[Denner]

Immer. Ich habe mir mal die Fax durchgelesen und folgendes gefunden:

Q: What if I’m even more paranoid than your regular user?

We've got you covered. Telegram’s special secret chats use end-to-end encryption, leave no trace on our servers, support self-destructing messages and don’t allow forwarding. About the only thing secret chats don’t have is cloud storage — they can only be accessed on their devices of origin.


Wenn ich das also richtig verstehe sind die normalen Nachrichten über die App nicht Ende zu Ende verschlüsselt. Erst wenn ich auf kompliziertem Wege einen verschlüsselten Chat-Starte (dazu muss der andere online sein) habe ich die Sicherheit, die ich bei Threema immer habe?

[gado]

Wenn du bei Threema den Key nicht persönlich über z.B QR Code ausgetauscht hast, ist es auch nicht sicherer, als alles andere. Würde jetzt mal behaupten, dass man die wenigsten Kontakte korrekt abgleicht. Was bringt mir die End-to-End Verschlüsselung, wenn ich den Key nicht verifiziert habe?

Somit musst du bei Threema auch erstmal "Arbeit" aufwenden um sicher chatten zu können.

[Chris]

Nicht ganz richtig. Die Sicherheit ist auch bei zwei (orangen) Punkten gegeben. Das gegenseitige Scannen stellt lediglich die höchste Verifikationsstufe dar. Somit kann man zu 100 Prozent sichergehen, dass der Chatpartner auch der ist, mit dem man kommunizieren möchte.

[gado]

Nochmal lesen, was ich geschrieben habe, da ist nix falsch dran.

Bei 2 Punkten ist gegeben, dass der User über Mail oder SMS verifiziert ist. Verschlüsselt wird es sowieso von Ende zu Ende, egal wie viele Punkte. Aber wenn ich keine 3 Punkte habe, weiß ich nicht, ob das wirklich derjenige ist oder ob sich sogar vielleicht einer dazwischen gehängt hat. Dann kann es beim richtigen rauskommen, hängt aber noch einer zwischen. Was bringt mir eine Verschlüsselung in diesem Fall? Nix! Ich weiß ja nicht, ob da ein Typ auf der Leitung sitzt und mithorcht, weil er sich als jemand anderes ausgibt. Verschlüsselung macht etwas nicht gleich sicher.

[Denner]

@gado dazwischen hängen geht bei Ende zu Ende Verschlüsselung nicht, das ist ja auch der Sinn dahinter.

Mir geht es doch darum das Telegram unverschlüsselt überträgt und nur wenn man diesen komplizierten nicht praktikablen geheimen Chat benutzt es erst dann Ende zu Ende verschlüsselt.

[gado]

Natürlich geht das. Du schreibst xy, ich gebe mich erstmal als xy aus und schicke alles, was du mir schickst, an xy. Für den gebe ich mich als dich aus und schicke alles an dich weiter. Das ist möglich, wenn nicht richtig verifiziert wurde. Woher willst du wissen, wer wer ist? Kannst du nur, wenn du xy persönlich triffst und er dir sagt, dass der Key zu ihm gehört. Dann weißt du, dass du ihm direkt schreibst. Aus dem Grund gibt es die Funktion auch und erst dann bekommt man drei Punkte.

Zwar ist Threema gegen Man-in-the-Middle gesichert, aber trotzdem kann ich mich als jemand anderes ausgeben.

Der Sinn einer End-to-End Verschlüsselung ist erstmal, dass niemand den Klartext abgreifen kann. Sich als jemand anderes ausgeben, ist dann ein weiteres Problem, was nichts mit der Verschlüsselung zu tun hat. Wie gesagt, eine Verschlüsselung macht etwas nicht gleich sicher.

Niemand kann eine Nachricht fälschen, die von der ID einer anderen Person zu kommen scheint. Allerdings kann Ihnen jedermann eine Nachricht senden und schriftlich vorgeben, jemand anderes zu sein. Daher sollten Sie über einen sicheren Kanal (vorzugsweise persönlich) überprüfen, dass die ID der Person, mit der Sie kommunizieren, wirklich ihr gehört.

dazwischen hängen geht bei Ende zu Ende Verschlüsselung nicht, das ist ja auch der Sinn dahinter.

Eine Verschlüsselung verhindert einen MITM Angriff nicht, dazu bedarf es mehr, was bei Threema der Fall ist.

Also letztendlich weiß ich nicht, wer mir da schreibt und ob ich alles für voll nehmen kann, was ich gesendet bekomme. Möchte ich eine abgesicherte Konversation führen, muss ich wie gesagt auch bei Threema etwas "Aufwand" betreiben und mich mit einem anderen vor Ort verifizieren.

[Denner]

Du hast natürlich recht mit dem scenario, das gilt aber für alle Kommunikation. Aber eigentlich wollte ich wissen, ob Telegram verschlüsselt oder nicht.

[gado]

Q: Why not just make all chats ‘secret’?

The important thing to remember is that all Telegram messages are always securely encrypted. The difference between messages in Secret Chats and ordinary Telegram messages is in the encryption type: client-client in case of Secret Chats, client-server/server-client for ordinary chats. This enables your ordinary Telegram messages to be both secure and available in the cloud so that you can access them from any of your devices — which is very useful at times.

Quelle: https://www.mediabistro.com/appnewser/te...ion_b43538

Antwort: Ja, sie verschlüsseln immer, könnten aber mitlesen, wenn es kein "gesicherter" Chat ist, da ihnen der Key bekannt ist.

[Denner]

@gado dann ist das ja auch für die Füße.

[gado]

Hält halt nur Leute davon ab, im Netzwerk nen Sniffer laufen zu lassen und dann mitzulesen. NSA würde auf jeden Fall auch alle Daten bekommen.

Letztendlich vertraut man Threema auch, dass sie das einhalten, was sie sagen. Ansonsten bleibt nur OTR (Open-Source, kann also selbst gelesen und kompiliert werden), das kann man auch mit allen Nachrichtendiensten nutzen, ist nur nicht komfortabel.

Für die meisten "Wie geht es dir?" Nachrichten wird Threema reichen. Wichtige Sachen, die wirklich geheim sind, über OTR, da nimmt man nix proprietäres. Telegram ist wenigsten Open-Source, da kann man selbst prüfen und ist eigentlich der richtige Weg um Vertrauen zu bekommen, auch wenn die App im Appstore von einer Person kompiliert wurde und man dieser trauen müsste. Aber man kann sich auch ein Dev Account holen und müsste die App dann ja selbst bauen können.