Threema verwendet bewährte asymmetrische Kryptografie, um die Kommunikation zwischen den Gesprächspartnern sowie die Kommunikation zwischen der App und den Servern zu verschlüsseln. Threema nutzt die Open-Source-Bibliothek NaCl als Verschlüsselungsprotokoll. Da die Threema-Apps Open Source sind, haben Sachverständige die Möglichkeit, sich selbst von Threemas Sicherheit zu überzeugen.
Es gibt zwei Verschlüsselungsschichten: Die Ende-zu-Ende-Schicht zwischen den Konversationsteilnehmern und eine zusätzliche Schicht, die vor dem Abhören der Verbindung zwischen App und Server schützt. Letztere ist nötig, um sicherzustellen, dass ein Angreifer, der Netzwerkpakete aufzeichnet (z.B. in einem öffentlichen Wireless-Netzwerk), nicht herausfinden kann, wer sich einloggt und wer mit wem kommuniziert.
Sämtliche Verschlüsselung und Entschlüsselung erfolgt direkt auf dem Gerät, und der Benutzer hat den Schlüsselaustausch unter Kontrolle. So ist sichergestellt, dass kein Dritter – nicht einmal der Serverbetreiber – den Inhalt
entschlüsseln kann.
Verschlüsselungsstärke: Die asymmetrische, auf ECC-basierende Verschlüsselung, die Threema verwendet, hat eine Stärke von 255 Bits. Gemäss einer Schätzung des NIST (Seite 54) entspricht dies mindestens der Stärke von RSA mit 2048 Bits. Mittels ECDH (Curve25519) und einer Hashfunktion sowie einer Nonce wird für jede Nachricht ein einmaliger, 256 Bits langer symmetrischer Schlüssel hergeleitet, und die Stromchiffre XSalsa20 wird dann für die eigentliche Verschlüsselung der Nachricht verwendet. Zudem wird ein 128 Bits langer Message Authentication Code (MAC) zur Entdeckung von Manipulationen/Fälschungen hinzugefügt.
Perfect Forward Secrecy: Threema unterstützt Perfect Forward Secrecy. Weitere Details dazu sind in diesem FAQ-Eintrag festgehalten.
Detaillierte technische Informationen zur Verschlüsselung in Threema finden Sie im Cryptography Whitepaper.
