Das mit den Metadaten wird auch kaum zu verhindern sein. Das Problem ist hier aber die Vorratsdatenspeicherung speziell in D. Wenn das Unternehmen seinen Sitz zB. sin der Schweiz hätte wäre das Problem eher gering. Bei Verschlüsselung ist es viel wichtiger, dass es sich um eine echte End2End Verschlüsselung handelt und dass eben diese Schlüssel beim User erzeugt werden und ausschließlich dort gespeichert und zusätzlich gesichert werden. Dann wäre zumindest der Inhalt vor Ausspähung sicher. Das Verfahren sollte OpenSource sein, damit es Vertrauenswürdig ist. Axolotl sagt mir im Augenblick noch nichts. Eliptic Curve dagegen schon. Dies wird auch in Zusammenhang mit RSA/DSA Verfahren benutzt, ist auch Bestandteil von SSL und perfect forward secracy und kann unter oben genannten Bedingungen, wenn sauber implementiert als Sicher angesehen werden. Das sind aber wie immer wenn es um Sicherheit geht sehr viele Wenns!
Das Hauptproblem ist aber, dass das gesamte Verfahren nicht sicherer Sein kann als die Endgeräte selbst. Es braucht nur eine einzige Schnüffelapp um Schlüssel, Token oder ganze entschlüsselte Nachrichten zu klauen…
Resume: Threema, Securetext, oder XMPP mit aufgesetztem PGP sind alle deutlich besser als sich weiterhin von Whatsapp und Skype beklauen zu lassen.
Je sicherer man aber kommunizieren will, um so unkomfortabler wird es und je mehr Wissen erfordert es vom Anwender um nicht einer scheinbaren Sicherheit zu unterliegen.
Auf Grund der zu erfüllenden Rahmenbedingungen wird es niemals hundertprozentige Sicherheit geben. Die Sicherheitsbrüche und Lücken stecken ja leider schon in allen Verwendung findenden Betriebssystemen. Gerade Android und IOS haben Ihre Verwundbarkeiten schon oft genug bewiesen. Aber auch Windows Mobile, Ubuntu Mobile und selbst Blackberry OS kann man nicht 100% Vertrauen. Auch wenn bei BBOS 10.3 die Latte schon recht hoch hängt. Leider kommen alle mobilen Betriebssysteme aus Ländern der „Five Eyes“, womit sicher ist dass es für Schlapphüte Hintertüren gibt!
Mein Favorit ist zur Zeit XMPP mit Jabber über einen von einer vertrauenswürdigen Person gehosteten JabberServer auf gehärtetem NetBSD. und das ganze in Jabber mit einer PGP Verschlüsselung unterlegt. Der IP Verkehr wird dann noch per Socks-Proxy im Ausland anonymisiert. Das ganze unter BBOS oder Cyanogenmod mit, welches jeweils nur mit getesteten sicheren Apps erweitert wurde. Inklusive selbst native kompilierten Pidgin Client.
Ich gebe zu großer Aufwand. Aber hier dürften Selbst die Schlapphüte Ihre Schwierigkeiten haben.
In der Firma arbeiten wir ähnlich. Schlüssel werden persönlich ausgetauscht oder zumindest bestätigt. Damit ist das Verfahren erst einmal so sicher wie es technisch möglich und für den Anwender noch vertretbar ist.
Auf dem PC wäre auch Retroshare eine recht sichere Kommunikationsplattform. Hier sieht man auch nur noch Verbindungen aber nicht mehr wer mit wem Kommuniziert. Hier braucht es aber viel Grundwissen und Disziplin der Teilnehmer vor allem aber viele Teilnehmer wenn das Netzwerk nicht nur sicher sondern auch weitestgehend anonym sein soll. Das ist ja selbst Thor-Usern schon zum Verhängis geworden. denn die Community ist zu klein. Spätestens wenn die Angebote außerhalb von Thor liegen und dieses nur anonymisieren soll, erfüllt selbst Thor diesen Zweck nicht! Zumal steht Thor extrem im Fokus der Schlapphüte. Für Nutzer die nur innerhalb des Netzes kommunizieren gilt diese Einschränkung jedoch nicht denn hier gibt es keinen verläßlichen Ansatz herrauszufinden wer mit wem spricht, es sei denn man kann wirklich das komplette Netz überwachen aber selbst das ist fast unmöglich, solange man nicht versucht große Datenströme durch Thor zu leiten ( das gilt genauso für Retroshare. Als Sharing Platform ist es zu unsicher für reine Kommunikation per Text oder Sprache gilt dies jedoch nicht. Vor allem kann man direkt (P2P) und auch Multicast (P2nP) also indirekt kommunizieren. Dabei sind Nachrichten anonymisierbar und keiner kann sehen wer sie abruft. Es ist eine Perfekt absicherbare Groupware Lösung leider gibt es noch keinen mobilen Client.
Wer heute nach sicheren privaten Kommunikationslösungen sucht wird durch die aktuelle Politik leider nur noch im DarkNet Sektor fündig. und hier muss sehr genau geschaut werden, was tatsächlich brauchbar ist.
Noch einige Worte zum Schluss: Es ist nicht notwendig hundertprozentige Sicherheit zu erreichen. Der Aufwand (Kosten) zum Abhören muss immer deutlich grösser bleiben, dass die Kosten den Nutzen nicht lohnen. Wir werden jedoch in absehbarer Zeit etwas anderes benötigen als auf Primzahlen basierende Verschlüsselungen um dieses Ziel zu erreichen. Es müssen also viel mehr Leute sichere Verfahren einsetzen um die Schlapphüte auszubremsen, die Privatsphäre zu schützen und Wirtschaftsspionage zu erschweren. Im Augenblick sind wir fast alle Freiwild und die Jagdsaison ist schon lange eröffnet. Und was G-Data angeht ist die Sicherheit sehr relativ denn die Firma unterliegt dem deutschen Telemediengesetz, womit die Sicherheit dahin ist, denn damit ist auch G-Data verpflichtet für die „Dienste“ Hintertüren zu verbauen! Deshalb wurde auch de-Mail verhunzt und man versucht die nach Sicherheit schreiende Masse in Providerlösungen zu drängen die eben KEINE oder KEINE SICHERE End2End-Verschlüsselung bieten! Sie dürfen es einfach nicht!