Schmoose
| Schmoose | |
|---|---|
| |
| Maintainer | Schmoose S.A. |
| Entwickler | Schmoose S.A. |
| Erscheinungsjahr | 2014 |
| Aktuelle Version | 1.2.0 (Server) 1.2.8 (Windows Phone)[3] |
| Betriebssystem | Android, iOS, wp8 |
| Kategorie | Instant Messaging |
| Lizenz | proprietär |
| Deutschsprachig | ja |
| schmoose.ms | |
schmoose ist ein plattformübergreifender Instant-Messaging-Dienst, der von der Schmoose S.A. aus Luxemburg bereitgestellt wird. Der Dienst ist für die Betriebssysteme Windows Phone, Android und iOS verfügbar und ermöglicht in der aktuellen Version einen Austausch von Textnachrichten und Bildinformationen zwischen Benutzern von Smartphones.
Inhaltsverzeichnis
Geschichte[Bearbeiten]
Der Dienst wurde im März 2014 zunächst ausschließlich für Windows Phone vorgestellt.[4] Wegen der Verfügbarkeit auf Windows Phone war die internationale Aufmerksamkeit recht groß (z.B. in Indien wird und wurde Windows Phone intensiver genutzt). Schmoose ist in Deutsch, Englisch und Französisch verfügbar. Im April 2014 folgte dann die erste Version für Android Betriebssysteme. Entsprechende unabhängige Tests waren vielversprechend.[5] Ende 2014 kam auch eine Version für iOS auf dem Markt.[6] Der Versand von Video- und Audiodateien sowie von Ortskoordinaten befindet sich in Entwicklung. Es ist außerdem geplant, eine Windows 8 App auf den Markt zu bringen, so dass neben Mobilgeräten auch normale PCs an der Kommunikation teilnehmen können.
Sicherheit[Bearbeiten]
schmoose orientiert sich an openPGP und nutzt die Bouncy Castle Crypto API, und verschlüsselt und entschlüsselt alle Nachrichten bereits auf den Endgeräten der Anwender. Diese Ende-zu-Ende-Verschlüsselung macht das Mitlesen durch Dritte unmöglich. Für jede neue Nachricht wird ein neuer AES-256-Schlüssel benutzt, der mittels RSA-2048 nur für den Empfänger lesbar verschlüsselt über HTTPS/TLS übertragen wird.
Der private Schlüssel ist fest mit dem Endgerät verbunden und verläßt dieses nie. Er ist zusätzlich mit einem Passwort gesichert. Ein Nutzer kann bis zu 5 Endgeräte einsetzen, auf denen die Dialoge jeweils parallel ablaufen, so dass bei Nutzung eines anderen Geräts der begonnene Dialog unverändert fortgesetzt werden kann.
Schmoose bietet außerdem Perfect Forward Secrecy, allerdings nur für die Kommunikation zwischen dem Server und der App. Da für Forward Secrecy beide Gesprächspartner zur gleichen Zeit online sein müssten wird zu Gunsten der Ende-zu-Ende-Verschlüsselung darauf verzichtet.
Schmoose bietet auch einen Gruppenchat. Jede Nachricht wird dabei für jeden Empfänger separat verschlüsselt (wie bei Einzelnachrichten) und einzeln zugestellt. Die Schmoose-Server wissen dadurch weder, welche Gruppen es gibt, noch wer Mitglied in einer Gruppe ist.
Analog zu anderen Messengern werden drei Stufen bezüglich der Sicherheit mit dem richtigen Partner zu kommunizieren unterschieden:
- Niedrig
- Die schmoose-ID und der Schlüssel wurden durch den Server übertragen. Die Person, mit der kommuniziert wird, befindet sich (noch) nicht im eigenen Adressbuch (dies wird z.B. durch die Telefonnummer dieser Person oder ihre Mailadresse abgeglichen). Der Nutzer kann sich dann nicht sicher sein, mit der Person zu kommunizieren, die sie vorgibt zu sein.
- Mittel
- Die Telefonnummer oder E-Mail-Adresse des Kontakts wurde im lokalen Adressbuch gefunden. Der Nutzer kann sich so ziemlich sicher sein, mit der gewünschten Person zu kommunizieren.
- Hoch
- Dies stellt die höchste Sicherheitsstufe dar. Die ID und der Schlüssel wurden durch das Scannen des QR-Codes des Kontakts überprüft. Der Nutzer kann sich somit sehr sicher sein, mit der gewünschten Person zu kommunizieren.
Alle Daten werden nach Angaben des Herstellers ausschließlich auf Servern in Europa abgelegt und die Nachrichten nach der Zustellung beim Empfänger von den Servern gelöscht.
Das eigene Adressbuch kann mit den bereits bekannten Schmoose-Nutzern abgeglichen werden. Dazu werden Telefonnummern und Mailadressen des lokalen Adressbuchs gehashed und jeweils einzeln zu den Schmoose-Servern übertragen. Stimmt die Telefonnummer oder E-Mail-Adresse eines Kontakts im Adressbuch mit dem Hash-Wert in der Schmoose-Datenbank überein, wird die zugehörige Schmoose-ID automatisch in die Schmoose-Kontaktliste eingefügt.
Jede Kommunikation erfolgt auf der Basis von HTTPS/TLS1.2.
Kritikpunkte[Bearbeiten]
Der Quelltext von schmoose wird nicht veröffentlicht. Deshalb können Benutzer die Aussagen zu den Funktionen und der Sicherheit des Programms nur schwer überprüfen. Laut Hersteller können aber interessierte und benannte Nutzer nach entsprechender schriftlicher Vereinbarung Einblick in die Implementierung nehmen.
Um sich bei schmoose anmelden zu können, ist eine eindeutige Identifikation des Anwenders durch Angabe einer gültigen Handynummer (durch SMS überprüft) oder einer gültigen Mailadresse (durch Mailzustellung überprüft) notwendig. Auch die Echtheit weiterer Telefonnummern und Mailadressen, die der Benutzer später für alle sichtbar machen möchte, werden durch Kontroll-Codes per SMS oder Mail verifiziert.
Weblinks[Bearbeiten]
Einzelnachweise[Bearbeiten]
- ↑ Downloadseite für Android bei play.google.com, abgerufen am 31. März 2015.
- ↑ Vorschauseite für iOS bei itunes.apple.com, abgerufen am 31. März 2015.
- ↑ Vorschauseite für Windows Phone 8 bei www.windowsphone.com, abgerufen am 31. März 2015.
- ↑ http://www.sr-online.de/sronline/wissen/tipps_und_ratgeber/alternative_schmoosen_statt_chatten_mit_whatsapp100.html
- ↑ https://www.psw-group.de/blog/schmoose-messenger-mit-potenzial/1162
- ↑ http://www.trutower.com/2014/12/08/schmoose-messenger-iphone-ipad-1000/
