Signal (Messenger)

Der Sicherheitsforscher Moxie Marlinspike und Robotiker Stuart Andersen gründeten 2010 Whisper Systems.^[13][14] Zusätzlich zu der Veröffentlichung von TextSecure im Mai 2010 wurde RedPhone, eine Applikation zur verschlüsselten Sprachtelefonie, entwickelt.^[1] Zudem entwickelte Whisper Systems eine Firewall und weitere Tools um andere Arten von Daten ebenfalls zu verschlüsseln.^[13] RedPhone und TextSecure spielten während des Aufkommens des Arabischen Frühlings eine Rolle für die Kommunikation der Protestierenden.^[15]

Am 28. November 2011 verkündete Twitter den Kauf von Whisper Systems für eine nicht verlautbarte Summe.^[16] Kurz nach der Übernahme wurde Whisper Systems RedPhone außer Betrieb gestellt^[17] und später im Juli 2012 als freie Software veröffentlicht. Manche kritisierten die Entfernung mit dem Argument, dass die Applikation speziell zur Hilfe für Leute innerhalb eines repressiven Regimes gedacht war und daher Personen wie die Ägypter in einer gefährlichen Position während der Vorkommnisse der Revolution in Ägypten 2011 gelassen hat.^[18]

TextSecure wurde etwa einen Monat nach der Übernahme durch Twitter ebenfalls als freie Software veröffentlicht.^[13][19] Die Applikation ist seitdem in Entwicklung durch die Community und es wurden schon mehrere Veröffentlichungen auf Basis von deren Arbeit freigegeben. Das Projekt für diese weitere Arbeit wurde Open Whisper Systems genannt.^[20]

Open Whisper Systems arbeitete seit März 2013 an einer iOS-Version von TextSecure.^[7][21][22] Die Kommunikation mit iOS-Nutzern wurde in Version 2.0 der App Signal, ebenfalls von Open Whisper Systems, möglich.^[6]

Im September 2013 wurde die erfolgreiche Integration des TextSecure-Protokolls in CyanogenMod ab Version 11.0 verlautbart, wodurch die Benutzerbasis wächst.^[23][24][25]

In der Eröffnungsrede bei der SXSW 2014 lobte Edward Snowden, Aufdecker der NSA-Ausspähaffäre, die Anwendungen von Open Whisper Systems für deren einfache Benutzung.^[26][27]

Im Juni 2014 gewann TextSecure ein Preisgeld der Knight-Stiftung in Höhe von 416.000 Dollar. Damit soll die geplante iOS-App fertig gestellt werden.^[28] Die iOS-App sollte Ende des Sommers erscheinen.^[29]

Am 29. Juli 2014 veröffentlichte Open Whisper Systems die App Signal für iOS, die zunächst nur verschlüsselte Telefonie unterstützte. Mit Version 2.0 wurde dann auch die verschlüsselte Textnachrichtenkommunikation zwischen Signal und TextSecure möglich. Es gibt Pläne TextSecure und RedPhone für Android ebenfalls zu einer Anwendung zu vereinen.^[30]

Im November 2014 wurde bekannt, dass Konkurrent WhatsApp die TextSecure-Verschlüsselung mit Hilfe des Teams von Open Whisper Systems in ihre Android-App eingebaut hat. Eine Implementierung für iOS soll folgen. Eine Kommunikation zwischen TextSecure- und WhatsApp-Benutzern ist jedoch nicht möglich.^[31]

Seit Version 2.7 werden nur Nachrichten, die über die Datenverbindung gesendet werden, verschlüsselt. SMS und MMS werden somit, anders als in den vorigen Versionen, nicht mehr verschlüsselt. Diese Entscheidung wurde unter anderem wie folgt begründet:^[32]

• kompliziertes Verfahren bei der SMS-Verschlüsselung (manueller Schlüsseltausch; Statuskontrolle, ob der Empfänger verschlüsselt empfangen kann)
• Kompatibilitätsprobleme bei iOS: Verschlüsselte SMS funktionieren dort nicht
• große Mengen an Metadaten, die bei SMS und MMS zwangsläufig und unkontrollierbar entstehen
• Fokus auf die Programmentwicklung: Die Pflege der SMS- und MMS-Verschlüsselung mit ihren vielen kleinen Sonderfällen beansprucht wertvolle Ressourcen, die die Weiterentwicklung der Software hemmen.

