Wer benutzt sowas, wer hat da schon Erfahrungen? Welche app taugt und worauf sollte man achten?

Man sollte zunächst auf einige grundlegende Kriterien achten: Kann der Messanger End-to-end-Verschlüsselung, Offline-Messaging, Groupchats und ist er OpenSource?

Habe da einen Blog-Eintrag mit einer Übersicht gefunden, der als erster Einstieg in das Thema dienen kann.

Ansonsten gilt dies.

~Abd

Xabber für Android könnte man noch hinzufügen (kann OTR).

Golem.de hat gestern einen zusammenfassenden Artikel über Verschlüsselungsmöglichkeiten veröffentlicht.

der meiner meinung nach wichtigste aspekt beim versuch, einen whatsapp-nachfolger aus der taufe zu heben, ist standardkonformität, sprich, ob das programm der wahl nur mit seinesgleichen sprechen kann, oder auch mit anderen programmen.

wenn man ne email schreibt, ist auch keine grundvoraussetzung, dass der empfänger das gleiche mailprogramm verwendet wie man selbst. und genau so sollte es beim chatten ebenfalls sein.

push notifications über die apis, die die betriebssysteme zur verfügung stellen, sollte jedenfalls drin sein, sonst ist der akku nach drei stunden bereitschaft leer (wie bei xabber zb.)

Das mag ein wichtiger Aspekt für dich oder allgemein technikaffine Nutzer sein, aber für die meisten Nutzer muss es vor allem einfach und funktional sein. Und hier hat WhatsApp die wahrscheinlich einfachste Möglichkeit überhaupt gefunden: Es benutzt die Telefonnummer des Nutzers und jeder andere wird automatisch in der Liste angezeigt. Um einen neuen Anbieter zu etablieren müsste er etwas bieten, was die bisherigen Platzhirsche nicht bieten und ich bin mir nicht so sicher ob Verschlüsselung da ein hinreichend starkes Argument ist. Heml.is hört sich recht interessant an, wird aber wahrscheinlich auch ein geschlossenes System.

Für mich kommt als knackpunkt auch noch die Plattform hinzu. Da liegt whatsapp ganz vorne, aber mindestens Apple und Google sollten unterstützt werden.

Würdet ihr für gute Verschlüsselung zahlen?
Wie stehen die Chancen, das Google, Apple oder der Programmierer gezwungen werden, verdeckt die Daten am Gerät abzugreifen?

zahlen tut man meistens für software, deren quellcode nicht zur verfügung steht. da kann man also gar nicht überprüfen, ob die verschlüsselung „gut“ ist. also: nein.

Ack, gute Kryptografie ist immer offen, nachprüfbar (nein, das heißt nicht, dass jeder Nutzer das selber tun soll) und hat sich idealerweise schon ein paar Jahre im Einsatz bewährt.



Definiere doch erstmal gegen was du dich schützen willst:

- Neugierige Blicke von Freunden/Familie/Whoever
- Passiver Netzwerksniffer (offenes WLAN z.B.)
- Man in the Middle, der auch Traffic verändern kann
- Der Betreiber des Messaging-Dienstes, der nicht mitlesen können soll
- Die NSA und co.- Also die, die mit U-Booten Unterseekabel anzapfen fährt und sicher auch Google/Apple dazu bringen kann, dir beim nächsten Update mal eine etwas andere Version der Apps auszuliefern. Da hilft dann auch OpenSource nicht mehr, wenn die Binaries aus dem AppStore nicht echt sind.

Je nach Szenario reicht die Antwort dann von "Telefon mit Passwort schützen" bis zu "geht nicht". Das neuerliche Interesse an Kryptografie kommt ja vermutlich mehrheitlich vom Abhörskandal. Aber leider verträgt sich Krypto und "einfach und funktional" meist garnicht. Das geht zwar, aber meist nur, wenn alle Teilnehmer einer zentralen Instanz vertrauen. Die signiert/verwaltet dann meist die öffentlichen Schlüssel so dass man sich den mühsameren PGP-Weg mit Web of Trust und Keys selber signieren sparen kann. Blöd nur, dass ja jetzt gerade herausgekommen ist, dass diese zentralen Instanzen eben nicht ganz so vertrauenswürdig sind (die ganzen SSL-Fuckups sind ja nicht wirklich über interessierte Kreise hinaus publik geworden).

Und auch OpenSource und der Einsatz bewährter Bibliotheken schützt nicht vor schlechter Krypto, wenn der Entwickler ignorant ist, wie das Beispiel von Cryptocat (SZ-Version) schön zeigt (Nerd-Version des SZ-Artikels).

