Gestern, etwa eine Woche zu spät, wurde Version 2 des verschlüsselten Messengers TextSecure für #Android veröffentlicht. Grundsätzlich ist #TextSecure 2 genau das, was wir haben wollen und punktet da, wo #Threema einen faden Beigeschmack hat. Der interessante Vergleich sicherer Messenger, den ich bereits verlinkt hatte, wurde entsprechend aktualisiert. Demnach ist das Protokoll samt #Verschlüsselung von TextSecure 2 so eine Art feuchter Traum und der heißeste Scheiß, den man zur Zeit bekommen kann. Das will man haben. Also habe ich mir die #App direkt mal installiert und rechne Ihr leider nach ein paar Minuten Ausprobieren keine Aussicht auf durchschlagenden Erfolg aus. Warum?
- Ich mag die App nicht. Sie ist nicht besonders hübsch, was für mich zu verschmerzen wäre. Aber leider ist das ein wichtiger Faktor für die viel zitierten Normaluser. Für Chantal aus der 8b ist es nämlich deutlich wichtiger, wie eine App aussieht und wie sie sich anfühlt, als wie sicher sie ist. Davon abgesehen, dass Chantal auch gar nicht einschätzen kann, wie sicher so ein Protokoll ist, schon gar nicht im Vergleich zu Threema. Und ich möchte ihr das auch nicht erklären müssen. Am wichtigsten ist aber, dass Mirko aus der 8a und alle anderen aus der Gang den gleichen #Messenger benutzen. Die App muss also nicht nur Chantal gefallen, sondern der ganzen Gang.
- In erster Linie handelt es sich um eine SMS-App, die die SMS-App von Android vollständig ersetzen kann. Das hat zur Folge, dass man damit auch verschlüsselte SMS schreiben kann, wenn man den Schlüssel eines Kommunikationspartners hat. Das ist cool. Leider hat das aber auch zu Folge, dass die App auf SMS bzw. MMS zurückfällt, wenn jemand nicht über die transparent eingebundene Internetmessagingplattform von TextSecure erreichbar oder der Transportserver nicht erreichbar ist. SMS kosten mich allerdings 9ct und MMS vermutlich noch viel mehr, das will ich gar nicht wissen. Ich möchte das also nicht ungefragt vermischt sehen. Und ich möchte diese transparente Vermischung von SMS/MMS und Internet-Messaging auch ehrlich gesagt niemandem erklären müssen.
- Momentan gibt es TextSecure 2 nur für Android und auch hier ist es noch nicht erprobt. Threema zum Beispiel ist seit fast einem Jahr im Produktivbetrieb auf Android und unter iOS noch länger, da haben sich die meisten Kinderkrankheiten schon ausgewachsen. Aber ohne iOS brauchen wir mit einem Messenger sowieso gar nicht erst anfangen. TextSecure 2 ist damit in meinen Augen noch längst nicht fertig und wir brauchen einen sicheren Messenger jetzt und nicht irgendwann.
Mangels Kommunikationspartner konnte ich bisher noch nicht herausfinden, wie der Schlüsseltausch funktioniert und wie man einen Schlüssel verifiziert. Wenn ich das richtig sehe, kann man den Fingerabdruck des Schlüssels aber einsehen und manuell vergleichen. Das ist sowas von unsexy, da hat nicht nur Chantal keine Lust drauf.Der Schlüsseltausch klappt genau so magisch, wie bei Threema und man kann, wenn man das findet, auch einen QR-Code zur Überprüfung des Schlüssels scannen. Aber das ist lange nicht so intuitiv und klar gestaltet wie bei Threema, so ist das zu unsexy und technisch. Threema hat das so anwenderfreundlich gestaltet, dass es wie gesagt geradezu Spaß macht, IDs zu scannen, das grenzt mit der Ampel fast schon an Gamification. Was komplizierteres und weniger kommunikatives werden die Leute schlicht nicht akzeptieren. Zumindest solange sich nicht rausstellt, dass Threema böse ist und Leute im Knast gelandet sind, die sich darauf verlassen haben. Die Schlüsselverifikation bei Threema ist allemal lustig und geht sogar als cool durch, auch bei Chantal und ihren Homes.- Die App fragt bei der Einrichtung nach einer Passphrase für den Schlüssel. Das kann man zwar überspringen, aber die Frage nervt trotzdem. Die meisten Leute haben eine ausgeprägte Passwort-Allergie und haben sofort keinen Bock mehr, wenn sie sich ein Passwort ausdenken und merken sollen. Auch hier hat Threema schlau vorgelegt und macht so eine Passphrase optional und vor allem später bei Bedarf einrichtbar. Das führt zwar dazu, dass die meisten Leute keine setzen werden, aber da ist jeder selber für verantwortlich. Hauptsache, man nervt die 90% nicht, denen das alles total latte ist.
