Threema – Mobile Messenger mit vollständiger Verschlüsselung

Nicht nur die bekannten Lücken von WhatsApp sind Anlass, sich nach sicheren Alternativen umzuschauen, auch andere Messenger sind nicht immer ganz so privat, wie man es gerne hätte. Genau dies – wirklich private Chats – möchte Threema bieten. Die Nachrichten werden hier direkt zwischen den Teilnehmern eines Chats verschlüsselt, so dass auch der Anbieter des Dienstes diese nicht mitlesen kann. Leider ist Threema bisher nur für iOS und da nur angepasst für iPhone und iPod touch verfügbar, was die Reichweite etwas einschränkt.

Die Verschlüsselung passiert asymmetrisch, d.h. es werden für die Verschlüsselung und die Entschlüsselung verschiedene Schlüssel benutzt. Den Schlüssel zur Verschlüsselung kann man damit öffentlich bekannt machen, so dass jeder in der Lage ist einem verschlüsselte Nachrichten zu schicken, die man nur selbst entschlüsseln kann. Der ganze Vorgang findet dabei jeweils auf den Endgeräten statt, so dass auch der Betreiber des Chats nicht mitlesen kann, welche Nachrichten über den eigenen Server gehen. Die von Threema verwendeten ECC-Schlüssel sind 255 Bit lang und sollen damit der Stärke von 2048 Bit langen RSA Keys entsprechen.

Der Betreiber selbst beschreibt das wie folgt:

Die asymmetrischen ECC-Schlüssel, die Threema verwendet, sind 255 Bits lang. Gemäss einer Schätzung des NIST (Seite 64) entspricht dies ungefähr der Stärke von RSA mit 2048 Bits. Mittels ECC wird für jede Nachricht ein eindeutiger, 256 Bits langer symmetrischer Schlüssel hergeleitet, und die Stromchiffre XSalsa20 wird dann für die eigentliche Verschlüsselung der Nachricht verwendet.
Threema fügt eine zufällige Menge an Füllbytes zu jeder Nachricht hinzu, um Versuche zu vereiteln, den Inhalt einer Nachricht zu erraten, in dem man die Menge an übertragenen Daten analysiert (beachten Sie, dass Bildnachrichten natürlich immer noch mehrere Grössenordnungen länger sind als Textnachrichten).

Man kann zwar über die Backup-Funktion seine Threema-ID auf andere Geräte übertragen, aktuell wird aber nur ein Login im Netzwerk pro ID unterstützt, d.h. Nachrichten werden immer nur an das zuletzt eingeloggte Gerät geschickt. Für eine zukünftige Version ist eine Multi-Device-Funktion mit Abgleich der Nachrichten zwischen den Geräten geplant. Ebenfalls erst für eine zukünftige Version ist ein Gruppenchat vorgesehen.

Neben dem üblichen – aber optionalen – Abgleich mit dem Adressbuch, kann man Kontakte auch einfach per QR Code hinzufügen: Man tippt auf „My ID“ und dort wird die eigene ID in Form dieses Codes abgebildet. Über das Kamerasymbol kann man den QR Code seines Gegenüber dann ebenfalls scannen. Diese Art der Codeübermittlung ist die sicherste, was in der Kontaktliste auch durch drei grüne Punkte beim Namnen des Kontakts angezeigt wird. Weniger sicher – und durch zwei gelbe Punkte markiert – sind die per Adressbuchsync gefunden ID-Informationen.

Im Frühjahr dieses Jahres soll die Android-Version von Threema erscheinen, es steht eine Interessentenliste zur Verfügung, um sich per Mail informieren zu lassen, sobald diese verfügbar ist – dabei kann man sich auch gleich als Beta-Tester bewerben. Für iOS ist die aktuelle Version zum Preis von derzeit 1,79€ im iTunes App Store zu haben.