Skip to content

Rückmeldung vom Threema-Support ...

Geschrieben von Dirk Deimeke am
Die Fragen, die ich in meinem gestrigen Blog-Artikel zu Threema gestellt habe, habe ich auch direkt an den Support gesendet und dieser hat binnen 24 Stunden geantwortet und mir die explizite Erlaubnis erteilt, die Antworten zu veröffentlichen.

Ich möchte an dieser Stelle auf die Grundsatzdiskussion in den Kommentaren des vorherigen Artikels hinweisen.

Meine Anfrage:

Email: dirk@deimeke.net
Identity: UXHWAXXT
IP address: 193.108.233.65

Hallo

Ich habe Threema installiert und habe aber noch zwei offene Fragen, die mir Ihre Webseite nicht beantworten konnte:

1. Die App ist nicht Open Source, was bedeutet, dass niemand die Verschlüsselungsalgorithmen überprüfen kann und niemand kann sagen, ob die Nachrichten wirklich verschlüsselt auf dem Handy gespeichert und versendet werden.

2. Es fehlt ein unabhängiger Audit Ihrer Firma, die das Konzept überprüft.

Planen Sie diese Punkte anzugehen?

Beste Grüsse

Dirk Deimeke

P.S.: Mit Ihrer Erlaubnis würde ich Ihre Antwort auch in meinem Blog veröffentlichen. Dort habe ich heute Threema kurz vorgestellt


Und die Antwort:

Guten Tag,

1. Folgende Seite könnte Sie zu diesem Thema interessieren:
https://threema.ch/validation/

2. Wir haben vor, den Quellcode der App von einer unabhängigen Firma prüfen und zertifizieren zu lassen. Bislang scheiterte das allerdings noch an den sehr hohen Kosten.

Gerne dürfen Sie diese Antworten in Ihrem Blog veröffentlichen.

Mit freundlichen Grüssen,

Threema Support


Erst einmal ist es prima, dass sich die Firma des Problems bewusst ist und das auch angehen möchte. Das kommt zu einem Henne-Ei-Problem, die Applikation muss verkauft werden, um den Audit zu ermöglichen und die Applikation verkauft sich erst dann gut, wenn der Audit gelaufen ist.

Die Antwortzeit ist auch prima und hat mich überzeugt.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Martin Steiger am :

*Schade, dass der Dienst nicht als Open Source konzipiert wurde … so wird es bei nicht überprüfbaren Behauptungen bleiben – und die Erfahrung zeigt, dass solche Behauptungen leider häufig mit gutem Grund einer Überprüfung entzogen werden.

Dirk Deimeke am :

*Selbst mit Veröffentlichung des Quelltextes ist Dir nicht geholfen oder wie prüfst Du, dass das übersetzte Programm mit dem Dir zur Verfügung stehenden Quelltext übersetzt wurde.

Martin Steiger am :

*Open Source-Software kann man selbst kompilieren. Aber so weit muss man gar nicht gehen: Verschlüsselungssoftware, die nicht als Open Source veröffentlicht wird, ist schlicht Schlangenöl. Wer eine solche Software entwickelt und nicht von Anfang an als Open Source veröffentlicht, weiss das und möchte sicherheitsmässig nicht ernst genommen werden – was im Markt ja offensichtlich auch nicht notwendig ist. Skype profitierte lange Zeit auch vom Mythos, die Kommunikation via Skype sei sicher.

Dirk Deimeke am :

*Sehe ich tatsächlich anders.

So lange es immer noch Stellen gibt, die eine "Man-in-the-middle"-Attacke ermöglichen oder anders formuliert, es keine Vertrauenskette zwischen dem Quelltext und dem ausgeführten Programm auf Deinem Gerät gibt, ist auch das Argument mit Open-Source-Software Augenwischerei.

Es wird immer eine Frage bleiben, wem Du den Vertrauensvorschuss gibst und was Du tust, wenn Du bemerkst, dass er unberechtigt war.

Martin Steiger am :

*Schade – von einem IT-Fachmann wie Dir hätte ich erwartet, dass er Open Source als absolut notwendige Voraussetzung für Verschlüsselungssoftware voraussetzt. Ich hätte Dich bis vor kurzem noch nicht der «Schlangenöl-Fraktion» zugeordnet … ich mag Threema (oder, sehr ähnlich, Wuala) auch sehr, aber ohne offener Quelltext ist das lediglich regulatorische CYA-Sicherheit, die einem allenfalls ein gutes Gefühl gibt. Gleichzeitig muss man sich aber auch eingestehen, dass proprietäre und geschlossene Verschlüsselungssoftware noch nie überzeugen konnte – das liegt wohl allein schon daran, weil Entwickler ohne die Möglichkeit von öffentlicher Kontrolle des Quelltextes wesentlich weniger sorgfältig arbeiten.

Dirk Deimeke am :

*Als IT-Fachmann weiss ich, dass Open Source alleine nicht ausreicht, um sicher sein zu können. Das ist ein notwendiger Baustein, aber sicher nicht mehr.

Ich vermute stark, dass Du mich missverstehst. Ich sage nicht, dass Threema sicher ist, das kann ich gar nicht.

Ich sage aber, dass ich selbst bei einer Open-Source-Lösung nicht sicher sein kann, dass das, was mir als Quelltext vorliegt, wirklich das ist, was ich auf dem Rechner habe. Es gibt keine zertifizierte Kette vom Quelltext zu meinem System. Wo die Kette tatsächlich gebrochen ist, ist unerheblich, sie ist kaputt.

Ja, ich kann den Quelltext selber übersetzen, so lange ich das aber nicht mache, ist auch das eine Nebelbombe.

Kommentar schreiben

Gravatar, Favatar, Pavatar, Identica, Twitter, MyBlogLog Autoren-Bilder werden unterstützt.
BBCode-Formatierung erlaubt
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
Formular-Optionen
Datenschutzerklärung / Impressum