Schlimmer aber ist, dass TextSecure im entsperrten Modus ein immer sichtbares offenes Schloss im Benachrichtigungsbereich platziert. Das lässt sich umgehen, Threema braucht das ja auch nicht. Das nervt mich momentan insgesamt am meisten an TextSecure 2.
In der Form wird das in meinen Augen nichts mit TextSecure 2, da hilft es auch nicht, dass die App nichts kostet. Aber das Protokoll (inkl. App und Transportserver) ist cool, offen und von Leuten ausgedacht, die wissen, was sie tun. Was ich also gerne hätte wäre eine App, die das revolutionäre Nutzungserlebnis von Threema mit dem coolen Protokoll von TextSecure vereint. Revolutionär finde ich Threema übrigens deswegen, weil die es geschafft haben, Ende-zu-Ende-Verschlüsselung erstmals für die Massen tauglich zu machen. Chantal muss rein gar nichts über Verschlüsselung wissen und auch nicht lernen, um Threema benutzen zu können. Und trotzdem kann Chantal der Jessy die Bumsbilder mit Mirko schicken, ohne dass die noch sonstwo außerhalb der Kontrolle der unmittelbar Beteiligten gespeichert werden für wenn der Mirko mal ein berühmter Schauspieler ist oder so, man weiß ja nie. Also vorausgesetzt, Jessy ist vertrauenswürdig und Chantal hat den automatischen Upload aller ihrer Bilder zu #Dropbox und Google+ ausgeschaltet, aber das sind andere Baustellen… Bei TextSecure hat man es hingegen schon wieder mit langen Zahlen als Schlüssel-Fingerabdruck zu tun, davon müssen wir einfach weg. Man kann zwar einen QR-Code anzeigen lassen bzw. scannen, aber das ist im Menü hinter der abschreckenden Zahl versteckt und insgesamt ist das einfach zu unsexy implementiert. Threema hat die simple Ampel, das rafft jeder. Dass ich seit 17 Jahren PGP nutzer bin, aber noch immer nur mit einer Handvoll Leuten darüber verschlüsselte Mails austauschen kann, ist jedenfalls ein Zeichen, dass Verschlüsselung sexy und ein no-brainer sein muss, sonst heißt die Alternative in der Masse eben #Cloud ohne Verschlüsselung. Trotz #Prism und all dem #Überwachungs-Scheiß.
Nachtrag: Ein erster Kontakt! Und relativ gut versteckt im Menü hinter der schnöden Präsentation einer sehr langen Zahl als Fingerabdruck findet sich auch die Möglichkeit, einen QR-Code anzuzeigen bzw. zu scannen. Zu gut versteckt und unsexy präsentiert, meine Kritik bleibt also weitgehend stehen. Text oben ist aktualisiert.
Noch ein Nachtrag: Immerhin kann man nachträglich Leute zu Gruppen hinzufügen, das macht mich bei Threema echt fertig. Apropos fertig: TextSecure wirkt auf mich im Moment an vielen Stellen einfach unfertig. Wenn man die System-SMS-App nicht ersetzt, hat man übrigens auch das Problem nicht, dass man immer das dumpfe Gefühl hat, versehentlich SMS oder gar MMS zu verschicken. Denn dann lässt sich der Fallback ausschalten. Immerhin. Ich würde allerdings gerne den Fallback immer ausschalten und jeweils manuell wählen können, welchen Kanal ich benutze. Ich hatte Automatiken, die schnell mal teuer für mich werden können, wenn ich nicht aufpasse.
Nachtrag 28.03.2014: Ein Update später ist das nervige immer sichtbare Schloss-Icon in der Notificationbar weg. Das ging schnell.
Nachtrag 29.12.2020: TextSecure heißt seit ein paar Jahren Signal und ist ein brauchbarer Messenger geworden. Und vor ein paar Tagen hat Threema den Quellcode des Clients inkl. Reproducible Builds unter AGPL freigegeben. Das ist ein ziemlicher Gamechanger, genau so wie der für 2021 angekündigte Multi-Device-Support bei voller Ende-zu-Ende-Verschlüsselung und mit ein paar spannenden Ideen. Das Brett, das dafür zu bohren ist, ist leider ziemlich dick.
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Noch keine Kommentare