Rückmeldung vom Threema-Support ...
Die Fragen, die ich in meinem gestrigen Blog-Artikel zu Threema gestellt habe, habe ich auch direkt an den Support gesendet und dieser hat binnen 24 Stunden geantwortet und mir die explizite Erlaubnis erteilt, die Antworten zu veröffentlichen.
Ich möchte an dieser Stelle auf die Grundsatzdiskussion in den Kommentaren des vorherigen Artikels hinweisen.
Meine Anfrage:
Und die Antwort:
Erst einmal ist es prima, dass sich die Firma des Problems bewusst ist und das auch angehen möchte. Das kommt zu einem Henne-Ei-Problem, die Applikation muss verkauft werden, um den Audit zu ermöglichen und die Applikation verkauft sich erst dann gut, wenn der Audit gelaufen ist.
Die Antwortzeit ist auch prima und hat mich überzeugt.
Ich möchte an dieser Stelle auf die Grundsatzdiskussion in den Kommentaren des vorherigen Artikels hinweisen.
Meine Anfrage:
Email: dirk@deimeke.net
Identity: UXHWAXXT
IP address: 193.108.233.65
Hallo
Ich habe Threema installiert und habe aber noch zwei offene Fragen, die mir Ihre Webseite nicht beantworten konnte:
1. Die App ist nicht Open Source, was bedeutet, dass niemand die Verschlüsselungsalgorithmen überprüfen kann und niemand kann sagen, ob die Nachrichten wirklich verschlüsselt auf dem Handy gespeichert und versendet werden.
2. Es fehlt ein unabhängiger Audit Ihrer Firma, die das Konzept überprüft.
Planen Sie diese Punkte anzugehen?
Beste Grüsse
Dirk Deimeke
P.S.: Mit Ihrer Erlaubnis würde ich Ihre Antwort auch in meinem Blog veröffentlichen. Dort habe ich heute Threema kurz vorgestellt
Und die Antwort:
Guten Tag,
1. Folgende Seite könnte Sie zu diesem Thema interessieren:
https://threema.ch/validation/
2. Wir haben vor, den Quellcode der App von einer unabhängigen Firma prüfen und zertifizieren zu lassen. Bislang scheiterte das allerdings noch an den sehr hohen Kosten.
Gerne dürfen Sie diese Antworten in Ihrem Blog veröffentlichen.
Mit freundlichen Grüssen,
Threema Support
Erst einmal ist es prima, dass sich die Firma des Problems bewusst ist und das auch angehen möchte. Das kommt zu einem Henne-Ei-Problem, die Applikation muss verkauft werden, um den Audit zu ermöglichen und die Applikation verkauft sich erst dann gut, wenn der Audit gelaufen ist.
Die Antwortzeit ist auch prima und hat mich überzeugt.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Martin Steiger am :
Dirk Deimeke am :
Martin Steiger am :
Dirk Deimeke am :
So lange es immer noch Stellen gibt, die eine "Man-in-the-middle"-Attacke ermöglichen oder anders formuliert, es keine Vertrauenskette zwischen dem Quelltext und dem ausgeführten Programm auf Deinem Gerät gibt, ist auch das Argument mit Open-Source-Software Augenwischerei.
Es wird immer eine Frage bleiben, wem Du den Vertrauensvorschuss gibst und was Du tust, wenn Du bemerkst, dass er unberechtigt war.
Martin Steiger am :
Dirk Deimeke am :
Ich vermute stark, dass Du mich missverstehst. Ich sage nicht, dass Threema sicher ist, das kann ich gar nicht.
Ich sage aber, dass ich selbst bei einer Open-Source-Lösung nicht sicher sein kann, dass das, was mir als Quelltext vorliegt, wirklich das ist, was ich auf dem Rechner habe. Es gibt keine zertifizierte Kette vom Quelltext zu meinem System. Wo die Kette tatsächlich gebrochen ist, ist unerheblich, sie ist kaputt.
Ja, ich kann den Quelltext selber übersetzen, so lange ich das aber nicht mache, ist auch das eine Nebelbombe.