OT: Whatsapp-Alternative

Message

Finswimmer · Post by **Finswimmer** » Fri Feb 21, 2014 3:56 pm

Hi,

WhatsApp ist mir schon lange ein Dorn im Auge. Auch wenn ich da keine sicherheitsrelevanten Daten mit austausche, gefällt es mir nicht, dass es so unsicher sein soll.
Und seit dem Aufkauf von Facebook wird mein Gefühl nicht besser..

Nun hat z.b. SPON als Alternative Threema vorgeschlagen.
Da stößt mir dann auch sauer auf, dass das nicht OpenSource ist und keiner die Verschlüsselung überprüfen kann. Das ist zumindest meine Befürchtung. Gerne lasse ich mich eines besseren belehren.
Theoretisch kann die Verschlüsselung ja super funktionieren, aber die App erzeugt vor dem Verschlüsseln eine Kopie und schickt die an den Server.
Wie kann also sichergestellt werden, dass die App nur das macht, was sie vorgibt?

Habt Ihr Erfahrungen oder ist meine Idee zu paranoid? Ich möchte nur vermeiden, dass ich von einem System auf ein anderes, nicht viel besseres, System wechsle.

Viele Grüße
Tobi

cryptosteve · Post by **cryptosteve** » Fri Feb 21, 2014 6:26 pm

Nein, Deine Einstellung ist nicht zu paranoid. Trotz allem bin ich ein Fan von Threema, da es auch für "Zivilisten" (nicht-Geeks) funktioniert und einfach einen runden Eindruck macht.

Zudem halte ich die Schrei nach OpenSource für ziemlich unsinnig, wenn das ganze auf Android als Plattform läuft.

Bislang war ich mit meiner Familie so ziemlich alleine bei Threema, in den letzten zwei Tagen sind ein paar Handvoll Kontakte hinzugekommen und ein paar weitere werde ich Anfang nächster Woche noch überreden. Mein WhatsApp-Account schreit zum 13.03.2014 wieder nach Verlängerung und voraussichtlich werde ich ihm den Gefallen nicht tun.

Und noch ein kurzer Link in eigener Sache, falls es jemanden interessiert: http://blog.crashmail.de/archives/381-W ... p-ist.html

Erdie · Post by **Erdie** » Fri Feb 21, 2014 8:24 pm

Was ist mit Telegram?

Fijoldar · Post by **Fijoldar** » Fri Feb 21, 2014 8:33 pm

cryptosteve wrote: Zudem halte ich die Schrei nach OpenSource für ziemlich unsinnig, wenn das ganze auf Android als Plattform läuft.

Sehr guter Punkt!

Ich selbst habe nie Whatsapp genutzt. Habe mir jetzt aber mal Threema gegönnt und bin damit soweit auch zufrieden. 100%ige Sicherheit wird man nie hinbekommen. Daher halte ich die gebotene Leistung für ausreichend.

kernelOfTruth · Post by **kernelOfTruth** » Fri Feb 21, 2014 11:24 pm

zum Thema WhatsApp und Sicherheit: http://arstechnica.com/security/2014/02 ... ould-love/

misterjack · Post by **misterjack** » Sat Feb 22, 2014 3:19 am

XMPP, was sonst

(Xabber kann auch OTR z.b.)

cryptosteve · Post by **cryptosteve** » Sat Feb 22, 2014 7:57 am

misterjack wrote:XMPP, was sonst (Xabber kann auch OTR z.b.)

Das Argument kommt immer wieder. Hast Du OTR schonmal im Zug benutzt? Wie ist das, wenn die Gegenstelle zum Zeitpunkt des verschlüsselten Verbindungsaufbaus nicht online ist?

Erdie wrote:Was ist mit Telegram?

Kommt vom russischen Pendant zu Facebook (VKontakte) und ist kostenlos (was für mich in der Folge bedeutet, sie müssen ihr Geld irgendwie andersweitig verdienen (Werbung, Verkaufen von Daten, Erstellen von Profilen?). Klingt für mich nicht reizvoller als Threema.

