Auch durch die bevorstehende Übernahme von Whatsapp durch Facebook für ca. 19 Milliarden US-Dollar und wegen der fehlenden Verschlüsselung der Kommunikation suchen zur Zeit viele Benutzer Alternativen. Hervorgetan haben sich für mich bis jetzt Threema, Telegram und jetzt doch noch TextSecure.
Bereits seit einiger Zeit nutze ich die kostenpflichtige App aus der Schweiz, Threema. Threema ist nicht Open Source aber die Übermittelung verschlüsselter Nachrichten kann nachvollzogen werden. Theoretisch kann die Closed-Source App Threema natürlich trotzdem machen was sie will.
Im Netz wird gerade die Open Source App Telegram als Alternative angepriesen. Auf den ersten Blick scheint diese App auch wirklich gut zu sein. Das Problem ist aber, dass die Entwickler sich ein ziemlich kompliziertes eigenes Protokoll ausgedacht haben. Für die Entwicklung von Sicherer Software gilt aber, dass man eben nicht auf Eigenentwicklungen (beim Protokoll oder Kryptographischen Bibliotheken) setzten sollte, es sei denn man ist erfahrener Krypto-Experte. Des Weiteren ist der Quellcode aktuell aus meiner Sicht noch nicht ausgereift genug und man wird auch von dieser App gezwungen den Serverbetreibern zu vertrauen. Deshalb halte ich aktuell Abstand zu dieser App.
TextSecure gibt es schon ein paar Jahre. Bis zum 24. Februar 2014 war die App nur in der Lage SMS Nachrichten zu verschlüsseln. Nun ist sie eine vollwertige Alternative zu Whatsapp geworden indem sie jetzt auch über eine Datenverbindung Nachrichten austauschen kann. Dabei ist es möglich, zum Beispiel ohne gerade verfügbare Datenverbindung, trotzdem auf SMS zurückzugreifen. TextSecure selbst ist Open Source und verwendet ein zu Off-the-Record ähnliches Protokoll. Dabei setzt es auf elliptische Kurven Kryptographie mit der auch von Threema verwendeten Curve25519. Bei TextSecure ist nicht nur die App selbst Open Source sondern auch der dazugehörige Server-Code.
Update:
Wie schon erwähnt ist es sehr wichtig, nicht zu versuchen sein eigenes Protokoll zu entwickeln sowie die vorhandenen richtig zu implementieren. Siehe dazu auch einen Kommentar bei Golem:
… Langfristig am vielversprechendsten sieht Textsecure aus. …
IMHO: Vorsicht vor falschen Krypto-Versprechen, Hanno Böck, Abgerufen am 27.02.14 12:06 Uhr
.