[Update] Sichere Kommunikation, welche App nehmen?

sticker_a7_free_software_version2

“Wem Daten wichtig sind, der muss sie verschlüsseln und darf nicht auf den eigenen Nationalstaat hoffen.” (Hans-Peter Uhl, CSU)

Verschlüsselung schützt unsere Daten. Sie schützt unsere Daten, wenn sie auf unserem Computer gespeichert sind und wenn sie durch das Internet geschickt werden. Sie schützt unsere Gespräche, egal ob es Video-, Sprach- oder Textnachrichten sind. Sie schützt unsere Privatsphäre und sie schützt unsere Anonymität. Manchmal sogar unsere Leben.

Dieser Schutz ist wichtig für uns alle. Es ist klar, dass Verschlüsselung Journalist*innen, Menschenrechtler*innen und politische Aktivist*innen beschützt. Aber sie schützt zugleich uns alle. Sie schützt unsere Daten vor Kriminellen und vor Konkurrent*innen, Nachbar*innen und Familienmitgliedern. Sie schützt unsere Daten vor böswilligen Angreifer*innen. Auch schützt sie uns vor dem einen oder anderen Malheur. [Quelle: https://netzpolitik.org/2015/bruce-schneier-warum-wir-verschluesseln/]

Deswegen wollen wir euch hier verschiedene Messenger vorstellen, welche ihr verwenden könnt um eure alltägliche Kommunikation zu verschlüsseln. Die Vorlage hierfür hat der BAK Netzpolitik auf seiner Homepage veröffentlicht .

In puncto Funktionalität geben sich alle vier Messenger nicht viel, abgesehen davon, dass Signal zusätzlich die Verschlüsselung von SMS und Telefonaten ermöglicht und es dem Nutzenden nicht erlaubt, Screenshots von Konversationen zu machen. Dies ist ein Feature, welches die anderen Messenger nicht unterstützen.

Ihr könnt mit allen vier Messengern verschlüsselt Nachrichten austauschen, Bilder und Videos versenden und Sprachnachrichten versenden. Ganz Grundsätzlich raten wir davon ab, Software von kommerzielen Anbietern zu nutzen, die keine offenen Protokolle verwenden. Dies liegt daran, dass geschlossene Ökosysteme in sozialen medien zu Monopolartigen Situationen führen die viele Probleme aufweisen, wie das jemand eher nicht den Anbieter wechselt, wenn er*sie seinen Kontaktkreis in diesem Netzwerk hat. Ausführliche Infos zur funktion geschlossener Systeme, wie WhatsApp, twitter und Facebook findet ihr hier: http://mosaik-blog.at/macht-und-monopole-der-sozialen-massenmedien/

Verschlüsselte Messenger

Jabber + OMEMO

omemo_logoFür das ältere XMPP-Protokoll (Jabber) gibt es inzwischen auch eine Ende-zu-Ende Verschlüsselung auf Basis des selben Algorithmus wie bei Signal. Dieses wird vor allem von der Android App “Conversations” (https://conversations.im) unterstützt, aber auch für den Desktop-Client “Gajim”. Jabber ist dezentral, sprich Daten liegen auf verschiedenen Servern, und unterstützt Dateitransfer sowie Gruppenchats. Größstes Manko: Für Gruppenchats müssen sich alle Teilnehmer gegenseitig in der Kontaktliste haben und ihre Keys direkt ausgetauscht haben.

Riot

Riot-App-Chat-620x363Riot ist eine relativ neue App, welche das Open-Source Protokoll “Matrix” verwendet und seit Herbst 2016 im Beta eine Ende-zu-Ende Verschlüsselung auf Basis des selben Algorithmus wie bei Signal integriert hat. Die Anwendung ist vollständig funktional, mit Gruppenchats und Voicecalls sowie Dateitransfer.

Entgegensatz zu Signal ist das ganze dezentral aufgebaut, mit verschiedenen Servern. Das heißt, dass nicht alle Nutzer*innen von einer Sicherheitslücke betroffen sind, wenn ein Server von Sicherheitsbehörden ins Visier genommen wird (ähnlich wie Jabber und E-mail) Größtes Manko: Bisher muss man die Verschlüsselung bei jeden Chat erst gezielt aktivieren, ein Verhalten welches mit dem Ende der Beta-Phase erledigt sein sollte.

Die App gibt es als Webclient und auch für Android und iOS. Runterladen kann man sich das Programm hier: https://riot.im

Es gibt auch andere implementationen des Protokolls, die alle miteinander über das selbe Netzwerk kommunizieren können, jedoch haben diese noch nicht so viel Funktionalität wie Riot selbst.

Signal:

unnamedGibt es seit Mai 2010 und wird von führenden Crypto-Spezialisten empfohlen – unter anderem ist auch Edward Snowden ein Fan. Entwickelt wird es von der non-profit Organisation OpenWhisperSystems, die sich über Spenden finanziert und alle Produkte als OpenSourceSoftware veröffentlicht. Runterladen könnt ihr Signal für Android und IOS hier: https://whispersystems.org/blog/signal/

Vorteile: Ende-zu-Ende Verschlüsselung, größten teils OpenSource (Es ist überprüfbar, dass nicht absichtlich Sicherheitslücken in das Programm eingebaut wurden, allerdings nutzt Signal Google-Komponente die nicht offen sind), kostenlos, Perfect Forward Secrecy (Bei Verlust des Schlüssels können nur wenige Nachrichten entschlüsselt werden.), Abstreitbarkeit (Niemand kann beweisen, welche Nachrichten ihr wirklich verschickt habt)