Edit: Antwort an Erdie eingefügt

Finswimmer · Post by **Finswimmer** » Sat Feb 22, 2014 11:05 am

Dass das System (Android) nicht sicher ist, ist ja eine andere Sache.
Mir geht es darum, ob man einer Closed-Software vertrauen kann, wenn sie sagt, dass sie die Nachrichten richtig verschlüsseln.
Natürlich kann man argumentieren, dass Facebook auch CS ist und viele nutzen es. Da weiß/vermutet man aber, was sie mit den Daten anstellen.

Ich möchte halt eine sinnvolle Alternative haben, die ich auch ruhigen Gewissens anderen empfehlen kann.
Und ich möchet nicht, dass ich in 2 Wochen dann wieder zurückrudern muss.

Momentan schwanke ich halt zwischen Threema und Telegram.
Threema ist deutlich transparenter bzgl. der Vertrauenswürdigkeit der Nutzer.
Telegram scheint zumindest eine gute Verschlüsselung zu haben. Aber nur im Secred Chat eine echte End-zu-End-Verschlüsselung.
Ansonsten haben sie wohl "nur" eine Verschlüsselung Server<->Client.

cryptosteve · Post by **cryptosteve** » Sat Feb 22, 2014 12:04 pm

Telegram kommt wohl vom russischen Facebook-Pendant Vkontakte. Das in Verbindung mit der Tatsache, das es kosternlos ist (wie verdienen die dann ihr Geld?) erscheint mir auch nicht sonderlich vertrauenswürdig.

Aber klar, ist letztlich immer ein Schritt ins ungewisse. Ist OpenSource aber auch, denn auch da gibts haufenweise Sicherheitslücken und falsche Implementierungen.

misterjack · Post by **misterjack** » Sat Feb 22, 2014 1:23 pm

cryptosteve wrote: Das Argument kommt immer wieder. Hast Du OTR schonmal im Zug benutzt? Wie ist das, wenn die Gegenstelle zum Zeitpunkt des verschlüsselten Verbindungsaufbaus nicht online ist?

Man kann auch OpenPGP mit XMPP verwenden. Wo ist da das Problem?

cryptosteve · Post by **cryptosteve** » Sat Feb 22, 2014 3:25 pm

misterjack wrote:Man kann auch OpenPGP mit XMPP verwenden. Wo ist da das Problem?

Jetzt weiß ich nicht, ob ich lachen oder weinen soll ...

Erdie · Post by **Erdie** » Sat Feb 22, 2014 9:28 pm

Naja, auch wenn man der Sache (Telegram) nicht wirklich vertrauen kann, würde ich das als Alternative sehen und zwar aus dem Grund, weil man dadurch eine gewissen Diversiät erhält und den Platzhirsch nicht noch weiter unterstützt. Ich habe eine ausgeprägte Aversion gegen Facebook.

forrestfunk81 · Post by **forrestfunk81** » Sun Feb 23, 2014 10:42 pm

Erdie wrote:Ich habe eine ausgeprägte Aversion gegen Facebook.

Dito

Ich habe schon ein paar mal versucht Leute zum Umstieg zur ein oder anderen alternativen Chat-Lösung zu bewegen. Da ich viel mit Nicht-Nerds kommuniziere muss die Software total einfach zu bedienen sein. Sobald man Leuten erklären muss, wie sie Kontakte hinzufügen können, ist der Umstiegswille schon vorbei - auch wenns für computeraffine Leute noch so einfach erscheint. Mit Threema und der Whatsapp Übernahme hats endlich geklappt viele zum Wechsel zu bewegen. Threema funktioniert mit der Telefonnr/Kontakte-abgleichen Funktion (optional) genauso einfach wie Whatsapp und hat mit den drei Punkten und Schlüssel scannen auch noch einen gewissen Nerdfaktor

Gegen Telegram gibts einige Vorwürfe was deren Crypto betrifft. Ich bin aber nun wirklich kein Crypto-Experte und überlasse die Bewertung lieber anderen.

