Login

René · 28.02.2014, 11:03

Um meinen Threema Public Key (QR Code) an meine Freunde zu verbreiten hab ich einfach ein iCloud Fotoalbum erstellt.

Wenn ein neuer Threema Nutzer dazu kommt, bekommt er den Link von mir zugeschickt. Dann kann der QR Code direkt am iPad oder PC gescannt werden, ohne das man sich treffen muss.

Denner · (Dieser Beitrag wurde zuletzt bearbeitet: 28.02.2014, 11:14 von Denner.)

@ShOrtYfilms Was an dem Sicherheitskonzept hast Du nicht verstanden?

Du musst die Threema ID verteilen, die kann man dann in den Kontakten anlegen. Steht bei mir unter jeder email.

René · (Dieser Beitrag wurde zuletzt bearbeitet: 28.02.2014, 11:20 von René.)

*** EDIT *** Ich sehe gerade ich bin in einem falschen Thread gelandet, kann jemand bitte die Beiträge ab #21 hierhin verschieben: https://iszene.com/thread-152751.html
Danke!

Oh Gott lieber Denner, ich wusste genau das jetzt was von dir kommt wovon du KEINE AHNUNG hast.

Was genau verstehst du an einer Public-Key-Infrastruktur nicht?
Hier der Wikipedia Artikel nochmal für dich zum Nachlesen: http://de.wikipedia.org/wiki/Pki

P.S. Natürlich besteht eine sehr geringe Möglichkeit, das jemand meinen iCloud Account hackt und meinen QR Code (Public Key) durch einen manipulierten austauscht. Dieses Risiko wird aber eliminiert weil ich als alter Sicherheitsfanatiker den Schlüssel-Fingerabdruck noch durch einen weiteren Kommunikationskanal (z.B. Telefonat) verifiziere.
("Hallo Hans, mein Schlüssel-Fingerabdruck lautet 176fhgf4gf2..... hast du diesen auch so erhalten?")

Denner · 28.02.2014, 12:05

Vielleicht solltest Du mal in den FAQ der Threema Seite schauen, für was der QR Code gedacht ist.

René · 28.02.2014, 12:14

Es ist sinnlos mit dir ... geb doch einfach zu das du etwas verwechselt hast ...

Hier noch die E-Mail Antwort vom Threema Support, als ich nachgefragt habe, ob die PKI so umgesetzt wird wie ich mir das vorstelle:

Zitat:Guten Tag,

im QR-Code ist nur der öffentliche Schlüssel enthalten - damit kann
niemand etwas anstellen. Das einzige (theoretische) Risiko bei einer
Übertragung durch ein unsicheres Medium wie E-Mail/online Fotoalbum etc. besteht darin, dass
ein Angreifer die Daten abfängt und den QR-Code bzw. den darin
enthaltenen Schlüssel manipuliert.

Dem können Sie begegnen, indem Sie zusätzlich zum Scan des per E-Mail
versandten/per online fotoalbum verteilten QR-Codes noch den Schlüssel-Fingerabdruck z.B. in einem
Telefongespräch vergleichen.

Mit freundlichen Grüssen,

Threema Support

Falls du glaubst diese E-Mail ist Fake, wende dich am Besten selbst an die Threema Jungs.

Glaube mir doch wenigstens 1x in deinem Leben etwas!

Denner · 28.02.2014, 12:55

Es geht doch um was ganz anderes:

der öffentliche Schlüssel der Person wurde persönlich durch Scannen des QR-Codes überprüft. Solange das Gerät dieser Person nicht gestohlen/gehackt wurde, ist es ausgeschlossen, dass ein Dritter Nachrichten von dieser Person fälschen oder Nachrichten an diese Person mitlesen kann.

Scanne ich ein mir zugesandtes Bild ein, führe ich diesen Mec doch Ad Absurdum.

René · 28.02.2014, 13:22

Ja und wo soll jetzt der Unterschied zwischen
persönlich gescannt
und
per Mail zugeschickt + am Telefon verifiziert
sein?

Böhse Tina · 28.02.2014, 13:27

Fakt ist doch, das alle Punkte grün sind dann…

Bei meinem Freund hab ich den Code persönlich gescannt und Freundin hat ihn mir gesendet. Bei beiden sind alle Punkte dann grün.

Denner · 28.02.2014, 13:55

Richtig, er ist grün. Grün soll für persönlich geprüft stehen, denn an der Verschlüsselung ändert sich ja so wie so nichts.

Und wer mir ein falsches QR schickt, der sagt mir auch falsche Schlüsseldaten.

Ist aber jetzt auch nicht so wichtig. Ich nehme keine per Mail übersandten QR Codes und gebe dem anderen damit die Sicherheitsfreigabe. Die meisten kommen über Telefonbucheinträge und einen habe ich per ID hinzugefügt. Meine Familie habe ich natürlich per Scan hinzugefügt, ist am bequemsten.