Im Juli 2015 wurde Version 2.23.2 veröffentlicht. Dabei mussten vom Nutzer zusätzliche Berechtigungen akzeptiert werden. Diese werden jedoch noch nicht alle genutzt, sondern dienen zukünftigen Fähigkeiten, wie z. B. dem Versenden von Kalendereinträgen oder verschlüsselter Telefonie (Redphone-Integration).

Erklärtes Ziel der Entwickler ist es, Programme zu schaffen, die sichere verschlüsselte Kommunikation ermöglichen und dabei so einfach zu bedienen sind, wie Programme, die ihre Daten unverschlüsselt übertragen. Es soll den Nutzer nicht mit komplizierten Einstellungen belasten und auch den Menschen sichere Kommunikation ermöglichen, die sich nicht mit den technischen Hintergründen der Hard- und Software auseinandersetzen wollen oder können.

Die Anwendung verschlüsselt automatisch Unterhaltungen, die mit anderen registrierten TextSecure- und Signal-Benutzern geführt werden. TextSecure ermöglicht das verschlüsselte Senden von Textnachrichten, Dokumenten, Fotos, Videos, Kontaktinformation und Gruppennachrichten über das Internet. Es läuft auf Smartphones mit Android-Version 2.3 oder höher. Seit Version 2.16 können Fotoaufnahmen direkt aus dem Programm heraus gemacht werden.

Verschlüsselte Nachrichten werden auf der Benutzeroberfläche mit einem Schloss-Icon gekennzeichnet. Multimediale Inhalte und andere Anhänge werden auf dieselbe Art wie Nachrichten verschlüsselt. Unabhängig davon, ob Nachrichten an andere TextSecure-Benutzer gesendet werden oder nicht, werden diese in einer verschlüsselten Datenbank am Benutzergerät abgelegt, falls die Verwendung eines Passworts aktiviert wurde.^[1]

TextSecure erlaubt es auch, mit mehr als einer Person zur gleichen Zeit zu kommunizieren. Gruppenunterhaltungen werden automatisch verschlüsselt und über die Datenverbindung abgehalten, falls alle Teilnehmer registrierte TextSecure-Benutzer sind.^[7]

Open Whisper Systems hat aufgrund der Ende-zu-Ende-Verschlüsselung keinen Zugriff auf den Inhalt von jeglichen Nachrichten, die von TextSecure versendet werden. Das Verschlüsselungsprotokoll bietet auch Perfect Forward Secrecy. Der vollständige Quellcode des TextSecure Clients und des TextSecure-Servers ist öffentlich auf GitHub verfügbar. Dies ist nur bei sehr wenigen Anwendungen in dieser Sparte der Fall und erlaubt interessierten Personen und Organisationen, den Code zu untersuchen und dessen sichere Funktionalität zu verifizieren. Fortgeschrittene Benutzer haben auch die Möglichkeit, eigene Versionen der Anwendung zu kompilieren und diese mit der durch Open Whisper Systems verteilten Version zu vergleichen.^[33]

TextSecure kann durch die Verwendung von SMS/MMS auch mit Nicht-TextSecure-Benutzern kommunizieren. Die Anwendung kann daher als Ersatz für die Standard-SMS/MMS-Applikation verwendet werden. Nachrichten, die unverschlüsselt über SMS/MMS übertragen wurden, unterscheiden sich durch entsprechende Hinweise und Symbole von Nachrichten, die verschlüsselt über die Datenverbindung des Benutzers übertragen wurden. Standardmäßig überträgt TextSecure Nachrichten über die Datenverbindung zu anderen Textsecure- oder Signal-Nutzern. Dabei fallen keine Kosten für SMS-Dienste an. Die Übertragung wird zum Datentransfervolumen gerechnet.

