Threema

De la Viquipèdia, l'enciclopèdia lliure
Threema
Modifica el valor a Wikidata
Tipusclient de missatgeria instantània i aplicació mòbil Modifica el valor a Wikidata
Versió inicial
2012 Modifica el valor a Wikidata
Versió estable
iOS: 5.0.1 (27 març 2023)
Android: 5.0.4 (1r març 2023)
navegador web: 2.5.1 (31 gener 2023) Modifica el valor a Wikidata
LlicènciaGNU Affero General Public License, versió 3.0 Modifica el valor a Wikidata
Característiques tècniques
PlataformaAndroid i iOS Modifica el valor a Wikidata
Escrit enObjective-C, Java, Swift, JavaScript i Python Modifica el valor a Wikidata
Equip
DistribuidorGoogle Play, Huawei AppGallery i App Store Modifica el valor a Wikidata
Més informació
Lloc webthreema.ch (alemany) Modifica el valor a Wikidata
BlogBlog oficial Modifica el valor a Wikidata
Facebook: threemaapp Twitter (X): ThreemaApp Mastodon: threemaapp@mastodon.social Youtube: UCxWSpPpzB55KqkbUG9QroPQ GitHub: threema-ch Modifica el valor a Wikidata

Threema és una aplicació de missatgeria instantània de pagament de codi obert i encriptació punt a punt per a iOS i Android.[1]

El programari es basa en la privadesa des de la seva concepció, ja que no requereix cap número de telèfon ni cap altra informació d'identificació personal. Això ajuda a anonimitzar els usuaris fins a cert punt.[2][3][4]

A més de missatges de text, els usuaris poden fer trucades de veu i vídeo, enviar fitxers multimèdia, ubicacions, missatges de veu i altres fitxers.[5] Una versió d'aplicació web, Threema Web, es pot utilitzar en dispositius d'escriptori,[6] però només mentre el telèfon amb la instal·lació de Threema de l'usuari estigui en línia.

Threema ha estat desenvolupat per l'empresa suïssa Threema GmbH.[7][8] Els servidors són localitzats a Suïssa i el desenvolupament en la seu de Pfäffikon SZ. El gener de 2020 Threema va tenir 8 milions d'usuaris.[9] Mentre el gener de 2019, la versió empresarial, Threema Work, va ser utilitzat per 3,000 empreses i organitzacions.[10]

Història[modifica]

Threema va ser fundada el desembre de 2012 per Manuel Kasper.[11] La companyia es deia inicialment Kasper Systems GmbH.[12] Posteriorment, Martin Blatter i Silvan Engeler van ser reclutats per desenvolupar una aplicació per a Android que es va llançar a principis del 2013.[13]

L'estiu del 2013, les filtracions de Snowden van ajudar a crear interès per Threema, augmentant el nombre d'usuaris fins als centenars de milers.[14] Quan Facebook es va fer càrrec de Whatsapp el febrer de 2014, Threema va aconseguir 200.000 nous usuaris, duplicant la seva base d'usuaris en 24 hores.[15] Al voltant del 80% dels nous usuaris provenien d'Alemanya. Al març de 2014, Threema tenia 1,2 milions d'usuaris.[13]

La primavera de 2014, les operacions es van transferir a la recentment creada Threema GmbH.[12][16]

Al desembre de 2014, Apple va classificar Threema com l'app més venuda del 2014 a l'App Store alemanya.[17]

El 2020, Threema es va expandir amb videotrucades,[18] planeja fer que el seu codi sigui totalment obert, així com introduir versions reproductibles [19] i Threema Education, una variació de Threema destinada a les institucions educatives.

Durant la segona setmana del 2021, Threema va veure un quadruplicació de les descàrregues diàries provocades pels controvertits canvis de privadesa al servei de missatgeria de WhatsApp. Un portaveu de la companyia també va confirmar que Threema havia ascendit al nivell més alt de les llistes de pagament a Alemanya, Suïssa i Àustria.[20] Aquesta tendència va continuar fins a la tercera setmana de l'any, amb el cap de màrqueting i vendes que va confirmar que les descàrregues havien augmentat fins a deu vegades el nombre habitual, cosa que va generar "centenars de milers d'usuaris nous cada dia".[21]

Característiques[modifica]

Threema utilitza un identificador d'usuari, creat després de l'execució inicial de l'aplicació per un generador aleatori, en lloc de requerir una adreça de correu electrònic o un número de telèfon enllaçats per enviar missatges. És possible trobar altres usuaris per número de telèfon o adreça de correu electrònic si l'usuari permet que l'aplicació sincronitzi la seva llibreta d'adreces.[22] Enllaçar un número de telèfon o una adreça de correu electrònic a un identificador de Threema és opcional. Per tant, el servei es pot utilitzar de forma anònima. Els usuaris poden verificar la identitat dels seus contactes de Threema escanejant el seu codi QR quan es troben físicament. El codi QR conté la clau pública de l'usuari, que està criptogràficament lligada a l'identificador i no canviarà durant la vida de la identitat.[23] Mitjançant aquesta forta funció d'autenticació, els usuaris poden assegurar-se que tenen la clau pública correcta dels seus socis de xat, cosa que proporciona una seguretat addicional davant d'un atac per intercepció. Threema coneix tres nivells d'autenticació (nivells de confiança de la identitat del contacte). El nivell de verificació de cada contacte es mostra a l'aplicació Threema com a punts al costat del contacte corresponent.

