Threema verspricht die beste Verschlüsselung

26.07.2017 | Petra Alm

Mit dem folgenden Artikel schreiten wir mit der Vorstellung von sicheren Kommunikatoren fort. Threema stellt eine mobile Anwendung für verschlüsselte Kommunikation mit fünf Jahren Erfahrung und 3.5 Millionen Nutzern dar. Die Autoren des Tools heben vor allem seine Sicherheit hervor und die Tatsache, dass ihnen der Sitz in der Schweiz Unabhängigkeit garantiert. Der Messenger kann sich außerdem auch mit einer Desktop-Version und Unterstützung der mobilen Plattform Windows rühmen. Für einen Nachteil können wir halten, dass es sich um einen bezahlten, nicht kostenlosen Dienst handelt.

Einer von vielen Messenger-Diensten?

Die Krypto-Messenger haben infolge von enthülltem Spähen der Regierungsbehördenan Beliebtheit gewonnen (der berühmteste Vorfall war der mit Snowden). Die Nutzer Verlangen einen Abhörschutz ihrer Kommunikation und diesen bietet ihnen die Ende-zu-Ende-Verschlüsselung zwischen den beiden kommunizierenden Seiten. Es handelt sich nicht um eine übliche Verschlüsselung der zwischen den Handys und dem Server des Providers übertragenen Daten, bei welcher die nachfolgende Speicherung der Daten in dem Ziel, also bei dem Dienstleister, außer Acht gelassen wird. Bei dieser einfachen Verschlüsselungsmethode sind deshalb die Unterhaltungsinhalte in der Datenbank des Providers und in dem Speicher des Handys abzufangen. Threema verhindert diese Risiken eben mit der Ende-zu-Ende-Verschlüsselung – somit kann selbst der Diensleister die Nachrichten nicht lesen. Ähnlich wie Signal nutzt Threema eine eigene Lösung, deren Details Sie in einem selbständigen Absatz unten finden.

Threema konzentriert sich nicht nur auf die Sicherheit, sondern möchte sich auch als ein praktisches und benutzerfreundliches Tool etablieren. Die Möglichkeit, verschiedene Dateitypen zu teilen, übertrifft den Standard. Erwähnenswert ist auch die Desktop-Version des Messengers – für die Absendung der Nachrichten können Sie wie bei Signal Ihren Rechner nutzen. Um diese Funktion wurde Threema im Februar 2017 erweitert - mehr über den Desktop-Client erfahren Sie in der Nachricht des Herstellers.

Sicherheit der Anwendung

Die Hauptdevise des Threema-Kommunikators besteht in der Verschlüsselung der Unterhaltung zwischen zwei Subjekten. Die Anwendung ist gebührenpflichtig und deshalb steht es im Interesse der Entwickler, dass die Absicherung transparent und für Nutzer, sowohl für Laien als auch für Experten, ausreichend attraktiv ist.

Auf dem Web des Herstellers sind Prinzipien der Absicherung erklärt. Laut Autoren befindet sich diese auf einem Vorbild-Niveau. Wir können erfahren, dass die Verschlüsselung über zwei Schichten erfolgt, die den Lauschangriff verhindern: die Informationen sind nicht nur über die Ende-zu-Ende-Verschlüsselung abgesichert, sondern werden auch bei dem Datentransport chiffriert.

Zwei Verschlüsselungsschichten in Threema

Zwei Verschlüsselungsschichten. Quelle: Threema.ch

Zu der Ver- und Entschlüsselung der Nachrichten kommt es direkt auf den Geräten der kommunizierenden Subjekte. Threema nutzt die asymmetrischen Chiffren ECC von 256 Bits. Für die symmetrische Kommunikation setzt sie die Verschlüsselung XSalsa20 ein. Für den Schlüsselaustausch dann ECDH mit Curve 25519. Neben der Datenübertragung müssen auch die in dem Handy gespeicherten Daten abgesichert werden. Dieses erreicht Threema mit abgesicherten Datenbanken und einem Sandbox, der den Zugang von anderen Anwendungen zu den Daten unmöglich macht.

Selbstverständlich ist auch die sog. Forward secrecy-Funktion, die das zukünftige Durchbrechen der eingetragenen Netzkommunikation verhindert. Während der Serververbindung verlässt sich Threema nur auf zeitweilige Schlüssel, die in RAM gespeichert sind und die sich bei jedem Neustart der App ändern.

Eine detaillierte Beschreibung der Sicherheitsprinzipien stellen die Autoren den Experten in dem Dokument Threema Cryptography Whitepaper zur Verfügung. Dieser Transparenzgrad ist für andere Hersteller nachahmenswert.

