Verschlüsselung für Android und iOS: Pssst, streng geheim

BERLIN taz | Die Zeiten, in denen sich nur Nerds an Verschlüsselungstools für E-Mails und SMS herangetraut haben, gehen dem Ende entgegen. Besonders seit dem NSA-Skandal oder der Aufregung um die Sicherheitslücken von Whatsapp ist die Auswahl an entsprechender Software nicht nur gewachsen, sie wird auch immer benutzerfreundlicher.

Nun ist es erstmals möglich, verschlüsselte Textnachrichten mit einer Open-Source-Software zwischen den beiden größten mobilen Betriebssystem Android und iOS zu verschicken.

Die Lorbeeren dafür gewinnt die App Signal 2.0 für iOS, also für Nutzer von iPhones oder iPads. Das Open-Source-Projekt Open Wispersystems rund um den Entwickler und Hacker Moxie Marlinspike hat die Software am Montag vorgestellt. Bisher war mit Signal nur verschlüsseltes Telefonieren möglich, eine Weiterentwicklung für das Schreiben von Nachrichten war für den Spätsommer 2014 angekündigt.

Nun ist sie da und komplett kompatibel mit den Android-Apps Textsecure und Redphone desselben Herstellers – Apps, mit denen sowohl SMS als auch Nachrichten über den Online-Messenger sowie Telefongespräche verschlüsselt werden können und die beispielsweise von Edward Snowden empfohlen wurden. Signal 2.0 ermöglicht das Versenden von Textnachrichten mit Ende-zu-Ende-Verschlüsselungen. Dabei werden Nachrichten tatsächlich erst auf den Geräten der Nutzer entschlüsselt und sind somit während der gesamten Übertragung für Dritte nicht lesbar.

„Wir können weder eure Konversationen hören noch eure Nachrichten lesen, und das kann auch kein anderer“, versichern die Hersteller auf ihrer Webseite. „Alles in Signal ist immer Ende-zu-Ende-verschlüsselt und sorgfältig entwickelt, um eure Kommunikation sicher zu halten.“ Besondere Kenntnisse braucht man als Nutzer dafür nicht – die App kümmert sich automatisch um die Erstellung des Schlüssels. Auch Gruppenunterhaltungen und das Versenden von Bildern funktionieren problemlos.

Das erste mal Open Source

„Damit wird erstmals vertrauenswürdiges und verschlüsseltes Texting & Telefonieren zwischen den beiden am weitesten verbreiteten mobilen Betriebssystemen möglich“, heißt es auf dem deutschen Blog netzpolitik.org.

Zwar war es bisher schon möglich, über Apps wie Threema verschlüsselte Nachrichten zwischen den beiden Betriebssystemen zu verschicken – mit Signal 2.0 ist dies aber erstmals über eine Open-Source-App möglich. Das heißt, dass die Hersteller den kompletten Quellcode der App offenlegen, so dass dieser von jedem, der sich damit auskennt, überprüft werden kann. Dadurch wird es sehr viel schwieriger, Hintertüren einzubauen, um doch Daten abzugreifen – zum Beispiel für Geheimdienste.

Dies ist nicht nur möglich, es passiert auch tatsächlich. So wurde das Protokoll von Textsecure erst im Oktober 2014 von Kryptografen überprüft. Die veröffentliche Analyse enthält zwar einen Vorschlag zur weiteren Risikominderung, erklärt aber, dass Textsecure „tatsächlich die Ziele von Glaubwürdigkeit und Geheimhaltung erreichen kann.“

Einen Nachteil haben Textsecure und Signal 2.0 jedoch: Anders als mit der (minimal) kostenpflichtigen und Nicht-Open-Source-App Threema ist es kompliziert und unpraktikabel, der App den Zugriff auf eigene und fremde Telefonnummern zu verbieten. Denn nur dadurch sieht der Nutzer, wer sonst noch mit Textsecure arbeitet.

Zwar kann man wie bei Threema auch hier alternativ den QR-Codes des Anderen scannen oder mühsam dessen 68-stelligen Zahlencode eintippen. Verweigert man der App jedoch den Zugriff auf die eigene Telefonnummer, kann man nur auf den Versand verschlüsselter, aber kostenpflichtiger SMS zugreifen. Kostenfreies Kommunizieren über die Datenverbindung bleibt denen vorbehalten, die ihre Handynummer preisgeben.