A més dels xats individuals, Threema ofereix xats de grup de fins a 256 persones. Els usuaris poden fer trucades de veu i vídeo, enviar missatges de text i de veu, multimèdia, ubicacions i fitxers de qualsevol tipus (fins a 50 MB per fitxer).[24][25] També és possible crear enquestes en xats personals o de grup.[26] Amb Threema Web, un client per a navegadors web, Threema es pot utilitzar des d'altres dispositius, com ara ordinadors d'escriptori, tot i que sempre que el dispositiu original estigui en línia. Threema és compatible amb el rellotge intel·ligent Android Wear i Android Auto.[27] Threema va llançar el suport per a videotrucades xifrades de punt a punt el 10 d'agost de 2020. Les trucades són de persona a persona amb les trucades de grup no disponibles.[28]

Productes relacionats[modifica]

Threema Work: el 25 de maig de 2016 es va llançar Threema Work, una versió corporativa de Threema. Threema Work ofereix funcions ampliades d'administració i desplegament.[29] Threema Work es basa en un model de subscripció anual.[30]

Threema Gateway: el 20 de març de 2015, Threema va llançar una passarel·la per a empreses. De manera similar a una passarel·la d'SMS, les empreses el poden utilitzar per enviar missatges als seus usuaris que tenen Threema instal·lat.[31] El codi de l'SDK de Threema Gateway està obert per als desenvolupadors i està disponible a GitHub.[32]

Threema Broadcast: el 9 d'agost de 2018, Threema va llançar Threema Broadcast, una eina per a la comunicació de dalt a baix. De manera similar als correus electrònics dels butlletins electrònics, els missatges de Threema es poden enviar a qualsevol nombre de subscriptors de canals de notícies i Threema Broadcast permet crear bots conversacionals.[33]

Threema Education: el 10 de setembre de 2020, Threema va llançar Threema Education, una versió del seu programa de missatgeria instantània dissenyada per a institucions educatives. L'aplicació integra Threema Education requereix un pagament únic per cada dispositiu utilitzat. Està pensat per a ús de professors, estudiants i pares.[34]

Privadesa[modifica]

Atès que els servidors de Threema es troben a Suïssa, estan subjectes a la llei federal suïssa sobre protecció de dades. El centre de dades està certificat en ISO 27001.[35] Enllaçar un número de telèfon i/o adreça de correu electrònic a un identificador de Threema és opcional; en fer-ho, només s’envien al servidor els valors de suma de verificació (SHA-256 HMAC amb una clau estàtica) de l'adreça de correu electrònic i/o del número de telèfon.[36] A causa del poc nombre de possibles combinacions de dígits d'un número de telèfon, el número de telèfon associat a una suma de control es podria determinar per força bruta. Les dades transmeses estan garantides per TLS. Les dades de la llibreta d'adreces només es guarden a la memòria volàtil del servidor i s’esborren immediatament després de sincronitzar els contactes.[37] Si un usuari opta per enllaçar un número de telèfon o una adreça de correu electrònic amb el seu identificador de tema, pot eliminar el número de telèfon o l'adreça de correu electrònic en qualsevol moment.[38] Si algun usuari perd el seu dispositiu (i la seva clau privada), pot revocar el seu ID de Threema si s'ha establert una contrasenya de revocació per a aquest ID.[39]

Els grups només es gestionen als dispositius dels usuaris i els missatges de grup s’envien a cada destinatari com a missatge individual, xifrat amb la clau pública respectiva. Per tant, els missatges de grup no s’exposen directament al servidor.[36]

Les dades (inclosos els fitxers multimèdia) emmagatzemades als dispositius dels usuaris es xifren amb AES 256. A Android, es pot protegir addicionalment mitjançant una frase de contrasenya.[40]

Des de 2016, Threema GmbH publica un informe de transparència on es revelen les consultes de les autoritats públiques.[41]

El 9 de març de 2017, Threema figurava al "Registre d'organitzadors de difusió d'informació a Internet" gestionat pel Servei Federal de Supervisió de Comunicacions, Tecnologies de la Informació i Mitjans de Comunicació de la Federació Russa.[42]