Die Benutzung von TextSecure als Instant-Messenger ist zwingend an eine Handynummer gebunden.^[34] Die signierte App verwendet zur Kommunikation über die Datenverbindung Google Cloud Messaging. Allerdings sind die Nachrichten durch die Ende-zu-Ende-Verschlüsselung trotzdem sicher vor einem Zugriff durch Google. Metadaten könnten jedoch weiterhin erhoben werden. Ein kompatibler, auf Websockets basierender Fork ^[35], welcher komplett auf Google Cloud Messaging verzichtet, existiert.

Die Abschaffung der SMS- und MMS-Verschlüsselung seit Version 1.7 im Frühjahr 2015 wird von verschiedenen Seiten kritisiert, die diese Funktion zuvor schätzten. Diese Lücke schließt SMSSecure^[36], ein TextSecure-Fork, das auf dem gleichen Protokoll wie sein Vorgänger basiert, open-source ist und weiterhin die Verschlüsselung von SMS und MMS bietet. Allerdings ist SMSSecure aktuell nicht mit TextSecure kompatibel.

Im Oktober 2013 veröffentlichte iSEC Partners eine Mitteilung, dass das Unternehmen – unterstützt vom Open Technology Fund – im Vorjahr mehrere Projekte auditiert hätte, darunter auch TextSecure.^[37]

Im Oktober 2014 wurde von den Wissenschaftlern der Ruhr-Universität Bochum eine Analyse des TextSecure-Protokolls veröffentlicht.^[38] Neben einigen anderen Punkten entdeckten sie auch eine bisher unbekannte Schwachstelle (key-share attack), kamen jedoch insgesamt zu dem Ergebnis, dass das Protokoll sicher sei.^[39]

• Liste von mobilen Instant-Messengern

• Textsecure auf GitHub (englisch)
• Webseite von Open Whisper Systems (englisch)
• Details zum TextSecure-Protokoll (Version 2 – verwendet Axolotl, welches auf OTR basiert):
  • Protocol V2
  • Advanced cryptographic ratcheting

