1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IMHO: Vorsicht vor falschen Krypto…

Re: Schluss mit Mythen rund um Threema

  1. Thema

Neues Thema Ansicht wechseln


  1. Re: Schluss mit Mythen rund um Threema

    Autor: akurei 28.02.14 - 00:38

    Mein Kommentar zur fehlerhaften Analyse von info8.ch
    > https://twitter.com/akureiwolf/status/439084537373786112

  2. Re: Schluss mit Mythen rund um Threema

    Autor: Kondom 28.02.14 - 01:33

    Du verlinkst auf twitter was wieder woanders hinverlinkt? Nein Danke. Poste deinen Kommentar doch direkt hier anstatt über drei Ecken.

  3. Re: Schluss mit Mythen rund um Threema

    Autor: mnementh 28.02.14 - 15:04

    Kondom schrieb:
    --------------------------------------------------------------------------------
    > Du verlinkst auf twitter was wieder woanders hinverlinkt? Nein Danke. Poste
    > deinen Kommentar doch direkt hier anstatt über drei Ecken.
    Fand ich auch seltsam. Die Analyse ist aber gut. Hier der Direktlink:
    https://gist.github.com/akurei/9254398

  4. Re: Schluss mit Mythen rund um Threema

    Autor: Gokux 28.02.14 - 15:34

    > Würde Threema den Server-Source-Code veröffentlichen, müssten sie die Server auch nicht selbst betreiben.
    Die Benutzerfreundlichkeit würde dabei auf 0 sinken, zumal ich alternativen Betreibern genau so wenig vertrauen kann.
    Threema könnte zwar in den Einstellungen die Möglichkeit bieten einen alternativen Server anzugeben und entsprechend den Server-Code veröffentlichen, aber wofür? Die wenigen wo das nutzen würden, können ja auch direkt eine XMPP Lösung verwenden.

    > Der Konkurrent "Telegram" schafft also das was der Autor hier für nicht für (wirtschaftlich) möglich hält: Hochverfügbare Serverkapazitäten kostenlos, auch für Open-Source-Programme, anzubieten.
    Telegram schafft es überhaupt nicht wirtschaftlich hochverfügbare Serverkapazitäten kostenlos zur Verfügung zu stellen. Die haben ein ordentliches Startkapital von einem reichen Russen bekommen und müssen sich eine Weile nicht um Geld sorgen und irgendwann wollen sie Geld mit In-App Zeugs verdienen. Das Geschäftsmodell ist durchaus legitim, aber es ist extrem unfair das mit Threema zu vergleichen, die ihren Messenger mit geringerem Eigenkapital entwickelt haben und keine hohen Serverkosten vorschiessen können.

  5. Re: Schluss mit Mythen rund um Threema

    Autor: Flyns 28.02.14 - 16:41

    Sorry, aber dein Kommentar ist in weiten Teilen nicht besser als der verlinke Original-Artikel. Im Grunde genommen schreibt ihr beide nur inhalts- und beweislosen FUD.

    Dein Hauptargument, auf welches du dich immer wieder beziehst ist, dass Threema ja unsichere oder manipulierte Schlüssel verwenden könnte und wir das (noch) nicht nachprüfen können. Kannst du das beweisen? Wahrscheinlich genauso wenig wie info8.ch das Gegenteil.

    Mein Tip: Haltet euch doch mit solchen haltlosen Aussagen zurück, bis die Source öffentlich ist. Ich meine irgendwo gelesen zu haben, dass die Jungs von Threema die Source demnächst veröffentlichen wollen - einfach um Leuten wie dir den Wind aus den Segeln zu nehmen.



    1 mal bearbeitet, zuletzt am 28.02.14 16:42 durch Flyns.

  6. Re: Schluss mit Mythen rund um Threema

    Autor: akurei 28.02.14 - 16:52

    >Dein Hauptargument, auf welches du dich immer wieder beziehst ist, dass Threema ja unsichere oder manipulierte Schlüssel verwenden könnte und wir das (noch) nicht nachprüfen können. Kannst du das beweisen? Wahrscheinlich genauso wenig wie info8.ch das Gegenteil.

    Ich kann dir beweisen, dass es möglich ist. Ich kann nicht beweisen, dass es Threema macht. Aber das ist ja auch gar nicht der Punkt meines Kommentars. Du hast leider meine Aussage nicht verstanden. Du hast auch das Problem mit Threema nicht verstanden: Nämlich dass bei Threema eben unsicher ist, ob eine Hintertür drin ist, bei Open-Source-Software nicht.