En una resposta, un portaveu de Threema va declarar públicament: "Operem segons la legislació suïssa i no estem autoritzats ni disposats a proporcionar cap informació sobre els nostres usuaris a autoritats estrangeres".[43]

Arquitectura[modifica]

Tota la comunicació a través de Threema està xifrada de punt a punt. Durant la configuració inicial, l'aplicació genera un parell de claus i envia la clau pública al servidor mantenint la clau privada al dispositiu de l'usuari.[44] A continuació, l'aplicació xifra tots els missatges i fitxers que s'envien a altres usuaris de Threema amb les seves respectives claus públiques.[45][46] Quan el missatge es lliura correctament, se suprimeix immediatament dels servidors.[47]

El procés de xifratge utilitzat per Threema es basa en la biblioteca NaCl de codi obert. Threema utilitza xifratge asimètric basat en ECC, amb una potència de 256 bits. Threema ofereix una funció "Registre de validació" que permet confirmar que els missatges estan xifrats de punt a punt mitjançant la biblioteca NaCl de xarxes criptografia.[48] L'agost de 2015, Threema va ser sotmesa a una auditoria de seguretat externa.[49] Els investigadors de Cnlab van confirmar que Threema permet el xifratge segur de punt a punt i van afirmar que no eren capaços d'identificar cap debilitat en la implementació. Els investigadors de Cnlab també van confirmar que Threema proporciona anonimat als seus usuaris i gestiona els contactes i altres dades d'usuaris tal com s’anuncien.[50][51]

Rebuda al mercat[modifica]

El febrer de 2014, l'organització alemanya de consumidors Stiftung Warentest va avaluar diversos aspectes de protecció de dades de Threema, WhatsApp, Telegram, BlackBerry Messenger i Line. Va considerar la seguretat de la transmissió de dades entre clients, les condicions d'ús dels serveis, la transparència dels proveïdors de serveis, la disponibilitat del codi font i la disponibilitat global de les aplicacions. Threema va ser l'única aplicació classificada com a "no crítica" (unkritisch) en relació amb la protecció de dades i privadesa, però va perdre punts a causa del seu caràcter de font tancada, tot i que això ha canviat a finals del 2020.[52]

Juntament amb Cryptocat i Surespot, Threema va ocupar el primer lloc en un estudi que avaluava la seguretat i la usabilitat del programari de xifratge de missatgeria instantània, realitzat pel grup alemany PSW el juny de 2014.[53]

Al novembre de 2015, Threema tenia una puntuació de 6 sobre 7 punts al "Secure Messaging Scorecard" de la Electronic Frontier Foundation, ara retirat i obsolet. Va rebre punts per tenir xifrades comunicacions en trànsit, xifrar comunicacions amb claus a les quals el proveïdor no té accés (és a dir, tenir xifratge punt a punt), cosa que permet als usuaris verificar de manera independent les identitats del seu corresponsal, tenir comunicacions segures en el passat si es roben les claus (és a dir, implementen el secret directe), si el seu disseny de seguretat està ben documentat i s'ha realitzat una auditoria de seguretat independent. Va perdre un punt perquè el seu codi font no estava obert a revisió independent (és a dir, no era de codi obert, tot i que a finals del 2020 ja s'hi va convertir).[54]

Vegeu també[modifica]

Referències[modifica]

