Verschlüsselnder Messenger: Threema-Apps sind nun komplett quelloffen
Threema macht seinen Quellcode öffentlich, bleibt aber kostenpflichtig. Reproducible Builds gibt es zunächst nur unter Android.
(Bild: lisyl/Shutterstock.com)
Threema wird Open Source und legt damit den Quellcode offen. "Zur Feier senken wir den App-Preis bis 28. Dezember um 50%", schreibt der Messenger-Anbieter in der Ankündigung. Zwar gab es bereits eine Dokumentation des kryptografischen Verfahrens von Threema, nun folgt die komplette Einsicht und Freigabe des Codes.
Laut Threema unterliegt der Code der AGPLv3-Lizenz und steht damit Nutzern grundsätzlich frei zur Verfügung. Vorerst lässt er sich allerdings nur unter Android reproduzierbar kompilieren. So kann man sicherstellen, dass die Android-Apps von Threema auch tatsächlich den veröffentlichten Code nutzen. Apples Richtlinien machten es nicht einfach, Reproducible Builds anzubieten, man arbeite aber daran, heißt es. Eine erste Ankündigung, dass Threema Open Source werden soll, gab es bereits Ende des Sommers, samt Bekanntgabe des Einstiegs der Beteiligungsgesellschaft Afinum.
Sicherheit statt Datensammlung
Da der Messenger auch weiterhin kostenpflichtig ist, darf er freilich nicht einfach so selbst neu aufgesetzt werden. Eine Lizenzprüfung verhindert, dass mit den selbstkompilierten Apps neue Threema-IDs angelegt werden. Wer eine selbstgebaute App nutzen will, muss dafür ein Backup mit einer existierenden ID in die App einspielen, das zuvor mit einer gekauften Threema-App angelegt wurde. Nur dank zahlender Nutzer sei es möglich, ohne Datenerhebung oder Werbung Privatsphäre und Sicherheit des Messengers sicherzustellen, sagt Threema.
Threema nutzt zur Verschlüsselung die Open-Source-Bibliothek NaCl. Die korrekte Anwendung der Verschlüsselung konnte auch bisher schon überprüft werden, indem die verschlüsselten Nachrichten manuell überprüft wurden. Der Messenger nutzt zwei Wege der Verschüsselung; Die Ende-zu-Ende-Verschlüsselung zwischen den Kommunikationsteilnehmern selbst und zusätzlich eine Verschlüsselung zwischen App und Server, damit nicht durch das Abgreifen von Netzwerkpaketen herausgefunden werden kann, wer mit wem kommuniziert.
Threema arbeitet auch daran, eine Multi-Device-Funktion anzubieten. Da die eigenen Sicherheitsanforderungen das aber recht schwer machten, dauert die Entwicklung noch. Der Anbieter hat zumindest schonmal erklärt, dass sie versuchen wollen, einen "Mediator-Server" einzusetzen, der die Koordination übernimmt. Aus der Nutzer-ID sollen mehrere Schlüssel abgeleitet werden, um zu verhindern, dass der Server weiß, welche ID zu welchem Gerät gehört.
Siehe dazu auch:
- Threema bei heise Download.
Lesen Sie auch
Wire-Messenger ist jetzt vollständig Open Source
(emw)