Hat Threema wirklich keine Hintertürchen?

Die Schweizer App Threema profitiert, ähnlich wie andere Kurznachrichten-Apps, stark von abwandernden WhatsApp-Nutzern. Threema wirbt mit der sogenannten Ende-zu-Ende-Verschlüsselung. Bei Threema funktioniert das mit einem speziellen Schlüsselpaar. Vor allem im deutschen Sprachraum ist Threema beliebt. Die Stiftung Warentest verleiht der Schweizer App als einziger WhatsApp-Alternative die Bewertung «unkritisch», räumte aber ein:

«Threema ist keine quell­offene Software. Eine komplette Analyse des Daten­sende­verhaltens ist daher nicht möglich. Die Prüfer können ausschliessen, dass die App Nutzerdaten unver­schlüsselt über­trägt. Ob sie manche Daten aber eventuell verschlüsselt kommuniziert, konnten sie nicht zweifels­frei fest­stellen.»

Threema nutzt zur Verschlüsselung die NaCl-Bibliothek, bei der bis zu 255 Bit lange asymmetrische Schlüssel verwendet werden. Diese werden mittels elliptischen Kurven errechnet. Allgemein gilt die NaCl-Bibliothek unter Kryptographie-Experten als sicher, da der Quellcode von NaCl von jedem geprüft und genutzt werden darf. Nicht so beim Quellcode der Threema-App, der für niemanden einsehbar ist. 

Threema ermöglicht es lediglich, verschlüsselte Nachrichten in Log-Dateien auf dem Smartphone zu speichern. Diese Log-Dateien können dann mit zwei kleinen Programmen überprüft werden, die selber ebenfalls die NaCl-Bibliothek verwenden. Dazu müsste man, wie Golem.de erklärt, den Quellcode der beiden kleinen Programme von der Threema-Webseite herunterladen und diesen zunächst kompilieren, zumal das Validations-Feature der App-Entwickler zurzeit noch in Planung ist.

Golem hat sich an eine solche Validierung der Log-Dateien gewagt. Offenbar liessen sich der Quellcode problemlos unter Linux zu ausführbaren Programmen kompilieren. Doch was verriet die Validation schlussendlich? Anscheinend ist es bis jetzt nicht möglich zu beurteilen, ob die Nachricht, die von Threema geloggt wird, wirklich der Nachricht entspricht, die versendet wurde. Ein Versuch, den Datenstrom zum Threema-Server mit gefälschten https-Zertifikaten mitzulesen, scheiterte erwartungsgemäss.

Erstaunliches brachte aber die Analyse des übermittelten Inhalts der Log-Datei zutage: Darin fand sich ein zufällig generierter Sitzungsschlüssel, ein sogenannter Nonce, und die eigentliche verschlüsselte Nachricht. Auf den Zufallswert dieses Nonce muss der Anwender vertrauen, zu böswilligen Hintertüren würde sich der Nonce jedoch geradezu anbieten. In ihm liessen sich etwa Informationen einbauen, die selber mit einem weiteren Schlüssel vom Programm verschlüsselt sind.

Golem und Zeit Online folgern, dass nur die Möglichkeit helfen würde, Threema zu dekompilieren. Threema-Entwickler Manuel Kasper sagte gegenüber Zeit Online, es sei im Moment keine unabhängige Prüfung von anderer Seite geplant. In den Nutzungsbedingungen von Threema heisst es jedenfalls klar, dass der Quellcode «vertraulich und ein geschütztes Geschäftsgeheimnis» von Kasper Systems GmbH sei. Dekompilieren beziehungsweise Reverse Engineering ist anscheinend illegal.

Da Threema bis jetzt unabhängigen Sicherheitsforschern eine Prüfung explizit verbietet, bleibt zu hoffen, dass die Entwickler von Threema keine Fehler gemacht oder selber Hintertüren eingebaut haben.