Signal - Sicherer Messenger / TextSecure Private Messenger

[cramu]

Wie viele von uns habe ich mich in den letzten Tagen intensiv mit WhatsApp-Alternativen beschäftigt und habe eigentlich nichts wirklich brauchbares gefunden.
Verschlüsselte Closed-Source Messenger wie Threema und Telegram erscheinen mir zweifelhaft und ich denke, man sollte den Umstieg nutzen um ein Open-Source Nachrichtensystem zu wählen.

Dabei ist mir wieder das Whisper Push Projekt eingefallen und ich habe entdeckt, dass der TextSecure Messenger mittlerweile über einen beachtlichen Funktionsumfang verfügt, so dass sich WhatsApp für die Kommunikation mit anderen Nutzern der App eigentlich komplett ersetzen lassen sollte:

- Austausch von Instant Messages (Fallback zu SMS/MMS)
- Gruppenchats
- Ende-zu-Ende Verschlüsselung von Nachrichten und Gruppen (Fallback zu unverschlüsselt)
- SMS und Instant Messages mit einer Person werden auch innerhalb einer Konversation angezeigt
- Versand von Medien und Anhängen
- Multi-Device Unterstützung inkl. Desktop Version in Arbeit

Mangels Nutzern in der Bekanntschaft konnte ich noch nicht viel testen, darum würde mich mal interessieren, wer schon erste Erfahrungen mit der App gemacht hat.

 

[DevilX]

Hallo,

ich hab es erstmal als SMS App ersatz installiert und es gefällt schon mal ziemlich gut.
Jetzt heißt es Tester auftreiben^^

 

[Wilfried63]

... Verschlüsselte Closed-Source Messenger wie Threema und Telegram erscheinen mir zweifelhaft und ich denke, man sollte den Umstieg nutzen um ein Open-Source Nachrichtensystem zu wählen. ...

Telegram ist quelloffen und somit Open-Source-Software.

Edit/ Messaging: Neue Open-Source-Alternative zu WhatsApp und Co [heise online]

 

[Lighthammer]

Hab die App gestern installiert, nachdem ich davor schon mal Version 1.X versucht habe (Waren damals nur verschlüsselte SMS). Meine Erfahrung damit bisher:

• Einrichtung auf meinem Xperia Z völlig ohne Probleme. SMS Verifikation hat auf Anhieb funktioniert.
• 4 Personen aus meiner Kontaktliste nutzen es bereits, erkennt man, wenn man in der APP auf Thread hinzufügen klickt, danach geht eine Kontaktliste auf, die mit einem grünen Balken signalisiert ob die Person ebenfalls Textsecure installiert hat.
• Schlüsselaustausch wurde von der APP automatisch gemacht.
• Verschlüsselte Chats werden durch ein Schloss gekennzeichnet.
• Verschlüsselte SMS mit einer grünen "Nachrichtenblase"
• Verschlüsseltes Messaging über Internet mit einer blauen (das ist das was ich zumindest bisher verstanden habe )
• Der Wechsel zwischen SMS und Internet funktioniert automatisch, wenn man Internet hat.
• Der Versand der Nachrichten funktioniert sehr schnell, hatte bisher auch noch nicht den Eindruck, dass etwas verloren gegangen ist. Nachrichten werden direkt und ohne Verzögerung übermittelt.
• Versand von Bildern ebenfalls ohne Probleme.

Einziges Problem bisher, bei meiner Freundin hat SMS Verifikation nicht funktioniert, musste also die Call Funktion benutzen. Das hat allerdings 3 Versuche gebraucht. Danach lief es problemlos.

Für mich bisher der perfekte Messenger. 95% funktionieren problemlos, Rest kommt hoffentlich noch.

Edit: SMS ist ein Fallback, d.h. es wird nur benutzt wenn Internet nicht verfügbar ist. SMS lässt sich aber auch generell deaktivieren.

 

[Rashiel]

Blöd dahergefragt..
Werden Gruppenchats unterstützt?
Bilder/Videos/Sprachnachrichten versendbar?
Welche OS werden unterstützt?

 

[Lighthammer]

Gruppenchats, Bilder, Sprachnachrichten und Videos werden unterstützt. Habe bisher allerdings nur Gruppenchat und Bilder probiert.