Hier gibts auch einen interessanten Vergleich verschlüsselnder Messenger. Threema kommt da ganz gut weg.

Threema has introduced a unique validation feature in an attempt to assuage these concerns. The idea is that you can tell the application to log its encrypted payload, and then you can use some open source tools that they provide in order to independently verify that the payload has been encrypted properly using NaCl.

Open Source wäre natürlich deutlich besser. Ich verstehe aber, wenn die Geld verdienen wollen.

Erdie · Post by **Erdie** » Mon Feb 24, 2014 8:43 am

Bisher hatte ich noch gar kein Programm dieser Art auf meinem Handy. Auch kein Social Media Gedöns. Erst durch die Whatsapp - Sensationsmeldungen bin ich auf die Idee gekommen mir Telegram zu installieren und habe meinem Sohn, der jüngst sein eigenes Handy bekam, dazu geraten das auch zu tun. Sonst hätte er sich nämlich Whatsapp installiert. Jetzt habe ich eine instant messenger auf meinem Handy und genau einen Chatpartner - meinen Sohn. Ich bin so alt, dass email meine Hauptkommunikations - Platform ist.

tazinblack · Post by **tazinblack** » Wed Feb 26, 2014 12:13 pm

Hallo zusammen,

ich hatte auch nie whatsapp da ich was dagegen hatte, dass die meine Kontake absaugen.
Threema wirbt zu mindest mit der Aussage " Made in Switzerland. ".
Die Geschichte dass der payload mitgeloggt werden kann, damit man das mal anschauen kann finde ich extrem vorbildlich!

Wobei letztendlich garantiert das nicht, dass die das noch mit dem "globalen" Schlüssel entschlüsseln können der irgendwie noch mit eingebaut ist.
Aber Grundsätzlich finde ich den Ansatz europäischer Software super! Das sollten wir weiter ausbauen.

Wobei, ob man die Schweizer jetzt noch als mehrheitlich europäisch einstufen kann, da kann man sich ja seit letzter Woche auch drüber streiten.

Aber allgemein finde ich den Ansatz so viel wie möglich so stark wie möglich zu verschlüsseln super.

Wie Bruce Schneier https://www.schneier.com/news-161.html schon festgestellt hat , ist die allgemeine Überwachung einfach zu leicht zu bewerkstelligen und schlicht weg zu billig.

Also: Verschlüsselt was ihr könnt und was ihr habt, auch die Kochrezepte!

Und wenn ihr sicher sein wollt tauscht einfach nicht übers Internet Daten aus.

cryptosteve · Post by **cryptosteve** » Wed Feb 26, 2014 2:11 pm

tazinblack wrote:Also: Verschlüsselt was ihr könnt und was ihr habt, auch die Kochrezepte!

Und wenn ihr sicher sein wollt tauscht einfach nicht übers Internet Daten aus.

Damit sprichst Du mir aus der Seele!

mvaterlaus · Post by **mvaterlaus** » Wed Feb 26, 2014 2:59 pm

hi leute,
ich hab mir auch lange den kopf darüber zerbrochen, welche alternative ich für wathsapp verwende. Ich bin schlussendlich bei threema gelandet, da mir einige dinge wichtig sind. Ich hab mir die ganze FAQ durchgelesen und muss sagen, dass sie sehr viel über das verwendete konzept preisgeben. (muss natürlich nicht heissen, das es dann auch so ist.)
weiter gefällt mir die aussage, dass sie so wenig wie möglich benutzerinformationen speichern. Falls sie welche speichern auch nur so lange, wie wirklich nötig. Das handling der app gefällt mir sehr gut, vor allem das einlesen der öffentlichen schlüssel einer anderen person, sowie die klassifizierung der vertrauenswürdigkeit in 3 kategorien. Auch das die synchronisation mit dem adressbuch vollig optional ist.

was für mich (als schweizer) ein weiterer grund ist, ist das die daten, falls sie dann wirklich gespeichert werden, auf einem server in der schweiz sind und auch den heisigen datenschutzbestimmungen unterworfen sind.

