sich Sprachnachrichten versenden.
    • Textnachrichten können als QR-Code dargestellt, gescannt und wieder als Textnachricht versendet werden. Somit lassen sich beispielsweise Passwörter einfach offline übertragen.
  • Support:
    • Threema kann nun auch auf Tablets und mit Wear-Smartwatches verwendet werden.
  • Benachrichtigungen:
    • Eine Bilder- bzw. Videovorschau wird schon in den Benachrichtigungen ausgegeben.
  • sonstiges:
    • Threema hat ein Umfrage-Feature spendiert bekommen. Dies erlaubt es Umfragen zu erstellen.
    • Verschlüsselte Threema-IDs können im Android-Backup aufgenommen und bei einer Neuinstallation automatisch wiederhergestellt werden.

Unter iOS hat sich unter anderem folgendes getan:

  • Kontakte:
    • Kontakte lassen sich in den Kontaktdetails selektiv blockieren.
    • Die Kontaktliste hat eine Suchleiste bekommen.
    • Mitglieder können nachträglich in Gruppen hinzugefügt werden.
    • Inaktive Kontakte lassen sich ausblenden.
    • Nach dem Scannen lassen sich Kontakte direkt ändern.
  • Medien:
    • Bei der Fotoanzeige lässt sich im Chat eine Foto-Übersicht einblenden.
    • Ab iOS 7 lassen sich bis zu fünf Bilder/Videos versenden.
    • Die Fotogalerie bekam einen Löschen-Button.
    • Bilder lassen sich aus einer anderen App heraus direkt in Threema öffnen.
    • Threema berücksichtigt nun Bildkorrekturen beim Bildversand aus Alben heraus.
    • Eine neue Chat-Kopfzeile erlaubt den Schnellzugriff auf Medien.
  • Optik:
    • Neue Schriftgrößen werden unterstützt.
    • Der Audio-Recorder/Player bekam ein neues User Interface.
    • Neue Bedienelemente zur vereinfachten Bedienung, beispielsweise wird das Scannen des QR-Codes durch langes Antippen des Eingabefeldes möglich und Bild- sowie Videosprechblasen bekamen ein neues Design.
  • Nachrichten:
    • In Chats werden kleine Absender-Kontaktfotos angezeigt.
    • Sprachnachrichten lassen sich versenden.
    • POI können beim Senden des Standorts mit versendet werden.
    • Für Nachrichten in anderen Chats existiert nun eine In-App-Vorschau.
    • Textnachrichten können als QR-Code dargestellt, gescannt und wieder als Textnachricht versendet werden. Somit lassen sich beispielsweise Passwörter einfach offline übertragen.
    • Nachrichten können an andere Benutzer oder Gruppen weitergeleitet werden.
  • Benachrichtigungen:
    • Push-Töne für Gruppen können separat eingestellt werden.
  • sonstiges:
    • Threema hat ein Umfrage-Feature spendiert bekommen. Dies erlaubt es Umfragen zu erstellen.
    • Die URL-Aktionen wurden erweitert.
    • Beim Generieren der Nutzer-ID werden nun Bewegungen des Endgeräts einbezogen, was die Qualität der Zufallszahlen optimieren soll.

Sämtliche Erneuerungen für Threema unter Android, iOS sowie Windows Phone finden Sie in der Versionshistorie auf der Threema-Website. Neu ist auch Threema Gateway; ein Prepaid-Service, mit dem Sie die Möglichkeit haben in zwei verschiedenen Modellen (BASIC oder END-TO-END) Nachrichten zu versenden, die mit verschlüsselten SMS vergleichbar sind.

Die Sicherheit von Threema

Threema setzt auf asymmetrische Kryptografie, um Nachrichten Ende-zu-Ende-verschlüsselt zu übertragen. Threemas Verschlüsselungsprotokoll kann in der Open Source-Bibliothek NaCI überprüft werden. Eine Verifizierung der korrekten Anwendung der Verschlüsselung ist jederzeit möglich. Threema verschlüsselt in zwei Schichten: Ende-zu-Ende zwischen den Kommunikationsteilnehmern sowie die Verschlüsselung, die das Abhören der Verbindung zwischen Server und App verhindert. Ver- und entschlüsselt wird direkt auf Ihrem Gerät, als Benutzer haben Sie den Schlüsselaustausch alleinig unter Ihrer Kontrolle. Das Cryptography Whitepaper (englischsprachig, PDF) von Threema erklärt Ihnen weitere Details zu der als effektiv zu beurteilenden Verschlüsselung des Messengers.