Ich bin sicher, die aktuelle Nachfrage nach einfach zu bedienender Krypto wird sicher mit schnell dahinprogrammierten Apps befriedigt werden und in jeder werden irgendwelche Zeitbomben schlummern. Da ist es doch vielleicht besser in dem Wissen zu kommunizieren, dass man abgehört wird, anstatt fälschlicherweise Vertraulichkeit anzunehmen.

wenn man weiß, dass man überwacht wird, verhält man sich aber nicht mehr so, wie man sich in vertrauter umgebung verhält. das kann man zwar erstmal hinnehmen, aber es ist ein für die freiheitlich demokratisch aufgeklärte gesellschaft sehr gefährlich, denn früher oder später gewöhnt sich der gemeine homo sapiens an die unterdrückung, und merkt gar nicht, wenn der knoten immer und immer enger gezogen wird.

frosch im kochtopf, DDR, 1984… jedem sollte klar sein, wo das hinführt. darum bin ich strikt dagegen, die sache einfach zu akzeptieren. wir müssen nach lösungen zu suchen, die uns irgendwie voranbringen.

chris' vorstoß ist der richtige weg: diskussionen anfeuern, den leuten die problematik ins bewusstsein bringen und früher oder später sogar mutti und vati überzeugen, dass hier von jedem selbst etwas getan werden muss. „informationelle selbstbestimmung“ ist das stichwort.

Wogegen will ich mich schützen: hauptsächlich gegen Datensammler, die dann im nachhinein aus meinen Daten komprimitierendes Material generieren. Also Geheimdienste, die die Daten selbst abgreifen oder Serverbetreiber, die das Material dann an Richter oder andere Dienste ausliefern müssen.

Für die Authentifizierung von Schlüsseln hat threema einen schönen weg gefunden, man kann die Information einfach via QRCode einscannen, wenn man sich gegenüber steht. Und die Möglichkeit habe ich ja mit Handy und meinen Freunden doch oft genug.

Ich glaube du hast meinen Beitrag falsch verstanden. Ich stimme dir natürlich zu. Die Frage war aber eher ob es sinnvoll ist, jetzt irgendwelche schnell dahinprogrammierten Apps einzusetzen, die vermutlich fast alle Schwachstellen (meist im Namen der Einfachheit) haben und sich dann in falscher Sicherheit zu wiegen (siehe Cryptocat).

Es ist aber durchaus eine interessante Frage ob es besser ist in dem Glauben zu kommunizieren, nicht abgehört zu werden, obwohl das vielleicht nicht stimmt.



Ja, die Frage ist nur ob es sinnvoll ist, wenn dann unsichere Lösungen propagiert werden. Denn wie gesagt, hier geht es nicht mehr um Verteidigung vor neugierigen Blicken irgendwelcher Bekannter sondern um Verteidigung gegen den Betreiber und potenzielle Geheimdienste.



Also Threema hab ich mir mal angesehen. Es geht alles über einen zentralen Dienst, das heißt der Betreiber kennt auf jeden Fall

- Wann du mit jemandem kommunizierst
- Mit wem du kommunizierst
- Wieviel mit kommunizierst

Das entspricht grob dem, was es hier in Deutschland mal als Vorratsdatenspeicherung geben sollte. Weiterhin möchte diese App in der Android-Version folgende Rechte haben:

- Kontakte lesen
- Inhalt des Telefonspeichers auslesen
- SMS empfangen, lesen und bearbeiten (WTF?)
- Standortbestimmung (WTF??)
- Zugriff auf Kamera für Bilder und Videos, daher auch Mikrofon (WTF???)
- Deine persönlichen Daten lesen

Der Anbieter beteuert natürlich, dass er nix böses anstellt, aber wenn man ihm das glaubt, geht es eben wieder um Vertrauen. Da kann man dann auch jeden anderen nehmen. Weiterhin ist die Anwendung closed-source (großes No-Go bei crypto!) und wurde lt. eines Podcasts auch noch nicht einem externen Audit unterworfen. D.h. man muss derzeit davon ausgehen, dass sich den Cryptocode noch niemand außer den Entwicklern angesehen hat und daher weiß auch keiner ob es dort Unsicherheiten gibt. Die müssen nichtmal absichtlich eingebaut worden sein, da reichen schon dumme Fehler aus Unkenntnis und plötzlich bleiben von den vielen schönen Bits des Schlüssels effektiv nur noch sehr wenige übrig.

Thema wer mit wem:
mit der Idee, dass man Daten an jeder beliebigen Stelle der Übermittlung abgreifen kann, ist es überhaupt möglich zu verhindern, dass man diese Daten preis gibt? auch ein jabberserver muss seine Daten irgendwie zustellen und sobald ich Zugriff auf den Server habe, kann ich das überwachen?

Thema Rechte von threema:
Zugeständnisse an die Einfachheit. mittels SMS identifiziert man seine Telefonnummer, man kann aus dem Programm heraus seinen Standort und Bilder verschicken. klar muss ich vertrauen, aber zu moderner Kommunikation gehören solche Daten dazu.

weitere Frage:
wie ist es mir möglich zu überprüfen, ob die app aus dem Google Markt dem Source Code entspricht? oder sind alle Bestrebungen nutzlos, weil mir Google immer eine aufgebohrte Version unterschieben kann ohne dass ich es merke?

WHISTLE.IM - Verschlüsselter Whatsapp-Konkurrent kommt aus Deutschland

Nach Angaben von Whatsapp gibt es 20 Millionen aktive Anwender in Deutschland. Whistle.im will eine 2.048-Bit-End-To-End-verschlüssselte Alternative sein, bei der das Adressbuch nicht bei der NSA abgegeben wird.

http://hannover.ccc.de/~nexus/whistle.html - Nur falls jemand Hoffnungen hatte.

ich hatte zumindest hoffnungen, die seite öffnen zu können :P