Arch Linux Tux

[ENC]BladeXP's Blog

Was die Welt nicht alles braucht!

Was Threema richtig macht?

2014-03-23 13:24 | Kategorien: allgemeines android sicherheit software

Gestern habe ich etwas über WhatsApp geschrieben. Heute soll es etwas um Threema gehen, aber natürlich nicht ein weiterer Test dieser Anwendung, sondern eine Erläuterung von Dingen die Threema richtig macht.

Der Artikel soll nicht als Werbung für Threema missverstanden werden, ich selbst halte Threema für eine Technologiedemo, welche zeigt, wie man Kryptografie für normale Anwender brauchbar hinbekommen kann. Unser Ziel sollte es nicht sein das alle Menschen Threema verwenden, sondern das wir aus den Verbesserungen und Ideen die uns Threema bietet für zukünftige Projekte lernen.

Einfach

Letztes Jahr habe ich schon mal einen kleinen Rant zum Thema XMPP veröffentlicht. Für jemanden der bisher WhatsApp nutzt wird also XMPP auch langfristig keine Alternative sein, zu groß ist der Schmerz bei der Konfiguration von Clients in der Familie oder im eigenen Freundeskreis.

Threema geht hier einen Einfachen weg, da es nur einen Client gibt, gehen damit auch alle verfügbaren Features automatisch. Ein Benutzername oder Passwort ist ebenso wenig vorhanden wie ein Server oder dessen zugehörige Einstellungen. Der Anwender muss sich hier also keine Gedanken machen, er kann direkt nach der Installation loslegen.

Der einzige Unterschied zu WhatsApp ist wohl das lustige rumwischen auf dem Display zum erzeugen von Zufallszahlen. Alles andere verhält sich mehr oder weniger so wie in jedem anderen Messenger.

Usability

Das größte Problem an Kryptografie war schon immer der Schlüsselaustausch oder die Notwendigkeit sich gegenseitig zu signieren. Beim gängigen GPG Verfahren erfolgt dies über das Ausdrucken (!!!) von Zetteln durch die Teilnehmer und dem Abgleich von Personalausweisen, Reisepass oder Führerscheinen auf diversen Veranstaltungen. Ist dies erledigt, geht man nach Hause und ärgert sich wahlweise mit der Kommandozeile oder einem grafischen Frontend für GPG rum. Der Aufwand ist einigen Nerds ohne Probleme zu vermitteln, mein Nachbar will davon aber einfach nichts wissen. Er hat auch keine Lust 2-3 Semester Informatik oder Kommandozeilentheologie zu studieren.

Threema löst dieses Problem sehr elegant, und zwar gibt es für jeden Kontakt in der Kontaktliste mehrere Stufen der Vertrauenswürdigkeit. Die niedrigste Stufe (rot, ein Punkt) bedeutet das dieser Kontakt manuell der Kontaktliste anhand seiner ID hinzugefügt wurde. In der zweiten Stufe (orange, zwei Punkte) hat der Server von Threema die Handynummer und/oder Mailadresse durch geeignete Maßnahmen überprüft. Zuletzt gibt es noch eine dritte Stufe (grün, drei Punkte), diese bekommt man wenn man den QR Code des Kontaktes abgescannt hat.

Und eben diese dritte Stufe ersetzt das war wir heute umständlich mit GPG machen, und zwar mit einem Verfahren, das für normale Anwender auch geeignet ist. Einzig ein fehlendes Web of Trust ist mir aufgefallen, es wird also nicht über einen Server abgeglichen, wer von mir schon bestätigt/verifiziert wurde.

Features

Threema bietet nicht sonderlich viele Features, doch die vorhanden funktionieren in der Regel gut und ohne größere Probleme. Ein sehr wichtiges Feature ist meiner Meinung nach das es keine Werbung anzeigt, und so den Anwender nicht nervt und das damit verbundene ständige Tracking des Anwenders zumindest auf den ersten Blick unterbunden ist.

Was im Gegensatz zu vielen XMPP Setups auch gut funktioniert ist das Teilen von Bildern, ganz ohne die Notwendigkeit sich mit STUN oder komischen XMPP Extensions rumschlagen zu müssen.

Verbesserungspotential

Der Schüsselaustausch sollte zusätzlich zu den QR Codes auch über NFC möglich sein, wir haben diese großartige RFID Technik in unseren Geräten, also sollten wir sie auch nutzen. Gleichzeitig würde damit der Bedarf einer QC-Code Scanner Installation verschwinden, ich selbst brauche so ein Ding nämlich wirklich nicht.

Richtig nervig hingegen ist aber der nach wie vor fehlende Support für mehrere Endgeräte zur gleichen Zeit, denn obwohl ich ein Smartphone ständig dabei habe bevorzuge ich doch immer wieder mein Pad. Google Hangouts hat gezeigt, wie man mit mehreren Geräten umgehen kann, wenn man nur will.

Das größte Problem an Threema ist aber sein Closed Source Status, wir können schlicht nicht (direkt/angemessen) überprüfen was Threema wirklich macht. Der Hersteller stellt zwar einige Informationen bereit, ich selbst wünsche mir aber von Anwendungen vor allem aus dem Bereich der IT Sicherheit gerne Zugriff auf den Quellcode. Ich selbst wäre wohl nicht in der Lage diesen vollumfänglich zu verstehen, aber andere Messenger wurden gerne mal innerhalb weniger Tage demontiert.


Powered by makeblog.