Bisher nur Android, iOS soll anscheinend in den nächsten Tagen kommen. Außerdem ist anscheinend noch ein Add-On für Browser in Arbeit, also die Desktop Version.

 

[pr001]

Wollte gerade auch TextSecure ausprobieren. Ich nutze cyanogenmod 11
und hatte mich schon unter „Einstellungen Datenschutz whisperpush“ registriert.
Natürlich kam beim ersten starten und einrichten von TextSecure eine Fehlermeldung, das die Telefonnummer schon registriert ist. Ich sollte sie „unregister“ Wie ??
Vielen Dank für einen Tip.

 

[Lighthammer]

Hab auch CM11 drauf. Hab die Whisperpush Daten unter Einstellungen -> Apps gelöscht und meinen CM-Account gelöscht (hab dort sowieso nichts benutzt). Dann war es kein Problem mehr bei mir. Bin mir aber auch nicht so sicher, ob es davor nicht an der "Unfähigkeit" eines Kumpels lag.

 

[cramu]

Telegram ist quelloffen und somit Open-Source-Software.

Wenn ich richtig informiert bin, ist bei Telegram nur die API, nicht aber das Protokoll quelloffen.
Wie stark die Verschlüsselung also tatsächlich ist, kann niemand beurteilen.


Mit der Verifikation hatte ich anfangs auch Probleme.
Das klappte erst, nachdem ich die Default Messaging App von Hangouts auf TS umgestellt habe.


Wie weit ist denn die Integration von Whisperpush in den aktullen CM11-Nighlies bereits fortgeschritten?
Kann man dort auch schon Instant Messages verschicken und empfangen oder muss man die App trotzdem installieren?

 

[Lighthammer]

Ah okay, ich hatte die App auch direkt als Default SMS App eingestellt. Wahrscheinlich hat deshalb die Verifikation bei mir direkt funktioniert.

Ich glaube die neuste Version ist noch nicht integriert. Es gibt anscheinend noch einige Leute die mit Whisperpush + Textsecure Probleme haben, bzw. sich nicht anmelden können.

 

[tag]

Nachdem zunächst der Empfang der SMS einige Versuche benötigt hat (Server war wohl überlastet), klappt nun der Punkt "Registriere am Server" nicht. Laut Hotline wird Google Push benutzt (GCM) und das ist in diesem Fall oft das Problem. Nun habe ich durchaus ein paar Apps/Services disabled - finde aber darunter nichts was die Ursache sein könnte. Hat jemand eine Idee, wie man das heraus finden kann?

 

[rotation]

Eine Anleitung, wie man sich manuell von Whisperpush abmeldet:

Quelle: Disabling Whisperpush? - The Lounge - CyanogenMod Forum

pc:$ adb shell
phone:$ su # (enable root for ADB first)
phone:$ cat /data/user/0/org.whispersystems.whisperpush/shared_prefs/org.whispersystems.whisperpush_preferences.xml
# take note of pref_push_password and pref_registered_number
pc:$ curl -v -X DELETE --basic --user $pref_registered_number:$pref_push_password https://whisperpush.cyanogenmod.org/v1/accounts/gcm/
# add -k to skip the certificate warning

Habs gerade ausprobiert, funktioniert. Wenn man die Dateien nicht hat, einfach den Schlüssel über Whisperpush erneut austauschen.

Man braucht kein adb, eigentlich reicht Root und Root Explorer, o.ä. Apps.

Mein curl unter Windows 7 konnte kein https, also hab ich das curl unter Linux verwendet, problemlos.

 

[fand]

Also, sobald TextSecure als Standard-SMS-App eingestellt ist, scheint die SMS-Verifizierung problemlos zu klappen. Vorher ging das bei mir auch nur telefonisch und der Satz vorher ist recht kurz, die Stimme recht leise, ich habe es auch erst beim 2. Versuch hinbekommen, obwohl ich auch ansonsten sehr viel 2sprachig unterwegs bin (die Stimme spricht englisch).

Was ich nett finde, ist dass nun meine SMS alle lokal verschlüsselt sind, auch während das Handy aktiv ist. (Wenn man das ganze mit einem Passwort schützt, klar geht ähnliches auch mit extra-apps, aber das finde ich schon gut.)

