Kurzmitteilungen auf dem Handy

Tutorial Thema: 
Nachdem Facebook (tm) WhatsApp (tm) gekauft hatten, wandten sich viele Leute Threema (tm) zu. Dies greift ein wenig kurz. Hacker haben eine Alternative zu WhatsApp und Threema entwickelt, die zudem noch sicher ist.

Der Schock saß bei vielen tief: Facebook (tm) kauft WhatsApp (tm). Viele (oder eher einige...) wechseln verzweifelt zu Threema (tm). Die WhatsApp-App sammelt standardmäßig alle Handynummern auf Deinem Mobilgerät und gibt sie an die WhatsApp-Zentrale weiter. Nun soll das auch noch Facebook erhalten? Threema ist keine wirkliche Alternative: Verschlüsselung gibt es nicht (ebenso wenig wie bei WhatsApp) und Datenschutz ist ein Fremdwort. Ferner sind die Prozesse bei Threema noch intransparenter.

Was kann mensch tun?

Du willst Kurznachrichten mit Deinen Freunden austauschen, keine SMS verwenden, da das zu teuer ist, aber Facebook die ganzen Kontaktdaten verraten, ist Dir zu heikel? Die Alternative kommt von Openwhispersystems und dessen Entwickler Moxie Marlinspike und heißt "Textsecure". Die haben einen Kurznachrichtendienst entwickelt, der wirklich Ende-zu-Ende verschlüsselt, d.h. niemand auf dem Weg von Dir zu Deiner Freundin / Deinem Freund kann mitlesen. Die Sicherheit basiert auf PGP mit einigen Erweiterungen, damit auch Nachrichten geschickt werden können, wenn die Gegenstelle gerade offline sein sollte. Mehr gibt es auch auf Golem oder in der ZEIT

Wie geht das?

Du gehst auf den PlayStore (für Android) und lädst Dir "Textsecure 2.0" herunter. Anschließend musst Du Dir ein Passwort ausdenken, ferner Deine Telefonnummer angeben (das kannst Du überspringen) sowie die Kontaktdaten in den verschlüsselten Tresor von Textsecure übertragen. Anschließend kannst Du wie gewohnt Nachrichten austauschen. Natürlich muss die Gegenstelle, das Programm auch haben.

Lizenz des Artikels und aller eingebetteten Medien: 
Creative Commons by-sa: Weitergabe unter gleichen Bedingungen

Ergänzungen

Das Protokoll von Textsecure ist eine Weiterentwicklung des Off-the-Record Messaging (OTR) Protokolls. OTR wurde für die Echtzeitverschlüsselung von Chats entwickelt und wird meistens in Verbindung mit dem Client Pidgin eingesetzt. Im Gegensatz zu PGP/GnuPG bietet OTR nicht nur Verschlüsselung, sondern darüber hinaus auch einen Schutz vor nachträglicher Entschlüsselung bei Verlust des privaten Schlüssels und die Möglichkeit der glaubhaften Abstreitbarkeit von Aussagen. Das OTR-Protokoll setzt dafür voraus, dass beide Gesprächspartner online sind und sich durch ein kompliziertes mathematisches Verfahren auf einen gemeinsamen Sitzungsschlüssel einigen, mit dem das eigentliche Gespräch verschlüsselt wird, ohne diesen über das Internet zu versenden (Diffie-Hellman-Schlüsselaustausch). Das gleiche Prinzip wird auch bei SSL-Verschlüsselung mit Perfect Forward Secrecy eingesetzt, um die Datenspeicher der NSA nutzlos zu machen.

Textsecure hat jetzt vor allem das OTR-Protokoll so erweitert, dass nicht mehr beide Personen gleichzeitig online sein müssen, damit der Verbindungsaufbau funktioniert. In der Version 2 haben sie sich soweit von OTR entfernt, dass sie dem Protokoll mit axolot einen eigenen Namen gaben.

An der Empfehlung Textsecure statt normaler SMS, WhatsApp und co zu nutzen, ändert das natürlich nichts.

Textsecure ist mittlerweile unter dem Namen "Signal" unterwegs.

Mittlerweile biete auch Threema eine End-zuEnd Verschlüsselung.

Alternativ bieten sich Apps wie Wire oder einfach chats mit dem xmpp protokoll + omemo plugin an.

Die App Briar verschlüsselt nicht nur die Nachichten, sondern sendet sie sogar direkt durch das TOR-Netzwerk, statt über einen Server, so das keine Metadaten anfallen.

Das ist geiler Scheiß, checkt das mal aus.

https://media.ccc.de/v/34c3-8937-briar#t=220

"Die haben einen Kurznachrichtendienst entwickelt, der wirklich Ende-zu-Ende verschlüsselt,..."

Ach? Ja? wirklich?

Wie naiv muß man sein, um solchen Versprechungen zu trauen?

Kann hier mal jemand erklären, warum Prozessoren teilweise über neunzig Befehle im Befehlssatz haben, wenn von den bekannten Programmiersprachen nichtmal vierzig genutzt werden? Wozu braucht man die anderen? Vielleicht zum Abhören im Klartext? Ein Rechner kann ja nicht verschlüsselt rechnen. Irgendwo auf dem nackten Blech, wo Nullen und Einsen in elektrische Impulse verwandelt werden, hat man den Klartext (entweder es liegt spannung an, oder eben nicht - das kann man nicht verschlüsseln!) und dort kann man ihn (den Klartext)  abgreifen und auf separatem Kanal (ja sogar auf demselben) nach außen schicken. Die  Leuchtdiode wird dafür mal stummgeschlaltet, das Handy sieht aus, als wäre es nicht an, oder die Batterie wurde sogar ausgebaut. Kein Problem: Wenn der Nutzer es  wieder einschaltet, schickte es die noch nicht abgesandten Daten eben kurz nach dem einschalten raus.

Leute, vergeßt das Märchen von der IT-Sicherheit!

Wer seine Freiheit liebt, lebt analog! (aus dem Gedächtnis zitiert nach Assange)

Aber Computer sind ja soooo bequem ...

Silence ermöglicht weiterhin SMS/MMS Verschlüsselung, verzichtet dabei auf Google Abhängigkeiten und push messenges.

 

https://git.silence.dev/Silence/Silence-Android/

https://mastodon.social/@silence

 

 

Seiten