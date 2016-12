Die Macher des Schweizer Krypto-Messengers Threema testen zurzeit ihren Web-Client. Die Variante für Android-Nutzer konnte heise online bereits kurz ausprobieren.

Nach Konkurrenten wie Signal und WhatsApp bekommt bald auch der Messenger Threema einen Web-Client. Anfang 2017 werde es "Threema Web" zunächst für Nutzer der Android-App freischalten, kündigte das Schweizer Start-up gegenüber heise online an. Nutzer von iOS und Windows Mobile sollen später zum Zuge kommen.

Zurzeit wird der Web-Client in einem geschlossenen Betaprogramm getestet. heise online konnte ihn ausprobieren: Um Smartphone und PC zu verbinden, scannt der Nutzer mit der Threema-App einen im Desktop-Browser angezeigten QR-Code. Das geht genau so schnell und intuitiv wie bei WhatsApp. Im Test stand wenige Sekunden nach dem Scannen die Verbindung.

Mit dem Web-Client kann man nicht nur bequem mit der Tastatur chatten, sondern auch Dateien per Drag & Drop verschicken. Ein Satz Emojis ist ebenfalls vorhanden. Threema zufolge läuft der Webclient "in jedem modernen Desktop-Browser, auf Windows, Linux, Mac OS usw...".

In der nächsten Version der Threema-App für Android taucht der Web-Client im Menü auf.





Beim Ausprobieren mit Chrome und Firefox wurden fast alle Nachrichten sofort oder nach wenigen Sekunden zugestellt. Ganz holperfrei lief die Betaversion erwartungsgemäß noch nicht. Manchmal schlug das Hochladen von Bildern fehl oder Nachrichten waren etwas länger unterwegs.

Ende-zu-Ende-Verschlüsselung auch zwischen Web-Client und App

Wie bei WhatsApp tauschen nach wie vor die Smartphone-Apps der Nutzer die Nachrichten aus. Sie sind die Endpunkte der zentralen Ende-zu-Ende-Verschlüsselung der Kommunikation zwischen Threema-Nutzern. Der Web-Client ist lediglich "hinten dran gehängt", bekommt also seine Nachrichten quasi aus zweiter Hand von der Smartphone-App des jeweiligen Nutzers.

Threema setzt dabei auf WebRTC, ein speziell für Real-Time-Chats entwickeltes Protokoll. Auf dessen eigene Channel-Verschlüsselung setzt Threema gemäß der Beschreibung in einem Whitepaper eine Ende-zu-Ende-Verschlüsselung der gut beleumundeten Krypto-Bibliothek NaCl und dem darauf aufsetzenden SaltyRTC.

Da sich Web-Client und App häufig nicht im gleichen Netz befinden, wird die Verbindung über externe Signaling Server aufgebaut – ebenfalls Ende-zu-Ende-verschlüsselt. Der eigentliche Datentransport soll wenn irgend möglich über eine direkte Verbindung zwischen Web-Client und App erfolgen.

WebRTC nutzt dazu Hole-Punching-Techniken aus STUN und TURN, um Löcher in Firewalls zu bohren. Scheitert das, kommt ein Relay-Server zum Einsatz, der jedoch auf Grund der E2E-Verschlüsselung keine Daten mitlesen kann. Befinden sich PC und Smartphone im selben Netzwerk, verlassen die Datenpakete dieses laut Threema nicht.

Quellcode des Web-Clients wird freigegeben

Die notwendige Basis der Geheimhaltung ist der Austausch von Schlüsseln zwischen Web-App und Smartphone-App. Dies erfolgt über das Einscannen des QR-Codes, den die Web-App anzeigt.

Threema hat sich sehr viel Mühe gegeben, die bereits von der Smartphone-App gegebenen Versprechen in Bezug auf Geheimhaltung und Vertraulichkeit auch auf den Web-Client auszudehnen. Sie haben dafür ein schlüssiges Konzept für Ende-zu-Ende-Verschlüsselung entworfen. Wie gut das umgesetzt ist und ob es sich in der Praxis bewährt, wird sich nach dem Start herausstellen. Den Quellcode von Threema Web will Threema vollständig veröffentlichen. (cwo)