Verschlüsselung für Smartphonenachrichten threema, surespot, textsecure, Kontalk

hmm naja… gut dass sich das mal einer angekuckt hat. solche fehler sind natürlich unverzeihlich, wenn man so großspurig auffährt. aber die rhetorik des ccc-typen ist auch wieder typisch. ein rant, wie er im buche steht. ob so formulierte kritik motivation schafft, an dem projekt weiterzuarbeiten, halte ich für ziemlich fragwürdig.

Bei derartigen Designfehlern ist es vermutlich besser wenn die Macher noch mal nen paar Jahre die Schulbank drücken anstatt "weiterzuarbeiten" - Das System ist jedenfalls nicht reparierbar.

ach janlo, der ton macht die musik. die „mann sind die scheiße, die können gar nichts“ attitüde ist es, die mich stört. man kann kritik auch ein bißchen ergebnisorientierter formulieren. aber das liegt vermutlich gar nicht im interesse des herrn nexus. wahrscheinlich ist das eh alles viel zu zweinull mit diesen smartphones…

Wenn jemand großschnauzig tönt, im Gegensatz zu allen anderen alles besser gemacht zu haben und 100% sicher zu sein und dann von vorn bis hinten nen Totalschaden auf die Welt loslässt, dann muss man abkönnen das man ebenso in die Schranken gewiesen wird. Und wie gesagt, das hat ja nicht "ein paar Bugs" - das ist komplett broken by design - Totalschaden halt.

soll ich jetzt auch nochmal das gleiche mit anderen worten schreiben?

Na so recht Fortschritt ist hier ja leider auch nicht zu verzeichnen. Wie ist denn der aktuelle Stand? Gibts neue Kandidaten, weitere Erfahrungen mit den aktuellen Alternativen?

da ich ja ein großer fan von dezentralität und unabhängigkeit von etwaigen diensteanbietern bin, wäre mein vorschlag folgender: diesen ganzen firlefanz mit irgendwelchen äpps aus den äppstores dieser welt links liegen lassen und sich eine eigene infrastruktur mit etablierten technologien bereitstellen.

raspberry pi an den router in der wohnung klemmen, irgendein leichtes betriebssystem und einen jabber-server sowie einen chat-client drauf installieren, dyndns-anbieter auswählen, und dann an beliebigen internet-verbundenen computern darauf zugreifen. entweder über eine shell, zb mit putty oder mobilen lösungen, oder wer es nicht ganz so nerdy mag, eine browser application, die man mit zwei handgriffen auf dem homescreen speichern kann.

wer verschlüsselung mag (ja, du magst verschlüsselung), meldet sich bei einer gemeinschaftsorientierten zertifizierungsstelle an, lässt sich bei einer cryptoparty seine identität bescheinigen und erstellt sich eigene ssl-zertifikate für die verschlüsselung seiner chat-kommunikation. wenn man schon dabei ist, kann man dort auch gleich noch seine pgp schlüssel signieren lassen.

schon chattest du mit allen deinen freunden dezentral, verschlüsselt und informationell selbstbestimmt. deine freundesliste befindet sich auf einem gerät in deinem besitz in deiner wohnung, und nur dort. du bist nur noch von deinem internet-provider abhängig. klingt gut, oder?

nein, mcnesium...

ich gebe zu, es ist ein bißchen aufwändiger, als mit dem wurstfinger 3 mal im äppstore rumzutippen, aber die informationelle selbstbestimmung sollte jedem den aufwand eines samstag nachmittags eigentlich wert sein.

Ich denke 1% aller whatsapp Nutzer ist zu dieser Anleitung überhaupt befähigt und weniger als 1promille werden das je machen. Mcnesium, tolle Idee aber überhaupt nicht wirklichkeitsnah.

es würde helfen, wenn mcnesium hier einfach mal ein schönes tutorial reinstellt

Nur eins leistet diese Software tatsächlich: Aktuell wird whistle.im als WhatsApp-Alternative gehandelt. In Sicherheitsmängeln steht es damit seinem Vorbild in nichts nach.