  7. Re: Schluss mit Mythen rund um Threema

    Autor: akurei 28.02.14 - 16:53

    Hier kann ich ihn nicht direkt posten, weil dann die Formatierung verloren geht. Dass ich ihn nicht direkt verlinkt habe ist mein Fehler gewesen, sorry. Ich habe einfach den Link den ich noch in der Zwischenablage hatte genommen.

  8. Re: Schluss mit Mythen rund um Threema

    Autor: akurei 28.02.14 - 17:02

    Gokux schrieb:
    --------------------------------------------------------------------------------
    > > Würde Threema den Server-Source-Code veröffentlichen, müssten sie die
    > Server auch nicht selbst betreiben.
    > Die Benutzerfreundlichkeit würde dabei auf 0 sinken, zumal ich alternativen
    > Betreibern genau so wenig vertrauen kann.
    > Threema könnte zwar in den Einstellungen die Möglichkeit bieten einen
    > alternativen Server anzugeben und entsprechend den Server-Code
    > veröffentlichen, aber wofür? Die wenigen wo das nutzen würden, können ja
    > auch direkt eine XMPP Lösung verwenden.

    Korrekt. Ich habe auch nie behauptet, dass es einfacher wäre, wenn jeder Server hinstellen könnte. Ich habe eine Alternative zur Sicht des Autors gezeigt.

    >
    > > Der Konkurrent "Telegram" schafft also das was der Autor hier für nicht
    > für (wirtschaftlich) möglich hält: Hochverfügbare Serverkapazitäten
    > kostenlos, auch für Open-Source-Programme, anzubieten.
    > Telegram schafft es überhaupt nicht wirtschaftlich hochverfügbare
    > Serverkapazitäten kostenlos zur Verfügung zu stellen. Die haben ein
    > ordentliches Startkapital von einem reichen Russen bekommen und müssen sich
    > eine Weile nicht um Geld sorgen und irgendwann wollen sie Geld mit In-App
    > Zeugs verdienen. Das Geschäftsmodell ist durchaus legitim, aber es ist
    > extrem unfair das mit Threema zu vergleichen, die ihren Messenger mit
    > geringerem Eigenkapital entwickelt haben und keine hohen Serverkosten
    > vorschiessen können.

    Es ist nicht die Schuld der Nutzer, wenn Threema ein Client-Server-Modell wählt, und dann aus Kostengründen ihren Code nicht veröffentlicht, damit niemand fremdes auf ihre Server verbindet. Das ist eine Entscheidung von Threema, die die Sicherheit zu nichte macht. Zudem es andere Anbieter (wie TextSecure) ja ebenfalls auf die Reihe bekommen, Server anzubieten. Threema hat dieses Geschäftsmodell selbst gewählt, und fährt sicherheitstechnisch schlecht damit. Ich bin nicht dazu da, Vorschläge für funktionierende Geschäftsmodelle zu entwickeln. Wenn die Firma nicht genug Geld für ein offenes Client-Server System hat, dann muss sie sich eben etwas anderes ausdenken.



    1 mal bearbeitet, zuletzt am 28.02.14 17:04 durch akurei.

  9. Re: Schluss mit Mythen rund um Threema

    Autor: GodsBoss 01.03.14 - 08:21

    > Dein Hauptargument, auf welches du dich immer wieder beziehst ist, dass
    > Threema ja unsichere oder manipulierte Schlüssel verwenden könnte und wir
    > das (noch) nicht nachprüfen können. Kannst du das beweisen? Wahrscheinlich
    > genauso wenig wie info8.ch das Gegenteil.

    Angenommen, die NSA brächte eine Closed-Source-App heraus, die das Gleiche machen würde wie Threema und würde behaupten, die sei sicher und keine Daten an die NSA liefern, würdest du sie als okay betrachten? Falls nicht, würde mich eine Begründung schwer interessieren.

    > Mein Tip: Haltet euch doch mit solchen haltlosen Aussagen zurück, bis die
    > Source öffentlich ist. Ich meine irgendwo gelesen zu haben, dass die Jungs
    > von Threema die Source demnächst veröffentlichen wollen - einfach um Leuten
    > wie dir den Wind aus den Segeln zu nehmen.

