Mastodawn

Basti Bayer Dec 30

Benutzt Du #Threema?

Ja

56.3%

Nein

43.7%

Poll ended at Jan 2 at 6:32pm.

Show thread

Kevin Karhan

Dec 30

@bastibayer nein, weil #Threema ne #proprietär|e +#SingleVendor & #SingleProvider) Lösung ohne #SelfCustody der Keys ist, und damit inhärent unsicher (#KerckhoffsPrinciple)...

Meine Empfehlung ist @monocles / #monoclesChat & @gajim für #XMPP+#OMEMO, ducht gefolgt.von @delta / #deltaChat für echte #E2EE!

Show thread

Danilo Jan 4

@kkarhan @bastibayer ich nehme an "ihne" sollte "ohne" heissen? die aussage ist falsch, die keys werden auf den endgeräten generiert und gehalten. alle clients sind open source (AGPL), wo möglich auch mit reproducible builds. dank E2EE ist der server nicht relevant für die nachrichtensicherheit.

nirgends wird das kerckhoff'sche prinzip verletzt. die verschlüsselung ist offen und dokumentiert. es ist kein "trust us"-modell.

mehr details findest du im crypto whitepaper: https://threema.ch/press-files/2_documentation/cryptography_whitepaper.pdfk

Show thread

Kevin Karhan

@dbrgn @bastibayer es ist ein "#TrustMeBro" - Modell weil deren #Server sind #zentralisiert und damit #SinglePointOfFailure.

Anders als #XMPP+#OMEMO wo es zwar ärgerlich ist wenn @monocles oder jabber.ccc.de down sind, aber dies nicht die generelle Verfügbarkeit jener Lösung sicherstellt.

Ich betrachte etwas nur als #offen und #sicher wenn es komplett #dezentralisiert und ohne Möglichkeit der externen Angriffe gibt.

Ein Standard muss auch gemeingefährliche wie inkompetente und feindliche Betreiber woe Enteickler überstehen können!

Zumal es mangels #ReproduzierbarerBuilds nicht möglich ist zu verifizieren ob der veröffentlichte #Quellcode von #Threema das ist was die per #AppStore & #GooglePlay verteilen.

Wenn Threema in #Russland, "V.R." China, #KSA und #Indien nicht verboten ist, haben die #Govware-#Backdoors integriert!

Show thread

Danilo Jan 4

@kkarhan @bastibayer @monocles sorry, hast du meinen toot überhaupt gelesen? die android app von google play *ist* reproduzierbar. auch auf #fdroid verfügbar. reproduzierbarkeit der desktop-app ist noch WIP, partiell bereits möglich.

kerkhoff sagt nichts aus über die dezentralität. nur, dass die sicherheit nicht von der geheimhaltung von algorithmen abhängig sein soll. dezentralität ist dein eigenes kriterium.

Show thread

Danilo Jan 4

@kkarhan @bastibayer @monocles sicherheit ist nie absolut. immer abhängig von threat models. dezentrale systeme *können* auch nachteilig sein, nämlich bei metadaten und privacy.

übrigens, threema ist in russland und china mindestens in teilen blockiert.

Show thread

Kevin Karhan

Jan 4

@dbrgn @bastibayer @monocles ich meine generell in den RICS-Staaten blockiert und verboten weil gegen deren "#LawfulInteeception"-Standards verstoßend...

Das "#Metadaten-Problem" ist einfach lösbar: Konsequent alles über @torproject / #Tor packen weil #OnionService|s haben #E2EE ( .onion-Adresse entspricht der Schlüssel-ID: Daher selbstverwaltender Addressraum!)

Show thread

Lenny Jan 5

@kkarhan @dbrgn @bastibayer @monocles @torproject Es gibt bedeutend mehr Metadaten als IP und Port auf Layern darüber die ebenfalls hoch relevant sind.