  1. Happich, Julien. «Privacy gains traction with secure messaging apps». Electronic Engineering Times Europe, 23-09-2014. Arxivat de l'original el 23 de setembre 2015. [Consulta: 21 desembre 2015].
  2. «Cryptography Whitepaper». [Consulta: 30 octubre 2020].
  3. «FAQ – Privacy Protection». [Consulta: 30 octubre 2020].
  4. «What is a Threema ID?». threema.ch.
  5. «What features does Threema offer?» (en anglès). [Consulta: 10 juny 2021].
  6. «Threema Web». [Consulta: 30 octubre 2020].
  7. «Threema». Google Play Store. [Consulta: 5 juliol 2014].[Enllaç no actiu]
  8. Swiss Confederation. «Swiss company registry entry for Threema GmbH». zefix.ch. Arxivat de l'original el 7 de juliol 2014. [Consulta: 5 juliol 2014].
  9. «About - Threema: Best-Selling Chat App» (en anglès).
  10. «Verschlüsselte Botschaften». Arxivat de l'original el 2019-11-23. [Consulta: 9 juny 2021].
  11. «Kryptografie-App Threema: Schweizer sorgen für Privatsphäre» (en alemany). , 28-06-2015.
  12. 12,0 12,1 «Im Interview: Threema» (en alemany). Mailify, 23-07-2014. Arxivat de l'original el 2 agost 2014. [Consulta: 11 octubre 2015].
  13. 13,0 13,1 «Der Schlossherr» (en alemany). .
  14. Price, Rob. «Germany's most popular paid app is a secure messenger loved by millions — now it's taking on the US». Business Insider UK, 18-06-2015. [Consulta: 11 octubre 2015].
  15. Dillet, Romain. «Bye Bye, WhatsApp: Germans Switch To Threema For Privacy Reasons». TechCrunch, 21-02-2014.
  16. «Threema GmbH, Pfäffikon SZ». Shabex.ch. [Consulta: 11 octubre 2015].
  17. «iOS-Highlights: Die besten Apps des Jahres» (en alemany). Focus, 09-12-2014. [Consulta: 1r març 2016].
  18. «Threema joins the ranks of E2EE chat apps that support encrypted video calls» (en anglès). ZDNet, 11-08-2020. [Consulta: 10 juny 2021].
  19. Cimpanu, Catalin. «Threema E2EE chat app to go 'fully open source' within months» (en anglès). ZDNet, 04-09-2020. [Consulta: 30 octubre 2020].
  20. (en alemany) , 13-01-2021.
  21. , 18-01-2021.
  22. «Will my address book data be sent to your servers?». threema.ch. [Consulta: 2 desembre 2014].
  23. «What is a Threema ID? - Threema». threema.ch.
  24. «What features does Threema offer?». threema.ch.
  25. «How can I send a file?». threema.ch.
  26. Bordel, Stefan. «Threema integriert Umfrage-Funktion» (en alemany). com! - Das Computer-Magazin, 12-01-2015. [Consulta: 12 octubre 2015].
  27. «Big Update for Android». threema.ch.
  28. Cimpanu, Catalin. «Threema joins the ranks of E2EE chat apps that support encrypted video calls» (en anglès). ZDNet, 11-08-2020. [Consulta: 30 octubre 2020].Cimpanu, Catalin (August 11, 2020).
  29. «The messenger for organizations». work.threema.ch.
  30. «Pricing Threema Work».
  31. (en alemany) , 28-09-2015.
  32. «Threema GmbH». GitHub. [Consulta: 20 setembre 2017].
  33. «Broadcast Blog-Post».
  34. «Threema Education: Framework Contract with educa.ch», 10-09-2020. [Consulta: 25 octubre 2020].
  35. «Reference Sheet Privacy and Security». threema.ch.
  36. 36,0 36,1 «Threema Cryptography Whitepaper». threema.ch.
  37. «Will my address book data be sent to your servers?». threema.ch.
  38. «How can I unlink my Threema ID from an email address or phone number?». threema.ch.
  39. «Revoke your ID». threema.ch.
  40. «Are messages encrypted when they are stored on my device?». threema.ch.
  41. «Transparency Report». threema.ch.
  42. «Threema GmbH» (en rus). ru. Arxivat de l'original el 20 de juny 2017. [Consulta: 20 setembre 2017].
  43. «Russia adds international messenger Threema to official registry». East-West Digital News, 16-03-2017. [Consulta: 27 gener 2018].
  44. «Could you decrypt my messages?». threema.ch. [Consulta: 5 juliol 2014].
  45. «Threema Cryptography Whitepaper». threema.ch, 14-09-2017.
  46. Zorz, Mirko. «Secure mobile messaging with Threema». Help Net Security, 17-09-2014.
  47. «How long do messages stay in queue for delivery?». threema.ch. [Consulta: 20 setembre 2017].
  48. «Threema Validation». threema.ch. Arxivat de l'original el 25 de novembre 2018. [Consulta: 20 setembre 2017].
  49. «External Audit». threema.ch. [Consulta: 20 setembre 2017].
  50. «Security Review Threema: Security Statement». threema.ch, 02-11-2015. [Consulta: 30 octubre 2020].
  51. Schirrmacher, Dennis. «Threema-Audit abgeschlossen: "Ende-zu-Ende-Verschlüsselung ohne Schwächen"» (en alemany). Heise.de, 03-11-2015. [Consulta: 30 octubre 2020].
  52. «WhatsApp und Alternativen: Datenschutz im Test» (en alemany). Stiftung Warentest, 26-02-2014. [Consulta: 30 octubre 2020].
  53. Heutger, Christian. «Die Ergebnisse unseres großen Messenger-Tests» (en alemany). PSW Group, 13-06-2014. [Consulta: 30 octubre 2020].
  54. «Secure Messaging Scorecard. Which apps and tools actually keep your messages safe?», 03-11-2015. Arxivat de l'original el 14 abril 2016.

 

Enllaços externs[modifica]

Obtingut de «https://ca.wikipedia.org/w/index.php?title=Threema&oldid=33153922»