    Welchen Wind denn? Wenn die Nichtveröffentlichung des Quellcodes kein Argument sei, wie du es hier darstellst, würde es doch keinen Unterschied machen, ob Threema nun Code veröffentlicht oder nicht. Falls es aber doch einen Unterschied macht, hat der OP recht mit seinen Aussagen.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  10. Re: Schluss mit Mythen rund um Threema

    Autor: DerGoldeneReiter 02.03.14 - 02:06

    Also du kannst ja dem Geschäftsmodell nicht unterstellen, dass es nicht funktioniere, bei 500000 verkauften Apps. Was du wohl meinst ist, dass der nicht einsehbare Quellcode die Sicherheit von Threema konterkariert, wo wir wieder bei der Closed-Source-Problematik ankommen. Sollte der Threema-Client-Quellcode hoffentlich irgendwann tatsächlich veröffentlicht werden (siehe Audio-Blog mit Threema-Entwickler), dann würde ein Closed-Source-Threema-Server der Vertraulichkeit der darüber übermittelten Nachrichten nicht schaden, aufgrund E2E Verschlüsselung, die in den Clients stattfinden sollte. Von daher erschließt sich mir nicht die Notwendigkeit einer Offenlegung der Threema-Server oder die Nachteile einer Client-Server-Struktur. Aber ich bin ja auch kein Kryptografie-Spezialist.

  11. Re: Schluss mit Mythen rund um Threema

    Autor: surtic 03.03.14 - 14:21

    An alle die meinen wenn Threema OpenSource wäre wäre alles besser....

    Der Betreiber kann ja den guten Code online stellen und die App im Market mit einem anderen versehen, wer kann das schon nachprüfen? Ach ja, dann können ja andere Nutzer dies selber Hochstellen usw. (wird sicher durch ne Lizenz verhindert) und auch, dann kann diese Person dies so verändern, dass er alle Infos kriegt und die Nachrichten lesen kann.

    Irgend wo muss man Leuten noch vertrauen können. Ich habe mich für Threema entschieden da Sie gut Kommunizieren und versuchen vertrauen aufzubauen wie auch der Firmen Sitz in der Schweiz ist wo man z.B. auch eine Telefon Nummer dazu hat.

  12. Re: Schluss mit Mythen rund um Threema

    Autor: GodsBoss 03.03.14 - 14:49

    > An alle die meinen wenn Threema OpenSource wäre wäre alles besser....

    Es wäre nicht "alles besser", es ist schlicht notwendig, wenn man auf Sicherheit setzt (aber nicht hinreichend).

    > Der Betreiber kann ja den guten Code online stellen und die App im Market
    > mit einem anderen versehen, wer kann das schon nachprüfen?

    Wenn der Build-Prozess bekannt ist, kann das jeder mit ein bisschen Kenntnissen nachprüfen, in dem er aus dem Code selbst ein Kompilat erzeugt und mit der Market-App vergleicht.

    > Ach ja, dann
    > können ja andere Nutzer dies selber Hochstellen usw. (wird sicher durch ne
    > Lizenz verhindert) und auch, dann kann diese Person dies so verändern, dass
    > er alle Infos kriegt und die Nachrichten lesen kann.

    Kann passieren, ja. Ein Hersteller kann allerdings direkt auf legitime Apps verweisen und derartige Apps dürften wohl nur auf die Verwechslung setzen können, wenn sie so oder fast so heißen wie die Apps, die sie nachmachen, womit sie in den Stores leicht identifiziert werden können. Das Problem dürfte also eher marginal sein.

    > Irgend wo muss man Leuten noch vertrauen können. Ich habe mich für Threema
    > entschieden da Sie gut Kommunizieren und versuchen vertrauen aufzubauen wie
    > auch der Firmen Sitz in der Schweiz ist wo man z.B. auch eine Telefon
    > Nummer dazu hat.

    Wenn das für dich ausreicht, gut, aber damit ist die eigentliche Kritik doch nicht ausgehebelt, sie ist nur für dich nicht relevant.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  13. Re: Schluss mit Mythen rund um Threema

    Autor: DerGoldeneReiter 09.03.14 - 16:51

    GodsBoss schrieb:
    --------------------------------------------------------------------------------
    > Wenn der Build-Prozess bekannt ist, kann das jeder mit ein bisschen
    > Kenntnissen nachprüfen, in dem er aus dem Code selbst ein Kompilat erzeugt
    > und mit der Market-App vergleicht.

