TextSecure bald ohne SMS/MMS Verschlüsselung

Mit Version 2.6.0 erscheint die letzte TextSecure Version, welche noch das verschlüsseln von SMS/MMS erlaubt. Ab Version 2.7.0 fällt diese Option weg, alle Nachrichten werden dann ausschließlich als „TextSecure-Nachrichten“ über TextSecure-Server geschickt (Vgl. Blogpost). Die Fähigkeit unverschlüsselte SMS/MMS zu versenden und TextSecure damit als standard Nachrichtenapp zu nutzen soll erhalten bleiben.

Als Gründe für diesen Schritt werden unter anderem die fehlenden Möglichkeiten SMS/MMS Verschlüsselung auf dem IPhone umzusetzen, Usabilityprobleme, welche mit der Verschlüsselung von SMS/MMS einhergingen sowie die bei SMS/MMS Versandt anfallenden Metadaten angeführt.

Auch von Googles Cloud Messaging (GCM) soll sich TextSecure zumindest teilweise lösen. Anscheinend gab es mit GCM Probleme beim zustellen von Nachrichten. In Zukunft wird Googles Dienst wohl nur noch für die Benachrichtigung darüber, dass es neue Nachrichten gibt genutzt werden. Eventuell wird aufgrund dieser Entwicklung auch weiter an alternativen Lösungen, ohne Google gearbeitet.

Advertisements

Signal 2.0 – mit private messaging

Open Whispersystems haben die Signal 2.0 App für IOS veröffentlicht. Damit ist die Signal App nicht mehr nur mit RedPhone, welches ende-zu-ende verschlüsselte Telefonie unter Android erlaubt kompatibel, sondern auch mit dem TextSecure Messenger. Die Verschlüsselung von TextSecure gilt als fortschrittlich und wurde unter anderem von Edward Snowden empfohlen.
Zudem ist die App kostenlos und hat eine schicke und unkomplizierte Oberfläche, bleibt zu hoffen, dass sich die Verbreitung, nachdem sie jetzt für die beiden wichtigsten mobil Plattformen verfügbar ist, erhöht.

[Update 03.03.15] Mit „TextSecure-Browser“ ist übrigens noch ein Browser Plugin in der Entwicklung, mit welchem TextSecure in Zukunft auch bequem vom Desktop Rechner aus genutzt werden kann.

Außerdem hatte ich vergessen zu erwähnen, Signal ist unter der GPL3 lizensiert, der Quellcode ist auf Github verfügbar.

TextSecure – Account löschen

Es kommt hin und wieder vor, das Menschen nicht mehr auf dem TextSecure Server(n) registriert sein möchten, weil die App deinstalliert wurde oder die (offline) SMS-Verschlüsselung genutzt werden soll.

Ist die App deinstalliert, aber die Nummer noch auf dem Sever registriert, führt dies dazu, das Nachrichten von anderen TextSecure Nutzer_innen, die „TextSecure-Nachrichten“ nutzen, auf dem TextSecure Server landen und nicht mehr zur / zum jeweiligen Adressat_in gesendet werden können, weil die App sie nicht mehr abruft.

Wird TextSecure nicht deinstalliert, besteht nach der Deregistrierung (zumindest im Moment noch) die Möglichkeit wieder über verschlüsselte SMS zu kommunizieren.

Am einfachsten gelingt die Löschung der eigenen Nummer indem die Option „TextSecure-Nachrichten“ unter „Einstellungen„, durch entfernen des Hakens, deaktiviert wird.

Ist die App schon deinstalliert kann die Seite „Unregister from TextSecure“ genutzt werden. Hier kann die Nummer per SMS oder Anruf vom TextSecure Server gelöscht werden.

Android – verschlüsselt telefonieren mit RedPhone

Nachdem Twitter im Januar diesen Jahres „TextSecure„, eine Software die es erlaubt SMS zu verschlüsseln, unter einer GPL Lizenz veröffentlicht hat, folgt jetzt der Quellcode der Software „RedPhone„, welche verschlüsselte VoIP Telefonate zwischen Android Telefonen erlaubt. Beide Programme wurden ursprünglich von der Firma Whisper Systems entwickelt,welche von Twitter aufgekauft wurde.

RedPhone verschlüsselt die Telefonate mit SRTP. Die Daten laufen verschlüsselt über RedPhone Server, welche auch für die Initiierung von Telefonaten notwendig sind. Da es sich um VoIP handelt ist eine Datenverbindung notwendig, was aber mittlerweile nur noch wenige Nutzer_innen abschrecken sollte. Nähere Informationen zur Architektur und Verschlüsselung gibt es im Github Wiki des Projekts.

SMS verschlüsseln mit TextSecure

Auf Netzpolitik.org habe ich entdeckt, dass die Android Software ‚TextSecure‘, welche von der Firma WhisperSystems entwickelt wurde, nach dem Aufkauf der Firma durch Twitter unter einer GPL Lizenz veröffentlicht wurde. ‚TextSecure‘ verschlüsselt alle SMS, welche damit gesendet und empfangen werden im Speicher des Android Smartphones. Außerdem ist es möglich SMS vor dem Versand für die / den Empfänger_in zu verschlüsseln. Empfängt man eine SMS von einer Person welche auch ‚TextSecure‘ installiert hat, schlägt dieses vor eine verschlüsselte Session zu starten. Hierfür werden zunächst Schlüssel zwischen beiden Geräten ausgetauscht, danach erkennt man die verschlüsselten Nachrichten an einem kleinen Schlüsselsymbol, neben den Nachrichten und auf dem senden Knopf. Innerhalb einer verschlüsselten Session ist es möglich über das Menü ‚Secure Session Options‚ aufzurufen und hier unter ‚Verify Recipient Identity‚ gegenseitig die Fingerabdrücke über einen sicheren Kanal (bspw. Telefonat) zu vergleichen. Hierdurch wird sichergestellt, dass der Schlüssel auch tatsächlich von der Person kommt von der er kommen soll. Die Software befindet sich übrigens noch in der Beta Phase, sie kann also noch fehlerhaft sein. In einem ersten Test kam es bei mir zu einem Fehler beim Schlüsseltausch und TextSecure meldete nicht existierende Sessions, das Problem ließ sich aber durch einen Neustart der Session beheben. Unter https://www.transifex.net/projects/p/textsecure/resource/core-app-strings/ haben sich Leute daran gemacht ‚TextSecure‘ zu übersetzten. Update [08.01.2012] Die Anzahl möglicher Zeichen wird durch die Verschlüsselung stark reduziert. Statt 160 Zeichen sind in einer mit TextSecure verschlüsselten SMS nur 60 Zeichen möglich. An dieser Stelle ist die Software hoffentlich noch ausbaufähig.