Für einen Laien klingt der Schritt einigermaßen verrückt: Da geht also ein Unternehmen wie Threema hin, und stellt den Quellcode – also das komplette Programm! – seiner App der Allgemeinheit zur Verfügung. Damit die sich davon überzeugen kann, wie die App funktioniert – und dass die Ende-zu-Ende-Verschlüsselung der Threema-App wirklich sicher ist.
Das klingt so, als ginge Coca-Cola hin und veröffentlicht seine geheime Cola-Formel, verbunden mit dem Hinweis: Seht selbst, wie lecker unsere Cola ist. Mixt doch selbst mal!
Der Sourcecode der Threema-App ist öffentlich zugänglich
Vertrauensbildende Maßnahme
In der analogen Welt undenkbar. In der digitalen Welt eine vertrauensbildende Maßnahme. Threema hat nicht nur seinen Quellcode auf GitHub veröffentlicht, sondern auch eine Dokumentation (White Paper), wie die Verschlüsselung konkret konzipiert ist. So kann jeder User nachschauen, wie das genau funktioniert und überprüfen, ob es Hintertüren (Backdoors) oder Fehler gibt.
Vorteil: Aussagen über die App sowie deren Sicherheitskonzept lassen sich somit jederzeit von autonomen Stellen überprüfen. Das erhöht das Ansehen des Schweizer Unternehmens und seiner ohnehin populären App enorm – und auch die Sicherheit. Denn sollten tatsächlich Sicherheitslücken entdeckt und gemeldet werden, können die Entwickler diese schnell schließen.
WhatsApp ist der populärste Messenger – veröffentlicht aber keinen Quellcode
Pluspunkt im Werben um die User-Gunst
Ein kluger Schachzug in Zeiten, in denen gleich mehrere Messenger um die Gunst der User werben (WhatsApp, Facebook Messenger, Threema, Signal, Telegram und einige andere). Da Threema aktuell die Preise für seine App um 50% reduziert hat (nur 1,99 EUR in den App-Stores von Apple und Google), dürfte das dem Messenger noch mehr Aufwind verschaffen.
Es wäre sogar zu überlegen, ob es nicht sogar vorgeschrieben sein müsste, genau so vorzugehen wie Threema es macht. In einer Welt, in der wir alle digital kommunizieren, ist es regelrecht fahrlässig, einem Anbieter einfach so zu vertrauen. Niemand kann wirklich wissen, was zum Beispiel bei WhatsApp im Hintergrund passiert. Bei Threema jetzt schon.
Interoperabilität: Davon würden Messenger wie Threema weiter profitieren – die User sowieso
9 Kommentare
Kommentar Funktionen
Was hilft es, den Quellcode der App zu haben ohne zu wissen, was auf den Servern passiert?
Wenn der Quellcode der app keine Fehler beispielsweise bei der Ende zu Ende Verschlüsselung aufweist ist es quasi egal, was auf den Servern passiert.
Nicht zwingend. Durch Einsicht in den Quellcode der Apps erfährt man, was die App alles an den Server schickt. Man kann überprüfen, ob die Aussage von Threema stimmt, dass alles Ende-zu-Ende verschlüsselt (und damit auf dem Server gar nicht lesbar) übertragen wird. Der Einblick in den Servercode ist nur dann unabdingbar, wenn die Daten so übertragen werden, dass sie für den Betreiber lesbar sind, wie zum Beispiel bei Telegram.
Wenn man Signal schon als Alternative im Artikel nennt:
Ist ebenfalls quelloffen und wird von einer gemeinnützigen Stiftung entwickelt und betrieben.
Das ist bekannt. :)
Aber wer weiß ob der veröffentlichte Quellcode auch der ist, den Threema selbst einsetzt?
Könnte man mit dem Quellcode nicht selber ein Klon entwicklen? Es zeigt noch einmal mehr dass das Programmieren anscheinend nicht so wichtig ist: sondern vielmehr die Marketingmaßnahmen.
Nach meinem Verständnis:
* Jeder kann den Quellcode herunterladen, die App compilieren und eine Prüfsumme bilden. Die gleiche Prüfsumme kann man über die fertig compilierte App bilden.
* Einfach vergleichen und schon ist sichergestellt das es auch wirklich der gleiche Code ist.
=> Wie bei der Corona-App ist es nicht nur Marketing. Es ist Transparenz und bei mir schafft Transparenz vertrauen. Leider gibt es z.B. bezüglich der Corona-App zu viele Leute, die selbst mit den höchsten offenen Standards etwas auszusetzen haben und Abstand halten. Auf der anderen Seite setzen die gleichen Leute, ohne mit der Wimper zu zucken, auf unfreie SW von Microsoft, Apple, Google und anderen, sehr, sehr seltsam.
Danke für die Info! Also Laie lässt sich dies schwer überprüfbar.
Aber man kann hoffen, daß der eine oder andere Nichtlaie, der das kann, tatsächlich überprüft. Zumindest ist das Risiko für Threema zu groß, daß es einer prüft – Und rauskriegt, daß sie eine ganz andere App ausliefern, als sie behaupten. Das wäre für sie Totalschaden.
Nebenbei: Ich finde ja alleine schon Klasse, daß hier mal ein Modell gewagt wird, wo „free“ in „Free Software“ eben nicht gleichbedeutend ist mit „kostenlos“ :)