Vergleich von Secure Messaging-Anwendungen

Das Ziel dieser Website
Ich habe diese Seite erstellt, um es den Leuten zu ermöglichen, viele so genannte „Secure Messaging Apps“ zu vergleichen. Ebenso hoffe ich, die Menschen darüber aufzuklären, welche Funktionalität für ein wirklich sicheres Messaging erforderlich ist.

Diese Seite soll nicht umfassend sein; die Sicherheit ist schwierig, und eine vollständige Überprüfung jeder App ist aufgrund der Zeit und des fehlenden Zugriffs auf den Quellcode in vielen Fällen einfach nicht plausibel.

Solltest du nicht unparteiisch bleiben?
Nach meiner threema auf zwei geräten Erfahrung wollen normale Menschen (gelesen: Nicht-Sicherheits-/Datenschutzleute) eine einfache Ja/Nein-Antwort oder eine Empfehlung. Ich glaube, dass mein Vergleich fair ist, und deshalb habe ich meine Kriterien für die Bewertung der einzelnen Apps aufgenommen.

Ich bin mit keinem der Unternehmen oder Personen hinter den Apps verbunden.

Annahmen
Ich habe bei iMessage und Skype davon ausgegangen, dass sowohl der Absender als auch der Empfänger iMessage und Skype verwenden. Beide greifen auf unverschlüsselte Kommunikation zurück, wenn die andere Partei die Verschlüsselung nicht unterstützt.
Also…. welche App(s) soll ich verwenden?
Signal. Es ist vollständig Open Source, geschrieben von einem bekannten Sicherheitsexperten, und sein Protokoll wird in anderen Messaging-Anwendungen (z.B. Whatsapp & Wire) verwendet. Sie werden durch Spenden und Zuschüsse finanziert, nicht durch Firmengelder, die sich auf Ihre Daten stützen. Ihre Umsetzung wurde von Sicherheitsexperten und Kryptographen überprüft. Es ist solide.
Threema. Wenn Sie Five Eyes/Fourteen Eyes vermeiden möchten oder eine App anonym nutzen möchten, dann ist es eine gute Wahl. Sie haben ein User-Pay-Modell, ihr Design ist solide und sie haben die App unabhängig überprüft. Es ist jedoch eine geschlossene Quelle.
Draht. Nochmals, wenn Sie versuchen, Five Eyes/Fourteen Eyes zu vermeiden, dann ist es eine gute Wahl. Es ist nicht so gut dokumentiert wie Signal und Threema, obwohl sowohl der Client als auch der Server Open Source sind. Sie wurde von unabhängiger Seite überprüft. Sowohl Threema als auch Wire bieten leicht unterschiedliche Sicherheits- und Datenschutzstufen. Ich würde sie beide gleichermaßen für den durchschnittlichen Benutzer empfehlen.
Welche Apps sollte ich vermeiden?
Facebook Messenger. Die Verschlüsselung ist standardmäßig nicht aktiviert, das Geschäftsmodell von Facebook basiert auf der Erfassung von Benutzerinformationen, und sie wurden als NSA-Partner in die Lecks von Snowden einbezogen.
Google Allo. Die Verschlüsselung ist standardmäßig nicht aktiviert, das Geschäftsmodell von Google basiert auf der Erfassung von Benutzerinformationen und wurde als NSA-Partner in die Lecks von Snowden einbezogen.
iMessage. Es bietet keine Benutzerverifizierung, sein Design ist vollständig geschlossen, Metadaten sind nicht geschützt und es wurde noch nie unabhängig auditiert. Trotz Apples jüngster Fokussierung auf den Datenschutz wurden sie als Partner der NSA in den Snowden Lecks genannt.
Aufstand. Es ist ein in Großbritannien ansässiges Unternehmen, und seine Verschlüsselung befindet sich noch im Beta-Stadium. Es sieht vielversprechend aus, aber ich würde nicht vorschlagen, es für etwas Wichtiges zu verwenden.
Skype. Es wurde mit integrierter Überwachung entwickelt. Genug gesagt. Microsoft wurde als Partner der NSA in den Leckstellen von Snowden genannt.
Telegramm. Maßgeschneiderte Kryptographie ist keine gute Idee, die Verschlüsselung ist standardmäßig nicht aktiviert, die Benutzerverifizierung ist nicht korrekt implementiert, die Benutzerdaten (Telefonnummern, Kontaktinformationen) sind nicht geschützt und sie wurde von Kryptographen/Sicherheitsexperten weitgehend kritisiert.
Viber. Es ist aus geschlossener Quelle, gegründet von Talmon Marcoiii, ehemaliger Chief Information Officer (CIO) des Central Command of the Israeli Defense Force, die Finanzierung ist unklar, es schützt keine Benutzerdaten und es wurde nicht unabhängig auditiert.
Whatsapp. Es ist eine geschlossene Quelle, die sich im Besitz von Facebook befindet (dessen Geschäftsmodell auf dem Sammeln von Benutzerinformationen basiert), Metadaten nicht schützt, Benutzerdaten (Telefonnummern, Kontaktinformationen) nicht schützt, Zeitstempel/Benutzermetadaten protokolliert und nicht unabhängig geprüft wurde. Facebook wurde auch als Partner der NSA in den Snowden-Lecks genannt. Es verwendet jedoch das gleiche Protokoll wie Signal.
Wickr: Es ist eine geschlossene Quelle und eine amerikanische Firma. Das ist genug, um es für mich in dieser Welt nach dem Schnee auszuschließen.
Ein Wort zum Thema Vertrauen
Um eine der Apps als „sicher“ zu betrachten, müssen Sie den Menschen hinter ihnen vertrauen. Jede der Apps hat eine Schwäche gemeinsam: Sie müssen einem Dritten (ihnen) vertrauen, damit es funktioniert. Nämlich müssen Sie

darauf vertrauen, dass sie keine Anreize haben, Ihre Daten nicht zu schützen,
darauf vertrauen, dass sie eine sichere Lösung entwickelt und implementiert haben,
darauf vertrauen, dass sie Ihre Daten nicht an die Behörden weitergeben werden/können,
vertrauen Sie darauf, dass der Quellcode, von dem Sie die App heruntergeladen haben, sie nicht verändert hat,
darauf vertrauen, dass der Quellcode, den sie veröffentlichen, wenn ja, ausschließlich das ist, was zur Kompilierung der App verwendet wurde, und
Vertrauen, dass es keine Hintertüren oder Sicherheitsschwachstellen gibt.
Insbesondere bei jeder einzelnen App, die ich bewertet habe, müssen Sie ihren Verzeichnis-Servern vertrauen. Dies sind die Server, die sicherstellen, dass Person A wirklich eine Nachricht an Person B sendet und dass Person C die Nachricht nicht abfangen oder sich entweder als Person A oder Person B ausgeben kann.