Threema verschlüsselt mit 256 Bits, was einer RSA-Stärke von 2048 Bits entspricht. ECDH (genauere Erklärungen siehe Artikel „Knowledgebase: Perfect Forward Secrecy (PFS)“), eine Hash-Funktion und eine Nonce erzeugen für jede einzelne Nachricht einen Schlüssel mit 256 Bits, während die Stromchiffre XSalsa20 das eigentliche Verschlüsseln Ihrer Nachrichten übernimmt. Hinzu kommt ein 128 Bits langer MAC (= Message Authentication Code), damit etwaige Manipulations- und Fälschungsversuche vermieden werden.

Da Threema selbst nicht in Besitz Ihres privaten Schlüssels ist, können Ihre Nachrichten selbst dann nicht entschlüsselt werden, wenn beispielsweise Regierungsbehörden danach verlangen würden. Zwar wissen die Threema-Server, wer eine Nachricht an wen sendet – schlicht aus dem Grund, um die Nachricht dem korrekten Empfänger zuzustellen – jedoch werden diese Informationen nicht geloggt. Somit kann der Nachrichteninhalt nicht entschlüsselt werden.

Perfect Forward Secrecy (PFS) bietet Threema auf der Netzwerkverbindung, jedoch nicht auf der Ende-zu-Ende-Schicht. Über den Protokollzusatz PFS handeln Server und Client zufällig generierte Sitzungsschlüssel aus, die mit jedem App-Start neu generiert (= „Session Key“) und lediglich im Arbeitsspeicher gespeichert werden. Selbst wenn ein Angreifer nun den Netzwerkverkehr aufzeichnet, kann er diesen rückwirkend nicht mehr entschlüsseln – sogar, wenn er den Private Key von Server oder Client besitzt. Threema verschlüsselt nicht nur Textnachrichten, sondern sämtliche übertragenen Inhalte, also auch Medien.

Bezüglich der Adressbuchdaten bleibt sich Threema treu: Noch immer ist es Ihre Entscheidung, ob Sie Ihr Adressbuch auslesen lassen möchten oder Ihre Kontakte manuell hinzufügen. Entscheiden Sie sich für die Synchronisation, werden die E-Mail-Adressen sowie die Telefonnummern Ihrer Kontakte gehasht, also einwegverschlüsselt, und SSL-verschlüsselt an die Server gesendet. Diese halten die Hashes nur kurz im RAM, damit die Liste mit vorhandenen IDs ermittelt bzw. abgeglichen werden kann, anschließend werden die Daten gelöscht. Noch immer sträubt sich Threema dagegen, den Quellcode offenzulegen. Jedoch kann das Konzept der Ende-zu-Ende-Verschlüsselung in der oben verlinkten NaCI Library nachvollzogen werden.

Fazit Threema: Das ist aus dem Messenger geworden

was_ist_neu_threemaIm vergangenen Jahr hat sich Threema vorrangig um die Weiterentwicklung der Optik und Bedienbarkeit gekümmert – und das hat sich gelohnt! Neue Features wie der lang ersehnte Versand von Sprachnachrichten, aber auch neue Icons und Bedienelemente machen Threema zu einem Messenger, der sich intuitiv bedienen lässt und keine Fragen aufwirft. Bezüglich der Sicherheit sind wir nach wie vor überzeugt von Threema: Das Schichten-Prinzip schützt nicht nur Textnachrichten und Medien vor Schnüfflern, sondern macht auch das nachträgliche Entschlüsseln unmöglich. Die Standortvorteile der Schweiz sind gemeinhin bekannt – Threema gelingt es, Sicherheit, Datenschutz und Usability gekonnt zu verbinden. Trotz Preiserhöhung stimmt auch das Bezahlkonzept. Durch die Downloadkosten ist die Zukunft des Messengers gesichert, während auf Seiten des Verbrauchers die Kosten bestens planbar sind.

Telegram im Test

Noch vor einem Jahr existierte die offizielle Telegram-Messenger-App lediglich für iOS und Android, mittlerweile können auch Windows Phone-User die App in der Beta-Version downloaden. Weiter wurde eine Web-, Mac OS X-, Windows- und Linux-Version entwickelt, sodass Telegram nun tatsächlich als plattformübergreifender Messenger betitelt werden kann. Noch immer wird die App kostenfrei heruntergeladen und genutzt.