Quelle: http://hannover.ccc.de/~nexus/whistle.html

Ich denke es geht doch erst mal darum, einen Ersatz zu finden!!! Vor allem seit Facebook das Ding nun in den Händen hält

Die Zeit hat ja auch schon versucht eine Liste zu erstellen, für sichere Alternativen:
http://www.zeit.de/digital/mobil/2013-08/s...hatsapp/seite-2


Noch eine weiter Liste mit "Alternativen": http://t3n.de/news/whatsapp-alternativen-blick-430632/ (Leider ohne eingehende Prüfung, reine Vorstellung)
Denke es könnten folgende Dienste in Frage kommen:

• 1) u.a. vom Typen von pirate bay: https://heml.is/ (hemlis = schwedisch: Geheimnis) -> allerdings noch in der Entwicklung
• 2) myEnigma (Server in der Schweiz)
• 3) blackberry messenger (gibts auch für android & ios) -> man muss eine blackberry.ID erstellen
• 4) Threema (Schweiz): 1,60 Euro

Dieser Beitrag wurde von Padex: 21 Feb 2014, 14:24 bearbeitet

Alle diese Messager haben das Problem, dass du dem Anbieter vertrauen musst. Dann kannste auch bei Whatsapp bleiben. Da fühlt man sich wenigstens nicht in Sicherheit, die es in Wirklichkeit gar nicht gibt.

Entweder sind die Dinger PGP-Style und der Anbieter verwaltet das Nutzerverzeichnis. Da muss man aber drauf vertrauen, dass dir auch immer der richtige Key ausgeliefert wird. Ist also wertlos wenn man keine Möglichkeit hat, die Keys auch out-of-band (also nach persönlichem Treffen oder wenigstens telefonisch) ohne den Anbieter dazwischen zu verifizieren.

Viele andere bieten nur Verschlüsselung zum Server an. Die Daten werden dort entschlüsselt und für den Empfänger neu verschlüsselt. Auch hier muss man vertrauen, dass dort die Daten nicht abgegriffen werden.

Darüber hinaus sind die wenigsten Messager OpenSource also ist eh nicht wirklich nachprüfbar was da über den verschlüsselten Kanal zum Server geschickt wird. Es muss ja nicht jeder selbst den Code anschauen, aber es sollte für interessierte Leute auf jeden Fall möglich sein.

Und davon abgesehen, Firmen die mit den Ängsten der Leute nach dem NSA-"Hype" jetzt die große Kohle machen wollen, würde ich eh kritisch gegenüberstehen.

Mcnesium, xmpp-basiertes fällt leider aktuell aus als alternative für mobile Geräte. Das Protokoll ist einfach nicht dafür gebaut und die Versuche das zu fixen sind nicht sonderlich weit. Siehe dazu auch http://op-co.de/blog/posts/mobile_xmpp_in_2014/

Edit:
@Polygon, Threema versucht hier zumindest mit Argumenten Vertrauen herzustellen, klar, am ende muss man denen auch Vertrauen das die auch das tun was sie sagen - aber wenn man sowas auf Android, IOS & co benutzt ist das imo noch das geringste Problem das man hat.
Das Crypro was die angeblich benutzen ist für Payload zumindest (nach deren Worten) ende-zu-ende und die out-ofband verifikation des gegenübers ist auch explizit vorgesehen und wie ich finde auch recht nutzerfreundlich umgesetzt.

Zur Überprüfbarkeit gibts leider nur eine Anleitung, wie man das Chiffrat mit opensourcecode verifizieren kann - den Rest muss man halt glauben.

Mcnesium, xmpp-basiertes fällt leider aktuell aus als alternative für mobile Geräte. Das Protokoll ist einfach nicht dafür gebaut und die Versuche das zu fixen sind nicht sonderlich weit.

genau, darum spricht ja auch nur dein raspberry mit meinem raspberry über xmpp, und dein telefon spricht mit deinem raspberry über ssh oder https.