1. ↑ ^{a b c} Andy Greenberg: Android App Aims to Allow Wiretap-Proof Cell Phone Calls, Forbes, 25. Mai 2010. Abgerufen am 28. Februar 2014 
2. ↑ Release 1.37.1-beta.2.
3. ↑ ^{a b c} TextSecure on GitHub. Abgerufen am 26. Februar 2014. 
4. ↑ TextSecure-Server on GitHub. Abgerufen am 2. März 2014. 
5. ↑ ^{a b} Molly Wood: Privacy Please: Tools to Shield Your Smartphone. The New York Times, 19. Februar 2014, abgerufen am 26. Februar 2014. 
6. ↑ ^{a b} Signal 2.0: Private messaging comes to the iPhone. Abgerufen am 3. März 2015. 
7. ↑ ^{a b c} DJ Pangburn: TextSecure Is the Easiest Encryption App To Use (So Far). Motherboard (VICE), 3. März 2014, abgerufen am 14. März 2014. 
8. ↑ Axolotl Ratchet. 2. Oktober 2014, abgerufen am 14. März 2015 (englisch). 
9. ↑ ProtocolV2. 3. Februar 2015, abgerufen am 14. März 2015 (englisch). 
10. ↑ Moxie Marlinspike: The New TextSecure: Privacy Beyond SMS. Open Whisper Systems, 24. Februar 2014, abgerufen am 26. Februar 2014. 
11. ↑ Martin Brinkmann: TextSecure is an open source messaging app with strong security features. Ghacks Technology News, 24. Februar 2014, abgerufen am 26. Februar 2014. 
12. ↑ The Guardian Project: Secure Mobile Apps. GuardianProject.info, abgerufen am 26. Februar 2014. 
13. ↑ ^{a b c} Caleb Garling: Twitter Open Sources Its Android Moxie | Wired Enterprise, Wired.com, 20. Dezember 2011. Abgerufen am 21. Dezember 2011 
14. ↑ Company Overview of Whisper Systems Inc. Bloomberg Businessweek, abgerufen am 4. März 2014. 
15. ↑ Robert Lemos: An App for Dissidents. MIT Technology Review, 15. Februar 2011, abgerufen am 7. März 2014. 
16. ↑ Tom Cheredar: Twitter acquires Android security startup Whisper Systems. VentureBeat, 28. November 2011, abgerufen am 21. Dezember 2011. 
17. ↑ Andy Greenberg: Twitter Acquires Moxie Marlinspike's Encryption Startup Whisper Systems, Forbes, 28. November 2011. Abgerufen am 21. Dezember 2011 
18. ↑ Caleb Garling: Twitter Buys Some Middle East Moxie | Wired Enterprise, Wired.com, 28. November 2011. Abgerufen am 21. Dezember 2011 
19. ↑ Pete Pachal: Twitter Takes TextSecure, Texting App for Dissidents, Open Source, Mashable, 20. Dezember 2011. Abgerufen am 1. März 2014 
20. ↑ A New Home, Open Whisper Systems, 21. Januar 2013. Abgerufen am 1. März 2014 
21. ↑ Brian Donohue: TextSecure Sheds SMS in Latest Version. Threatpost, 24. Februar 2014, abgerufen am 1. März 2014. 
22. ↑ Christine Corbett: Sure! Open Whisper Systems, 27. März 2013, abgerufen am 16. März 2014. 
23. ↑ Andy Greenberg: Ten Million More Android Users' Text Messages Will Soon Be Encrypted By Default, Forbes, 9. Dezember 2013. Abgerufen am 28. Februar 2014 
24. ↑ Seth Schoen: 2013 in Review: Encrypting the Web Takes A Huge Leap Forward, Electronic Frontier Foundation, 28. Dezember 2013. Abgerufen am 1. März 2014 
25. ↑ Moxie Marlinspike: TextSecure, Now With 10 Million More Users, Open Whisper Systems, 9. Dezember 2013. Abgerufen am 28. Februar 2014 
26. ↑ Max Eddy: Snowden to SXSW: Here's How To Keep The NSA Out Of Your Stuff. PC Magazine: SecurityWatch, 11. März 2014, abgerufen am 16. März 2014. 
27. ↑ Hanno Böck: Snowden empfiehlt Textsecure und Redphone. Golem.de, 11. März 2014, abgerufen am 16. März 2014. 
28. ↑ TextSecure: Simple Private Communication For Everyone, NewsChallenge. Abgerufen am 27. Juli 2014 
29. ↑ Open Whisper Systems is coming to iPhone!, Open Whisper Systems. Abgerufen am 27. Juli 2014 
30. ↑ Free, Worldwide, Encrypted Phone Calls for iPhone, Open Whisper Systems. Abgerufen am 24. August 2014 
31. ↑ Whatsapp übernimmt Verschlüsselung von Textsecure auf Golem.de, zuletzt abgerufen am 12. Dezember 2014
32. ↑ Goodbye encrypted SMS Blogeintrag von Whispersystems zur Aufgabe verschlüsselter SMS und MMS. Abgerufen am 21. März 2015; fälschlicherweise ist dort Version 2.7 genannt; richtig ist jedoch 1.7
33. ↑ Open Whisper Systems: Is it secure? Can I trust it? Abgerufen am 13. März 2014. 
34. ↑ TextSecure: die quelloffene, verschlüsselte Alternative. psw-group.de, abgerufen am 29. Juni 2014. 
35. ↑ GCM freie Websockets Version von TextSecure, abgerufen 22. Juli 2015
36. ↑ SMSSecure, abgerufen 9. April 2015
37. ↑ Darren Pauli: Auditors find encrypted chat client TextSecure is secure. The Register, abgerufen am 4. November 2014. 
38. ↑ Tilman Frosch, Christian Mainka, Christoph Bader, Florian Bergsma, Jörg Schwenk, Thorsten Holz: How Secure is TextSecure? (PDF) Horst Görtz Institute for IT Security, Ruhr University Bochum, abgerufen am 4. November 2014. 
39. ↑ Tom Ritter: Working with the Open Technology Fund. iSEC Partners, 14. Oktober 2013, abgerufen am 4. Mai 2015.