 

[Floville]

Teste gerade auch Textsecure. Mir fehlt besonders der Status für die einzelne Mitteilung: gesendet, angekommen, gelesen. Sonst scheint es subjektiv ausgereifter als Threema zu sein. Klarer Vorteile: "nur" Android-OS 2.3 oder höher, Open Source, kostenlos und werbefrei, Einrichtung läuft "geschmeidiger" ab, kein Kunstgriffe wegen Profilfotos nötig, hinzufügen oder löschen von neuen Leuten in vorhandenen Gruppen möglich. Leider auch bei Textsecure Limitierung bei Dateianhängen. Momentan nur mit Umweg über z.B. Videokomprimier-App möglich, wäre halt schon toll wenn so ne "In-App-Lösung" wie bei Whatsapp implementiert würde. Wobei man bei Whatsapp anfangs sogar HD-Videos unkomprimiert verschicken konnte

Die nächsten Wochen und Monate kommen sicher noch neue Messenger-Apps auf den Markt, bzw. werden bekannte Apps wie Threema, Textsecure, usw. mit Updates sinnvolle Funktionen einbauen oder genannten Limitierungen entfernen. Erst dann kann Whatsapp 100%ig ersetzen werden, wobei sicher ein Teil der Kontakte Whatsapp treu bleibt.

 

[Hannover]

Eine Anleitung, wie man sich manuell von Whisperpush abmeldet:

Quelle: Disabling Whisperpush? - The Lounge - CyanogenMod Forum

pc:$ adb shell
phone:$ su # (enable root for ADB first)
phone:$ cat /data/user/0/org.whispersystems.whisperpush/shared_prefs/org.whispersystems.whisperpush_preferences.xml
# take note of pref_push_password and pref_registered_number
pc:$ curl -v -X DELETE --basic --user $pref_registered_number:$pref_push_password https://whisperpush.cyanogenmod.org/v1/accounts/gcm/
# add -k to skip the certificate warning

Hallo.

Ich muss mich auch "unregister".

Daten löschen von Whisperpush hat nix gebracht.

Wo muss ich den o. g. Code eingeben?


Danke
Grüße

 

[gehlhajo]

Erst dann kann Whatsapp 100%ig ersetzen werden, wobei sicher ein Teil der Kontakte Whatsapp treu bleibt.

Was soll ich mit einem 100%igen Whatsapp-Ersatz. Kann ich doch gleich beim Original bleiben.....

 

[Floville]

Was soll ich mit einem 100%igen Whatsapp-Ersatz. Kann ich doch gleich beim Original bleiben.....

Das Internet ist nicht nur dafür da Fragen zu stellen, sondern auch um Antworten auf Fragen zu finden

Aber sei es drum, kann ich dir ja die Antwort gleich noch liefern... hauptsächlich weil Textsecure Ende-zu-Ende Verschlüsselung hat, außerdem ist es Open Source (Verschlüsselung und Code sind transparent, man kann sich ein Bild davon machen). Bei Closed Source musst du den Aussagen der Programmierer trauen, im schlimmsten Fall hat er ne Backdoor oder Sicherheitslücken eingebaut).

 

[Schotti]

Zitat von Floville
Erst dann kann Whatsapp 100%ig ersetzen werden, wobei sicher ein Teil der Kontakte Whatsapp treu bleibt.

Was soll ich mit einem 100%igen Whatsapp-Ersatz. Kann ich doch gleich beim Original bleiben.....

Ja, ja und immer mehr Zucker dem Mark auf seinen Berg geben. . .

 

[gehlhajo]

außerdem ist es Open Source (Verschlüsselung und Code sind transparent, man kann sich ein Bild davon machen). Bei Closed Source musst du den Aussagen der Programmierer trauen, im schlimmsten Fall hat er ne Backdoor oder Sicherheitslücken eingebaut).

Soweit die Theorie....

In der Praxis sieht das dann so aus, dass man
a) zuerst den Nachweis erbringen können muß , dass im apk auch das drinn ist, was der Sourcecode vorzugeben scheint, und
b) dass dann dieser Nachweis auch von vertrauenwürderiger Stelle zu führen ist ( und zwar nach jedem Update)

Ist das der Fall ?

 

[Lighthammer]

Man hat allerdings zumindest die Chance, ich bin mir bewusst, dass das 0,0001% machen, sich die App selber zu compilen. Womit auch nur das drin ist was im Sourcecode steht.