Bedienbarkeit & Features von Telegram

telegram-verschluesselungDie Features und die Bedienbarkeit von Telegram haben uns bereits im ersten Test begeistert! Aufgrund der neu hinzugekommenen Plattformen erlaubt es Telegram, unbegrenzt Fotos, Videos und sonstige Dateien auf PCs, Smartphones, Tablets oder über den Webbrowser zu versenden und zu empfangen. All das funktioniert intuitiv und schnell; das User Interface ist einladend gestaltet. Mit der erweiterten Plattformkompatibilität und der Cloud-Basis von Telegram greifen Sie von überall auf Ihre Medien und Nachrichten zu. Chats können mit einem Selbstzerstörungsmodus versehen werden.

Die Sicherheit von Telegram

„Taking back our right to privacy“ – das Telegram-Motto ist immer noch dasselbe. Mittlerweile besteht die Möglichkeit, mehr vom Quellcode einzusehen. Die Berechtigungen, die Telegram für die Installation haben möchte, sind wie noch vor einem Jahr sehr umfangreich, für die Verwendung jedoch größtenteils notwendig. So benötigt beispielsweise die Android-App Lesezugriff auf SMS. Für die Validierung bei der Messenger-Installation ist dies unbedingt nötig, da der SMS-Code ausgelesen und abgeglichen werden muss. Theoretisch wird es mit dieser Berechtigung jedoch möglich, dass Telegram sämtliche SMS-Inhalte lesen kann. Im Quellcode wird ersichtlich, dass SMS ausschließlich zum Erkennen des Validierungscodes gelesen werden.

Ihr Adressbuch wird von Telegram auch ohne Ihre Zustimmung ausgelesen und synchronisiert. Ende-zu-Ende-verschlüsselt sind ausschließlich geheime Chats. Diese unterstützen auch die Selbstzerstörung von Nachrichten und lassen sich nicht weiterleiten. Auf cloudbasierte Speicher verzichten geheime, also verschlüsselte Chats logischerweise. Deshalb können solche verschlüsselten Nachrichten ausschließlich auf dem Endgerät genutzt werden, auf dem sie gestartet wurden. Telegram verschlüsselt in zwei Methoden: Server-Client (= Ende-zu-Ende; bei geheimen Chats) sowie Client-Client (Cloud-Chats). Die Basis bilden 256-Bit-AES-Verschlüsselung, 2.048-Bit-RSA-Verschlüsselung sowie der Schlüsselaustausch nach Diffie-Hellman. Nach wie vor setzt Telegram auf die hauseigene Protokollentwicklung (MTProto encryption), die Sie sich hier genauer anschauen können. Vor einem Jahr noch legte Telegram lediglich Teile des Quellcodes offen. Heute sind Quelltext, Protokoll und der Entwicklerzugang (API) frei einsehbar und können unabhängig überprüft werden.

Fazit Telegram: Das ist aus dem Messenger geworden

An der Funktionalität musste Telegram nicht viel schrauben: Sie war bereits vor einem Jahr sehr umfangreich und dürfte alles, was das Messenger-Nutzer-Herz begehrt, bieten. Dass Telegram nun auch offiziell für weitere Plattformen zugänglich ist, ist ein großer Pluspunkt. Das hauseigene Verschlüsselungsprotokoll MTProto encryption musste bereits viel Kritik einstecken (genau nachzulesen in unserem ersten Telegram-Test), ist jedoch offen einsehbar – wie auch der App-Quelltext und die API. Telegram hat also erfolgreich an seiner Transparenz gearbeitet.

Im letzten Jahr war einer unserer Kritikpunkte, dass nicht so ganz klar schien, wie man bei Telegram mit dem Wunsch umgeht, seinen Account zu löschen. Wir haben lediglich von Deaktivierungen, nicht jedoch vom Löschen eines Accounts gelesen. Das hat sich geändert und Telegram formuliert in seinen FAQ nun eindeutig. Leider hat sich die neue Transparenz nicht bis in die letzten Ecken durchgesetzt: Noch immer finden wir die Datenschutzrichtlinien ausschließlich in englischer Sprache vor, noch immer greift die App ungefragt aufs Adressbuch zu, noch immer landen die Daten auf Servern, die in der ganzen Welt verstreut sind. Nichtsdestotrotz scheint Telegram auf einem guten Weg zu sein, den die Macher hoffentlich konsequent weitergehen.



0 Kommentar(e)

Schreibe einen Kommentar