    Ehm nö, so einfach ist es wohl nicht, wenn du an einen Direktvergleich Bit für Bit oder mit Hilfe eines Hashes dachtest. Schon eine Veränderung der Zeitstempel würde das Kompilat ändern. Du müsstest die selben Zustände schaffen, die für das originale Kompilat vorlagen. Das stelle ich mir etwas schwierig vor.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. INIT Group, Karlsruhe
  2. ADAC IT Service GmbH, München
  3. Polizeipräsidium Schwaben Nord, Augsburg, Dillingen
  4. Blickle Leitstellen & Kommunikationstechnik GmbH & Co KG, Ludwigsburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 289,00€ (Bestpreis!)
  2. (u. a. HP 15s Power Notebook für 629,00€, LG 27 Zoll Monitor für 279,00€, Lenovo V155 Laptop...
  3. (aktuell u. a. Emtec X150 SSD Power Plus 480 GB für 51,90€ (Tages-Deal), BenQ EX3203R, 31,5-Zoll...
  4. (u. a. F1 2019 Anniversary Edition für 26,99€, Hitman 2 Gold Edition für 20,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Razer Blade Stealth 13 im Test: Sieg auf ganzer Linie
Razer Blade Stealth 13 im Test
Sieg auf ganzer Linie

Gute Spieleleistung, gute Akkulaufzeit, helles Display und eine exzellente Tastatur: Mit dem Razer Blade Stealth 13 machen Käufer eigentlich kaum einen Fehler - es sei denn, sie kaufen die 4K-Version.
Ein Test von Oliver Nickel

  1. Naga Left-Handed Edition Razer will seine Linkshändermaus wieder anbieten
  2. Junglecat Razer-Controller macht das Smartphone zur Switch
  3. Tartarus Pro Razers Tastenpad hat zwei einstellbare Schaltpunkte

Geforce GTX 1650 Super im Test: Kleine Super-Karte hat große Konkurrenz
Geforce GTX 1650 Super im Test
Kleine Super-Karte hat große Konkurrenz

Mit der Geforce GTX 1650 Super positioniert Nvidia ein weiteres Modell für unter 200 Euro. Dort trifft die Turing-Grafikkarte allerdings auf AMDs Radeon RX 580, die zwar ziemlich alt und stromhungrig, aber immer noch schnell ist. Zudem erscheint bald die sparsame Radeon RX 5500 als Nachfolger.
Ein Test von Marc Sauter

  1. Nvidia-Grafikkarte Geforce GTX 1650 Super erscheint Ende November
  2. Geforce GTX 1660 Super im Test Nvidias 250-Euro-Grafikkarte macht es AMD schwer
  3. Geforce-Treiber 436.02 Integer-Scaling macht Pixel-Art hübscher

Core i9-10980XE im Test: Intel rettet sich über den Preis
Core i9-10980XE im Test
Intel rettet sich über den Preis

Nur wenige Stunden vor AMDs Threadripper v3 veröffentlicht Intel den i9-10980XE: Der hat 18 Kerne und beschleunigt INT8-Code für maschinelles Lernen. Vor allem aber kostet er die Hälfte seines Vorgängers, weil der günstigere Ryzen 3950X trotz weniger Cores praktisch genauso schnell ist.
Ein Test von Marc Sauter

  1. Prozessoren Intel meldet 14-nm-Lieferprobleme
  2. NNP-T und NNP-I Intel hat den T-1000 der künstlichen Intelligenz
  3. Kaby Lake G Intels AMD-Chip wird eingestellt

  1. Snapdragon XR2: Qualcomm hat ersten XR-Chip mit 5G-Option
    Snapdragon XR2
    Qualcomm hat ersten XR-Chip mit 5G-Option

    Egal ob Brille oder Headset: Mit dem Snapdragon XR2 sollen AR-, MR- und VR-Geräte deutlich besser werden. Der Chip ist eine Version des Snapdragon 865, er unterstützt Augen-, Gesichts- und Hand-Tracking.

  2. Snapdragon 8c/7c: Zwei Chips für Chromebooks und Win10 on ARM
    Snapdragon 8c/7c
    Zwei Chips für Chromebooks und Win10 on ARM

    Qualcomm stellt sich breiter auf: Der Snapdragon 8c folgt auf den Snapdragon 8cx und ist für 500-Dollar-Notebooks mit Windows 10 on ARM gedacht, der noch günstigere Snapdragon 7c wird zusätzlich in Chromebooks stecken.

  3. Bundeskartellamt: Telekom und Ewe dürfen zusammen Glasfaser ausbauen
    Bundeskartellamt
    Telekom und Ewe dürfen zusammen Glasfaser ausbauen

    Mit hohen Auflagen hat das Bundeskartellamt wesentliche Teile der Glasfaser-Kooperation zwischen Telekom und Ewe genehmigt. Die Partner haben sich noch nicht dazu geäußert.


  1. 01:12

  2. 21:30

  3. 16:40

  4. 16:12

  5. 15:50

  6. 15:28

  7. 15:11

  8. 14:45