Beim Messenger Threema gibt es eine Ampel, mit der die Vertrauensstufe zu einem Kontakt dargestellt wird. Lässt sich dieses Vertrauen auch ohne persönlichen Kontakt herstellen?>
Die Älteren unter euch können sich vielleicht noch an die Key-Signing-Parties in den frühen 2000er-Jahren erinnern. Dort hat man sich persönlich getroffen, um GPG-Schlüssel durch gegenseitigen Abgleich zu bestätigen. Diese Treffen waren Teil des Web-of-Trust. Was heute nur noch selten stattfindet, wird beim Messenger Threema gelebt.
Dazu habe ich mehrere Gedanken:
- Ob die seltsame Ampel-Darstellung der Weisheit letzter Schluss ist, sei dahingestellt.
- Die Generation “WhatsApp” wird diese Funktion eher als Zumutung empfinden bzw. diese ignorieren.
- Das Ampel-Schema schafft eine optische Aufmerksamkeit für die Vertrauensstufe, was ich gut finde.
Ein Problem sehe ich beim gegenseitigen Scannen des QR-Codes. Dieser Abgleich setzt voraus, dass sich zwei Kontakte tatsächlich und in nützlicher Zeit physisch treffen. Bei Familie und Freunden mag das funktionieren (nein, es funktioniert nicht, weil man bei der Geburtstagsfeier anderes im Sinn hat, als Threema-Codes zu scannen). Bei entfernten Kontakten (Neuseeland) ist die QR-Party fast unmöglich.
Deshalb habe ich mir überlegt, ob der Schlüsselaustausch (QR-Code scannen) auch ohne tatsächliche Begegnung funktionieren kann. Man könnte sich den QR-Code gegenseitig über einen anderen Kanal zuschicken. Vielleicht via E-Mail (Postkarte)? Damit das sicher funktioniert, müssen zwei Bedingungen erfüllt sein:
- Minimale Metadaten
- Anonymität des QR-Codes
Beim Versenden der QR-Codes über E-Mails, müssen die Metadaten auf das absolut Notwendige reduziert werden, nämlich die Absender- und Empfänger-Adresse und was sonst noch so mit einer E-Mail verbunden ist: Server, Zeitstempel, usw. Was keinesfalls enthalten sein darf, sind ein Betreff und ein Text. Nichts, was darauf hinweist, dass ein Threema QR-Code verschickt wird. Das Bild des Codes muss natürlich in der E-Mail oder als Anhang vorhanden sein.
Das funktioniert aber nur, wenn der QR-Code keine Hinweise auf den Messenger enthält. Um das zu überprüfen, habe ich mir den Inhalt eines Threema QR-Codes angesehen.
Copilot schicken, um diesen Code mit hoher Wahrscheinlichkeit Threema zuordnen zu können. Das waren meine Fragen (die Antworten erspare ich euch):
- Hier ist der Inhalt eines QR-Codes: [der Code]. Erlaubt dieser Code Rückschlüsse auf seine Herkunft?
- Ich weiss, dass der Code auf einen bestimmten Messenger hinweist. Kannst du aus dem Code einen konkreten Messenger herausfinden?
- Deine Analyse ist falsch. Es handelt sich nicht um Facebook. Nenne die nächsten drei wahrscheinlichen Messenger, von denen dieser QR-Code stammen könnte.
Die Antwort auf meine dritte Frage lautete (gekürzt und verändert):
1. Threema
QR-Code-Nutzung: Threema verwendet QR-Codes zur Verifizierung von Kontakten und
zur sicheren Verbindung zwischen Nutzern. Jeder Nutzer erhält eine Threema-ID,
die ähnlich wie CZF3AF5T aussieht.
2. Signal
QR-Code-Nutzung: Signal nutzt QR-Codes zur Verifizierung von Kontakten
und zur sicheren Verbindung.
Bingo: Es handelt sich mit hoher Wahrscheinlichkeit um einen Threema-Schlüssel und in der E-Mail stehen die Absender-Daten. Damit steht die Tür offen für einen Man-in-the-Middle-Angriff.
Fazit
Es ist keine gute Idee, einen Threema-Schlüssel über einen anderen Kanal zu versenden. Diese Gefahr kann man umgehen, indem man dem von Threema vorgesehenen Prozess folgt (persönlicher Schlüsselabgleich). Dennoch stelle ich mir zwei konzeptionelle Fragen:
- Wie soll das Vertrauen bei entfernten Kontakten hergestellt werden?
- Warum lässt sich der Threema-Schlüssel so einfach als Threema-Schlüssel erkennen?
Ich bin gespannt, was Threema dazu sagt.
Titelbild: https://pixabay.com/photos/traffic-light-signal-traffic-street-876047/
Quelle: https://threema.com/de
