Textsecure (ein cooler Messenger) wird zu Signal (und bleibt cool)

Tja, in der Überschrift stehts ja schon geschrieben. Textsecure, der Krypto-Messenger, über den ich mich in diesem Blog auch schon lang und breit ausgelassen habe und das überaus positiv, bekommt einen neuen Namen. Also eigentlich keinen ganz neuen Namen, sondern lediglich jenen der iPhone-Version. Eigentlich ist es nichts Besonderes, eine App für mehrere Systeme gleich zu benennen. Unter der Haube ändert sich dann aber doch noch etwas, jedenfalls bekommt Android nun auch, was die iPhone-Version schon hat: Mit der Integration von RedPhone soll es nun möglich sein, verschlüsselte Telefonate zu führen. Systemübergreifend. Auch interessant: Die Textsecure/Signal-Technik zur Verschlüsselung wird beispielsweise auch von Whatsapp genutzt (leider relativ intransparent) – bislang aber nur für die Android-Version. Schreibt man mit WA eine iPhone- oder Windows-Nutzerin an, bleibt die Kommunikation unverschlüsselt. Noch.

Vielleicht – hoffentlich – möglicherweise ist Signal also wieder einmal ein Vorreiter dessen, was dann später in puncto Datenschutz bei Whatsapp verbessert werden könnte. Wäre ja auch nicht die schlechteste Idee, wenn kryptobegeisterte Firmen die Technologie in den Mainstream tragen und die Five Eyes massiv nerven. Und solange kann man ja fleißig Werbung machen für den viel besseren Messenger- welcher kürzlich auch ein offizielles Gütesiegel von Edward Snowden erhielt:

Ein Plädoyer für den Textsecure Messenger

In den Einstellungen kann aktiviert werden, ob der Messenger auch als SMS App eingesetzt werden darf
Simpel: In den Einstellungen kann aktiviert werden, ob der Messenger auch als SMS App eingesetzt werden darf

Gestern wurde bekannt, dass Whatsapp nun eine Ende-zu-Ende Verschlüsselung einsetzt. Entwickelt wurde das Verfahren von Open WhisperSystems, der Software-Schmiede um Moxie Marlinspike, einem namhaften und weltweit anerkannten Kryptoexperten. Selbige Firma zeichnet sich auch für die Entwicklung des Textsecure-Messengers verantwortlich – genau dem Messenger, dessen Verschlüsselungsalgorithmen nun auch bei Whatsapp unter der Haube liegen. Wenn ich mein gesamtes Halbwissen zu dem Thema mit einem Satz zusammenfassen kann, dann würde er so lauten: Textsecure gilt derzeit als DIE Referenz in Sachen sicherer Messenger-Verschlüsselung. Noch weit vor anderer Software wie Telegram und Threema.

Und damit das in der allgemeinen Überraschung nicht untergeht – installiert euch Textsecure auf eurem Handy! Trotz Whatsapp. Trotz Threema. Denn der Messenger verschlüsselt nicht nur, sondern ist auch extrem einfach zu handhaben, sieht gut aus und kann die Standard-SMS-App ersetzen. Kurz: Er ist rundum gelungen. Ich benutze ihn selber seit einem halben Jahr und bin begeistert von der Software, deswegen habe ich ein paar gute Gründe dafür notiert:

Warum so generell?

Im Adressbuch von Textsecure erscheinen die Kontakte, die auch den Messenger nutzen, ganz oben. An diese schreibt man dann sicher und verschlüsselt über das Internet.
Noch nicht viele Nutzer: Im Adressbuch von Textsecure erscheinen die Kontakte, die auch den Messenger nutzen, ganz oben. An diese schreibt man dann sicher und verschlüsselt über das Internet.

Weil: NSA. (-BND, CIA, GHCQ etc.). Es fangen einfach zu viele Beteiligte jegliche unserer Daten im Netz ab. Selbst wer „nichts zu verbergen“ hat: Die langfristigen Konsequenzen dieses Datenschürfens sind noch gar nicht absehbar. Die Dringlichkeit des Themas wird schon daran klar, dass nun selbst ein vornehmlich unpolitischer Udo Jürgens davor warnt, dass faschistoide Regime für die Zukunft nie auszuschließen sind und sich für diese enorme Möglicheiten aus der Überwachungstechnik ergeben.

Aus diesem Grund sind Messenger wie Hangouts und der Facebook Messenger prinzipiell unsicher, denn durch fehlende Ende-zu-Ende-Verschlüsselung können die Betreiber jederzeit von den amerikanischen Diensten gezwungen werden, beliebig viele Gesprächsdaten herauszugeben. Was laut den Snowden-Folien auch massenhaft geschieht. Dagegen ist diese Praxis bei einem vollverschlüsselnden Messenger wie Textsecure technisch nicht so einfach zu bewerkstelligen.

Die Verschlüsselung bei Textsecure funktioniert übrigens vollautomatisch, als Nutzer merke ich davon rein gar nichts und muss mich auch nicht mir irgendwelchen Schlüsseln herumschlagen.