[ot]

tazinblack wrote: das mit dieser abstimmung ist eine retourkutsche an die regierung, da sie uns versprochen haben, es werde nur eine gewisse anzahl an "fremdarbeitern" in der schweiz geben. fakt ist, dass es nun doppelt so viele sind, wie versprochen. dieser entscheid hat bei wenigen leuten den ursprung der fremdenfeindlichkeit, auch wenn es so rüberkommt. wir schweizer wollen halt immer unser eigenes süppchen kochen

[/ot]

tazinblack · Post by **tazinblack** » Wed Feb 26, 2014 3:17 pm

mvaterlaus wrote:hi leute,
ich hab mir auch lange den kopf darüber zerbrochen, welche alternative ich für wathsapp verwende. Ich bin schlussendlich bei threema gelandet, da mir einige dinge wichtig sind. Ich hab mir die ganze FAQ durchgelesen und muss sagen, dass sie sehr viel über das verwendete konzept preisgeben. (muss natürlich nicht heissen, das es dann auch so ist.)
weiter gefällt mir die aussage, dass sie so wenig wie möglich benutzerinformationen speichern. Falls sie welche speichern auch nur so lange, wie wirklich nötig. Das handling der app gefällt mir sehr gut, vor allem das einlesen der öffentlichen schlüssel einer anderen person, sowie die klassifizierung der vertrauenswürdigkeit in 3 kategorien. Auch das die synchronisation mit dem adressbuch vollig optional ist.

was für mich (als schweizer) ein weiterer grund ist, ist das die daten, falls sie dann wirklich gespeichert werden, auf einem server in der schweiz sind und auch den heisigen datenschutzbestimmungen unterworfen sind.

[ot]
tazinblack wrote: das mit dieser abstimmung ist eine retourkutsche an die regierung, da sie uns versprochen haben, es werde nur eine gewisse anzahl an "fremdarbeitern" in der schweiz geben. fakt ist, dass es nun doppelt so viele sind, wie versprochen. dieser entscheid hat bei wenigen leuten den ursprung der fremdenfeindlichkeit, auch wenn es so rüberkommt. wir schweizer wollen halt immer unser eigenes süppchen kochen
[/ot]

Also das "Falls sie welche speichern auch nur so lange, wie wirklich nötig." gilt wohl auch für die Daten, welche die NSA speichert. Ist bloß ne Frage was man mit den Daten machen will.

[ot]
noch mal zum Thema Abstimmung in der Schweiz.
Vielleicht sollten wir in D auch nur Anzahl X Schweizer jeden Tag auf unsere Straßen lassen. Dann wärs auch nicht so voll auf unseren Straßen und die Straßen wären nicht so kaput

Sorry, ist wohl auch etwas sarkastisch! Bitte nicht in den falschen Hals bekommen!
Also mein Bekanntenkreis und ich können das in der Schweiz gerade jedenfalls nicht ganz nachvollziehen.
Mal sehen was draus wird.
[/ot]

mvaterlaus · Post by **mvaterlaus** » Wed Feb 26, 2014 4:01 pm

eigentlich habe ich das mit so kurz wie nötig auf folgenden FAQ eintrag bezogen:

threema.ch wrote: Wenn Sie die Synchronisation verwenden, werden E-Mail-Adressen und Telefonnummern aus dem Adressbuch nur einwegverschlüsselt («gehasht») und zusätzlich mit SSL gesichert an unsere Server übertragen. Die Server halten diese Hashes nur kurzzeitig im Arbeitsspeicher, um die Liste der übereinstimmenden IDs zu ermitteln, und löschen sie sofort wieder. Zu keinem Zeitpunkt werden die Hashes oder die Ergebnisse des Abgleichs auf einen Datenträger geschrieben.

leider habe ich den abschnitt, mit kurzmöglichster spiecherung auf die schnelle nicht gefunden.