Erste Schritte

Falls die oben beschriebenen Sicherheitsprinzipien Ihr Interessen geweckt hat, laden Sie Threema von der Veertriebsplattform Ihres Smartphones herunter. In den folgenden Absätzen finden Sie eine Basis-Anleitung für die Nutzung der Anwendung, die Ihnen die ersten Schritte vereinfachen wird.

Threema funktioniert ähnlich wie andere Kommunikatoren. Das Nutzerkonto ist jedoch nicht mit einer konkreten E-Mail (Messenger) oder Telefonnummer (Signal) verbunden. Nach dem Start erstellt die Anwendung eine zufällige und unikale ID-Nummer des Nutzers.

Auf den Screenshots unten sehen Sie einen Leitfaden durch die Einstellung der Applikation. Außer der Erstellung einer ID und eines Nicknamens kann Threema das Konto auch mit der E-Mailadresse und Telefonnummer (mehr unten) verbinden und in dem Telefon Kontakte aussuchen, die Threema ebenfalls nutzen. Diese werden Ihnen dann in der Kontaktliste angezeigt.

Verküpfung mit Telefonnummer und E-Mailadresse

Wie wir schon oben erwähnt haben, ermöglicht der Assistent die Threema-ID mit der Telefonnummer zu verbinden. Dank der Nummer und E-Mailadresse kann die Anwendung das Adressbuch des Handys durchsuchen und andere Threema-Nutzer identifizieren. Die Telefonnummer überprüft Threema mit einer SMS-Nachricht mit einem Code und einem Link - nach seinem Abrufen paart sich die Telefonnummer in der Anwendung mit dem Threema-Konto.

Bestätigung der Telefonnummer

Bestätigung der Telefonnummer

Verknüpfung der E-Mailadresse mit dem Konto funktioniert durch das Klicken auf die zugesendete Nachricht. Außerdem müssen Sie jedoch auch Ihre ID angeben.

Bestätigung, dass Ihre E-Mailadresse mit Threema verbunden worden ist

Überprüfung der E-Mailadresse

Nach diesen zwei Authentifizierungsschritten verfügt Threema über Ihre E-Mailadresse und Handynummer. Über die E-Mailadresse lässt sich auch das Passwort zurücksetzen.

Los geht's 

Die Anwendung zeigt uns vier Hauptbildschirme – Kontaktliste (Contacts), Nachrichten (Messages), Details meiner ID (My ID) und Einstellungen (Settings). In der Kontaktliste finden Sie andere Nutzer von Threema aus Ihrem Adressbuch, denen Sie schreiben können. Aktive Gespräche befinden sich dann unter Nachrichten. In den Details der ID gibt es Informationen über Sie als den Threema-Nutzer und Sie können hier ebenfalls die Konfiguration der App anpassen.

Das Detail von Ihrem Profil sehen Sie unten. Es enthält auch einen QR-Code, den Ihre Freunde einscannen und Sie somit in ihre Kontaktliste einfach hinzufügen können. Neben diesem Weg kann in Threema auch die ID des gesuchten Kontaktes ergänzt werden, wie wir schon erwähnt haben.

In der Nutzung unterscheidet sich Threema nicht wesentlich von den anderen Krypto-Messengern. Eine interessante Neuheit stellt aber eine Default-Unterstützung von multimedialen Anhängen dar. Neben Fotos, Sprachnachrichten und Videos, die bei einer solchen Anwendung zu erwarten sind, können Sie auch Dateien mit der Endung PDF, GIF, MP3, DOC oder ZIP senden. Selbstverständlich bietet Threema auch einen Gruppen-Chat an.

Multimedien einfügen

Möglichkeiten der Einfügung von Multimedien sind wirklich breit

Erwähnenswert sind drei Punkte, die wir bei dem Namen von jedem Kontakt in der Liste finden können. Es handelt sich um Indizien zur Sicherheit der Kommunikation mit dem betreffenden Nutzer und bedeuten das Folgende:

Level 1 – ein roter Punkt: Die ID des Nutzers und der öffentliche Schlüssel wurden von dem Server erworben, weil Sie von diesem Kontakt eine erste Nachricht erhalten haben, oder weil Sie ihn von Hand hinzugefügt haben. In Ihrem Adressbuch befindet sich kein entsprechender Kontakt und deshalb können Sie der Identität des Subjektes nicht vertrauen.

Level 2 – zwei orange Punkte: Die ID des Nutzers entspricht dem Kontakt in Ihrem Adressbuch. Es ist deshalb wahrscheinlich, dass der Kontakt die Person ist, für welche er sich ausgibt.