Warum nicht gleich Threema?

Threema ist wirklich okay und immerhin nutzen es auch ein paar Leute – auf jeden Fall ist Threema schon einmal besser als ein paar andere Messenger. Aber, und das ist das wirklich relevante, große und bedeutungsschwangere „Aber“: Textsecure ist maximal nutzerfreundlich. UND stabil. UND nett zu alten Geräten. UND kostenlos. UND quelloffen – was nichts anderes bedeutet, als dass der Code jederzeit auf Fehler und Schwachstellen überprüft werden kann. Das geschah bei Textsecure bereits mehrfach – der Messenger gilt als die absolute Referenz in Sachen Verschlüsselung. Zudem wird Textsecure von namhaften Krypto-Experten entwickelt, federführend ist dabei das Team um Moxie Marlinspike – der selbst beruflich als IT-Sicherheitsforscher unterwegs ist.

Aber: Mein Handy ist schon am Limit und ich möchte ich nicht dauernd irgendwelche Apps installieren, die dann doch niemand nutzt.

Hier schlägt der Riesenvorteil des Textsecure Messengers zu Buche: Die App lässt sich einfach als SMS-App installieren (muss man aber natürlich nicht). Das bedeutet, dass Textsecure in diesem Fall einfach die Standard-App für SMS ersetzt und man sich nicht weiter darum kümmert. Eine Zeit lang lässt sich der Messenger so im Hintergrund halten – man wartet quasi ab, bis mehr Menschen auf den Geschmack kommen und kann derweil weiter andere Messenger nutzen, während Textsecure zum Verfassen normaler SMS ausreicht (und zwischendurch kann man ja z.B. seinen Whatsapp-Status zur Textsecure-Werbung missbrauchen). Wenn dann die ersten FreundInnen anfangen, den Messenger auch zu nutzen, erscheinen diese als separate Textsecure-Kontakte in der eigenen Kontaktliste ganz oben. Schreibt man diesen NutzerInnen einen Nachricht, wird sie automatisch vollverschlüsselt und über das Internet gesendet. Es entstehen also keine Kosten für den SMS-Versand. Wer Nicht-NutzerInnen reine SMS-Nachrichten schreibt, sieht das bei Textsecure deutlich, denn im leeren Textfeld erscheint dann immer „unsichere SMS schreiben“. Wer dagegen mit Textsecure-Kontakten schreibt, sieht im Textfeld „Push-Nachricht schreiben.“ Das Ganze ist dann noch farblich eindeutig getrennt – SMS erscheinen grün, verschlüsselte Nachrichten über das Internet blau. Einfacher, nutzerfreundlicher und transparenter kann es eigentlich kaum gehen. Ich halte die App für idiotensicher.

Aber: Jetzt verschlüsselt aber Whatsapp doch auch, da braucht man doch keinen anderen Messenger mehr.

Falsch. Auch wenn ich Marlinspike und seine Firma für vertrauenswürdig halte – Whatsapp ist im Gegensatz zum „reinen“ Textsecure immer noch nicht quelloffen, zudem verlangt das Programm nach einem riesigen Datenfundus und sehr weitgehenden Rechten bei der Installation. Das und die Tatsache, dass die Firma zu Facebook gehört, sprechen meines Erachtens dagegen, jetzt doch lieber alleinig auf Whatsapp zu setzen. Dennoch, keine Frage – durch die Zusammenarbeit mit Open WhisperSystems entsteht natürlich erst mal umfassender Kryptotraffic im Web und viel Ärger für die staatlichen Überwacher.

Aber: Ein Überwacher kann doch bei Android-Telefonen eh alles mitlesen.

Naja, kommt darauf an. Textsecure bietet zum Schutz dagegen zumindest eine optionale, lokale Verschlüsselung aller SMS und Push-Nachrichten an – soll heißen, selbst wenn dein Gerät verloren geht, kann ein Dieb ohne Passwort für den Sicherheitsschlüssel nicht an deine Nachrichten ran. Denn diese liegen dann in einer Art geschütztem Tresor auf deinem Handy. Das ist neben der Verschlüsselung des Übertragungswegs ein zusätzliches Feature, was  die App mitbringt.

Und was ist mit Telegram?

Vom medial auch mal hochgehypten Telegram sollte man besser die Finger lassen – zum einen lief die App zumindest bei mir nie sonderlich stabil, zum anderen gibt’s wohl ernsthafte Sicherheitsbedenken, siehe hier.

#Update 20.11.2014 für iPhone-User:

Nach einem Leserkommentar sollte an dieser Stelle festgehalten werden, dass es Textsecure derzeit nur für die Android-Plattform gibt. Eine Apple-Version befindet sich in der Entwicklung. Scheinbar wird aber versucht, über den App Store gefakte Versionen anzubieten, um dann auf dubiose Poker-Apps weiterzuleiten. Also bitte aufpassen!