[ot]
nene, ist schon gut, ich mein, mir ists eigentlich egal. ich hab auch nicht abgestimmt. aber ich hab auch viele deutsche bekannte, die nun hier in der schweiz leben. und wie von mir schon versucht zu beschreiben, ist es eigentlich nicht aus fremdenfeindlichkeit zustande gekommen, sondern um der regierung zu zeigen, das man das volk nicht verschaukeln sollte.

von meiner sicht aus ist das grösste problem in der schweiz der pflege sektor (also krankenhäuser usw). Im krankenhaus in meiner region arbeiten fast 70% deutsche. und bitte versteht das nicht falsch, aber diese situation führt dazu, dass die krankenhäuser den job (lohntechnisch) nicht attraktiver machen müssen, sondern den gleichen lohn weiter zahlen können. für jemand der in deutschland lebt, mag der lohn echt gut sein, aber für jemanden der in der schweiz lebt, ist er viel zu knapp bemessen. und diese tatsache führt dazu, dass es immer weniger schweizerinnen und schweizer geben wird, die im pflegebereich eine ausbildung machen. somit sind wir auf ausländisches arbeitspersonal angewiesen. ist irgendwie ein teufelskreis.

ich hoffe jetzt nicht, dass sich jemand wegen meiner ausführungen beleidigt fühlt, denn das ist definitiv nicht meine absicht. übrigens noch zu den zahlen, es sind (nur deutsche) 800'000 die in der schweiz arbeiten. das sind 10% unserer gesammten bevölkerung, und da sind alle anderen nationalitäten nicht mit einberechnet.
[ot]

bell · Post by **bell** » Fri Feb 28, 2014 10:52 am

Bei Telegram sehe ich gerade dass die App im F-Droid als GPLv2+ steht. Dem Client kann man also trauen, wenn jemand den Quellcode geprüft hat.
Natürlich ist dort ein "Diese Anwendung bewirbt nicht freie Netzwerkdienste" Hinweis enthalten. Aber solange man keinen eigenen Netzwerkdienst betreibt, hat man immer dieses Problem.

Generell ist meine Erfahrung dass Russische Internet-Unternehmen den Kunden mehr Freiheiten geben weil sie keine Angst vor dem Kunden haben. Siehe auch http://www.gentooforum.de/artikel/20599 ... w-ste.html
Also wenn ich ein Chat-Tool auf meinem Android nutzen wollen würde, wäre Telegram die erste Wahl.

misterjack · Post by **misterjack** » Fri Feb 28, 2014 12:56 pm

cryptosteve wrote:
misterjack wrote:Man kann auch OpenPGP mit XMPP verwenden. Wo ist da das Problem?
Jetzt weiß ich nicht, ob ich lachen oder weinen soll ...

http://www.golem.de/news/imho-vorsicht- ... 04756.html - da setze ich lieber auf bewährte sachen und lach dann über die kommenden berichte über sicherheitslücken der whatsapp-alternativen.

Fijoldar · Post by **Fijoldar** » Fri Feb 28, 2014 5:09 pm

Ein Messenger bringt aber nur was, wenn den auch Freunde und Bekannte nutzen (können). OpenPGP mit XMPP mag zwar sicher sein, aber ganz bestimmt nicht massentauglich. Entscheidend wird hier der Komfort sein. Nur der Messenger, der sich am einfachsten bedienen lässt, wird eine Alternative für Whatsapp werden können. Und Threema ist auf dem besten Weg dahin.

misterjack · Post by **misterjack** » Fri Feb 28, 2014 8:26 pm

http://www.der-postillon.com/2014/02/go ... enten.html

Zack, aufgekauft. Und nun?

cryptosteve · Post by **cryptosteve** » Fri Feb 28, 2014 8:46 pm

Nun sind die bisherigen Inhalte immer noch verschlüsselt und beim Anbieter nicht einsehbar.

bell · Post by **bell** » Fri Feb 28, 2014 9:07 pm

Danke @misterjack, Du hast den Tag gerettet.

Zu Geil: Zitat der Google-Sprecherin

...Wir sind lediglich an den Daten interessiert.