Level 3 – drei grüne Punkte: Die ID des Kontaktes konnten Sie persönlich bestätigen, seinen Schlüssel ebenfalls – durch das Einscannen seines Codes. Falls das Handy dieser Person nicht gehackt worden ist, können Sie sicher sein, dass Sie direkt mit ihr kommunizieren. Die Schlüssel bei einem Treffen auszutauschen ist die sicherste und am vertrauenswürdigste Methode, wie Sie einen Kontakt in Threema hinzufügen können.

Das Element der Indizierung von der Sicherheit der Kommunikation mittels Punkte ist auch für Laien nachvollziehbar und deshalb können wir es nur loben. Die Bedeutung könnte jedoch besser erklärt sein, denn in dem Infozentrum des Herstellers will selten jemand nachsuchen.

Threema kann die Kopie der User-ID verschlüsselt auf einem externen Speicherort bewahren. Übertragung der App in ein neues Handy erfolgt dann einfach von dieser Sicherungskopie. Mehr Informationen finden Sie direkt auf dem Web des Herstellers. Exportieren können Sie sogar auch einzelne Chats, falls Sie nicht ein Windows Phone haben.

Vergleich mit der Konkurrenz

Threema wird oft mit dem Kommunikator Signal verglichen. Ihm gegenüber hat sie aber mehrere Vorteile anzubieten:

  • Threema nutzt eine anonyme ID und das Konto muss nicht mit einer Telefonnummer verbunden sein.
  • Die Android-Version verfügt über modulare Rechte und kommt ohne Berechtigungen für Mikrofon oder Fotoapparat aus.
  • Threema funktioniert auch ohne SIM-Karte.
  • Zeigt in der Kontaktliste ein Sicherheitssymbol an.
  • Kann Anhänge von fast 20 MB absenden.

Erfahrungen der Nutzer und vor allem eine Diskussion über die Unterschiede zwischen Threema und Signal finden Sie in diesem Faden auf Reddit, weitere Beiträge gibt es in einer selbständigen Sektion über Threema.

Eine tiefere Konfrontation der Sicherheit von Threema und Signal müssen wir schon Verschlüsselungs-Experten überlassen. Signal geht von einem eigenen Protokoll aus (früher von dem TextSecure Protokoll), welches auf den Algorithmus Double Ratchet fußt. Seinen Nutzern ermöglicht Signal einen unabhängigen Vergleich von den Fingerabdrücken der verwendeten öffentlichen Schlüssel - dadurch kann die Anwendung in der Kommunikation einen MITM-Angriff ausschließen.

Die Sicherheit von Signal haben unabhängig voneinander zwei Sicherheitsaudits beurteilt und beide halten seine Absicherung für kryptographisch fest. Von diesem Audit schöpft die Öffentlichkeit ihr Vertrauen in die Sicherheit der Anwendung – Hersteller von Signal haben die Details des Protokolls nämlich nicht veröffentlicht und der Audit wurde auf Basis eines Quellcodes durchgeführt. Das Protokoll von Signal hat auch Facebook Messenger für seine geheimen Nachrichten übernommen, WhatsApp und GoogleAllo. Unter die Nutzer von Signal reihen sich zum Beispiel Edward Snowden oder Bruce Schneier ein.

Sowohl Signal als auch Threema können wir für sichere Kommunikatoren halten, aber neben dem technischen Niveau spricht für Threema auch die Unabhängigkeit und Freiheit der Autoren in der Schweiz. Herstellern von Signal könnten in Zukunft eben diese Prinzipien fehlen – erinnern wir uns an Lavabit, dessen Ende der Druck der Regierungsbehörden verursacht hat.

Offene Fragen? An den Hersteller oder an die Kommunität

Threema können wir als eine benutzerfreundliche Anwendung bezeichnen, aber auch trotzdem können einige Funktionen unklar sein. Sollten Sie bei der Nutzung auf ein Problem stoßen, empfehlen wir Ihnen, sich das Web des Herstellers - das Infozentrum – FAQs - anzuschauen oder den bereits erwähnten Diskussions-Faden auf Reddit durchzulesen. Falls Sie auch hier die Antwort nicht finden, können Sie den offiziellen Support des Herstellers kontaktieren. Diese Möglichkeit stellt einen weiteren Vorteil einer bezahlten Anwendung dar.

Threema ist nicht der einzige Krypto-Messenger

Die Ende-zu-Ende-Verschlüsselung bieten natürlich auch andere Apps an, wie Signal, Facebook Messenger oder WhatsApp. Die zuletz genannte werden wir uns in einiger von den nächsten Anleitungen vorstellen und somit unsere Serie über sichere und verschlüsselte Kommunikatoren erweitern...

Quellen:

  1. Threema FAQ.
  2. Threema Cryptography Whitepaper.
  3. Signal's protocol gets glowing reviews in first security audit.
  4. SIGNAL AUDIT REVEALS PROTOCOL CRYPTOGRAPHICALLY SOUND.

Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de