Wir können hier jetzt auch aufhören. Ich wollte nur gesagt haben, das der Code für das persönliche Überprüfen des anderen Gerätes dient und nicht als Aufnahme Goddie für andere User.

Hoffe, jetzt ist klar, was ich gemeint habe.

René · (Dieser Beitrag wurde zuletzt bearbeitet: 28.02.2014, 14:30 von René.)

(28.02.2014, 13:55)Denner schrieb: Und wer mir ein falsches QR schickt, der sagt mir auch falsche Schlüsseldaten.

Achso, jetzt verstehe ich ...
Du glaubst das dein Chat Partner dir absichtlich einen Fake Schlüssel unterjubelt.
Ich dachte immer du hast Bedenken das der Schlüssel durch eine böse dritte Person manupuliert wird.

Also ich vertraue meinen Freunden soweit, dass sie mir keinen Fake-Schlüssel unterjubeln wollen.

Bei den Leuten in meinem Adressbuch denen ich nicht vertrauen würde, würde ich allerdings auch kein persönliches Treffen arrangieren!

Für alle die keine Angst davor haben das Freunde einen Fake Schlüssel übermitteln: Das Abscannen am Monitor/iPad klappt prima! Zwei Daumen

gado · 28.02.2014, 14:31

Verstehe auch nicht, wieso mir ein Kontakt einen falschen Schlüssel geben sollte. Dann würde auch die persönliche Prüfung kein Sinn machen, da ich dir ohne weiteres eine App zusammenbaue, die wie Threema aussieht und einen Fake QR Code anzeigt. Oder fingerst du dann erst auch an fremden Geräten rum, ob die App echt ist?

Böhse Tina · 28.02.2014, 14:49

Man(n) kann es auch übertreiben Smiley

René · 28.02.2014, 15:38

(28.02.2014, 14:49)Boehse Tina schrieb: Man(n) kann es auch übertreiben

Matze71 · 28.02.2014, 15:44

Ich nutze als Threema Alternative ein anderes Programm, es nennt sich WhatsApp. Man kann damit kostenlos Text- und Sprachnachrichten versenden, auch Bilder und Videos sind kein Problem. Das Programm hat schon ziemlich viele Nutzer, in meinem Bekanntenkreis ist es weit verbreitet. Kennt bzw. nutzt das Jemand von Euch?

Böhse Tina · 28.02.2014, 15:47

@Matze71

Zuuuuu geil …
Ich nutz es übrigens auch

access · 28.02.2014, 20:28

@Matze71 Hähähä der war gut, aber lass den@Denner nur seine Terrorpläne aushecken, ich mag die Merkel ja auch nicht :-)

fermion · 03.03.2014, 12:47

Da hier einige implizite und explizite Kritik an Denners Ausgangsposting kam:

In meiner Bewertung sind genau solche Postings die bereichernsten für ein Forum.

Dort wurde nicht einfach oberflächlich "Ich verwende diese App, ist geil!" rausgehauen, sondern sehr detailliert und verständlich die Unterschiede zu einer anderen App derselben Klasse dargestellt.
Mein Respekt dafür.

Und zum Thema "Angst haben, dass Freunde eine Fakeschlüssel eingeben":
Sowas geht für meine Bewertung völlig am Thema vorbei.
Wenn man über Sicherheitsfragen ernsthaft diskutieren will, geht es selbstverständlich nicht um Befindlichkeiten, sondern um Angriffszenarien. Die schaut man sich nüchtern an und vergleicht dann verschiedene Verfahren.

René · 03.03.2014, 13:00

(03.03.2014, 12:47)fermion schrieb: Wenn man über Sicherheitsfragen ernsthaft diskutieren will, geht es selbstverständlich nicht um Befindlichkeiten, sondern um Angriffszenarien. Die schaut man sich nüchtern an und vergleicht dann verschiedene Verfahren.

Das sehe ich genauso!
Nur muss man auch irgendwo die Kirche im Dorf lassen und zwischen wilder Theorie und Sinnhaftigkeit unterscheiden.

Meiner Meinung nach ist das von Denner genannte Angriffszenario indiskutabel.

Denner · 03.03.2014, 14:55

@fermion Eben. Ich fälsche z.Bsp. eine Mailadresse, sende meinen QR Code mit BöseTina als Absender und schon denkt er, er chatte mit tina, obwohl er es mit mir macht, wenn ich nicht als aller erstes den Schlüssel vergleiche.

Da gebe ich lieber die Threema ID ein, oder synce mein Adressbuch und Fotografiere beim nächsten Treffen den Code.

Mir geht es auch nicht darum, den Code zu vermailen, oder Online bei FB zu stellen, mir geht es umgekehrt um die, die solche Codes benutzen.

Böhse Tina · 03.03.2014, 15:41

@Denner auf mich habt ihr es abgesehen oder?
Und schreib meinen Namen dann doch bitte richtig … Biggrin

(Smilie für Scherz)

Login
Benutzername:
Passwort:	Passwort vergessen?
	Merken