Tox:

toxBietet seit 2013 komplett Ende-zu-Ende verschlüsselten Audio/Video Chat (mit Gruppenchat), inklusive der Möglichkeit auch Dateien zu übertragen. Dazu muss man nur einen Tox-Client auf seinem Computer installieren, emfehlenswert ist qTox, da der Client bisher am meisten features implementiert hat. Tox ist komplett Open-Source und frei verfügbar. Tox kann man für sehr viele Plattformen (Linux, Windows, Mac, Android, IOS, etc.) hier runterladen: https://tox.chat/

Um Leute  zum Chatten haben, müssen die nur auch ein Tox client haben, dann kann  man IDs austauschen und den anderen hinzufügen. Einziger Nachteil:  Offline Chat geht (noch) nicht. Der große Vorteil an Tox ist, dass bei diesem Protokoll auch die allermeisten Metadaten versteckt werden, womit eine Analyse von Netzwerken (wer mit wem in verbindung steht und wie oft) um einiges schwieriger ist.

Threema:

threemaGibt es seit 2012 und wird von der, in der Schweiz ansässigen, Threema GmbH entwickelt und produziert, siehe: https://threema.ch/de/

Threema ist auch ein Ende-zu-Ende verschlüsselter Instant-Messenger, welcher allerdings ein wenig anderes Verschlüsselungsverfahren nutzt. Threema nutzt ein Verfahren namens Elliptic Curve Cryptography und generiert Schlüssel, welche mit 3072-Bit RSA-Schlüsseln vergleichbar sind. Threema ermöglicht euch eine sichere Kommunikation über einen Instant-Messenger, allerdings könnt ihr keine verschlüsselten SMS versenden oder verschlüsselte Telefonate führen. Außerdem sind die Kosten für Threema einmalig 1,99€ bis 2,49€. Threema ist der einzige der drei Messenger, welcher keine Open Source-Lösung ist. Somit ist bei Threema leider auch nicht die genaue Funktionsweise der Verschlüsselung bekannt.

Fazit: Kann leider nicht empfohlen werden, da ein Kaufpreis für viele Menschen nicht in Frage kommt und Sie keine Kreditkarte bei Google oder Apple hinterlegen wollen. Zudem hat es etliche weitere Nachteile gegenüber Signal wie der fehlende offene Quellcode und die nicht vorhandene Perfect Forward Secrecy und Abstreitbarkeit.

Telegram:

telegramGibt es seit 2013 und wird von der Telegram Messenger LLP entwickelt. Telegram gehört zum russischen Facebook-Equivalent, was an dieser Stelle vielleicht erwähnt werden sollte. Ihr findet Telegram hier: https://telegram.org/

Auch bei Telegram kann eine Ende-zu-Ende-Verschlüsselung genutzt werden, diese muss allerdings erst vom Nutzenden, also euch, aktiviert werden. Erst dann wird eine symmetrische AES-256 und eine RSA-2048 Verschlüsselung genutzt. Wie sicher die Verschlüsselung ist ist jedoch unklar, da der Code dafür relativ unerprobt ist.

Vorteil hier: Bei Telegram lassen sich zeitlich begrenzte Nachrichten einstellen, welche sich nach einer gewissen Zeit selbst vernichten.

Ist diese Funktion allerdings nicht aktiviert, sind eure Nachrichten für den Hersteller der App unverschlüsselt und dieser kann darauf zugreifen. Somit wäre die App auch anfällig für sog. Man-in-the-middle-Attacken mit denen eure Nachrichten abgefangen und ausgespäht werden könnten. Außerdem ist hier die Frage, ob ihr euer Vertrauen in das größte russische Soziale-Netzwerk stecken möchtet und diesem eure sensiblen Daten anvertraut.

Telegram als Messenger ist mit allen seinen Funktionen auch kostenlos verfügbar und zumindest die App ist eine OpenSource-Lösung.

Fazit:

Aufgrund der Tatsache, dass Signal eine bewährte und zeitgemäße Verschlüsselung besitzt, kostenlos und Open-Source ist hat der BAK Netzpolitik sich dafür entschieden, diesen Messenger klar zu empfehlen.

Da Signal jedoch teilweise Code verwendet der nicht eingesehen werden kann und alle Daten (z.B. die Telefonnummern) auf einen zentralen Server liegen, würden wir inzwischen entweder Riot oder Jabber mit OMEMO empfehlen. Allerdings bietet Riot mehr Funktionalität derzeit, da es auf mehr Plattformen läuft sowie Gruppenchats unterstützt wo man nicht alle anderen kontakte schon haben muss.

Hier noch ein paar Links, welche a) Quellen sind und b) für euch noch einmal eine genauere Übersicht über die Funktionalität und die Bewertung der Sicherheit der einzelnen Messenger geben.

[1] http://praxistipps.chip.de/telegram-vs-threema-vergleich-der-messenger_29076

[2] https://de.wikipedia.org/wiki/Telegram_Messenger

[3] https://de.wikipedia.org/wiki/Threema

[4] https://de.wikipedia.org/wiki/Signal_(Software)

[5] http://www.heise.de/security/meldung/Edward-Snowdens-Messenger-TextSecure-und-RedPhone-sind-jetzt-Signal-2868645.html
[6] https://www.eff.org/secure-messaging-scorecard

Leave a Reply

Your email address will not be published. Required fields are marked *