Belakangan ini Threema semakin ramai dibicarakan karena klaim fitur privasinya yang semakin terang-terangan menantang Signal.
%20(1).jpg)
Pada dasarnya, kedua layanan pesan instan ini sama-sama memprioritaskan privasi dan keamanan pengguna, perbedaan mencoloknya adalah Threema tidak gratis, tidak wajib menggunakan nomor telfon untuk pembuatan akun, serta memiliki fitur yang lebih luas untuk kebutuhan bisnis / kolaborasi / tim, yang sudah terlihat jelas dari halaman utama situs resminya yang menyuguhi opsi Threema for individuals dan Threema Work for companies.
.jpg)
Harga layanan Threema untuk pengguna individu adalah $3.99 (one time payment), dan mulai dari $14.99/tahun hingga $32.99/tahun untuk versi bisnis.
.png)
Mengapa Layanan Pesan Instan dengan Konsep Privasi kini semakin diminati ?
Sejak skandal Cambridge Analytica, citra Facebook (sekarang META) dalam hal privasi benar-benar runtuh, dan ini tentu berdampak pada perusahaan yang berada dibawah naungan META, terutama Whatsapp yang merupakan layanan pesan instan dengan basis pengguna terbesar di dunia.
Dan masih banyak kejadian dan alasan lain yang akhirnya menyadarkan beberapa orang jika perlindungan privasi pada layanan pesan instan adalah hal yang krusial, dan saat ini Threema dan Signal adalah opsi yang paling populer.
Perusahan dibalik Layanan
Threema dikembangkan oleh Threema GmbH yang berbasis di Swiss, didirikan pada desember 2012 oleh Manuel Kasper, perusahaan ini awalnya bernama Kasper Systems GmbH.
.jpg)
Sama seperti Signal, saat dimana mantan kontraktor NSA (National Security Agency) Edward Snowden mengungkapkan program pengawasan massal NSA pada Juli 2013, Threema juga kebanjiran pengguna baru karena keresahan privasi yang muncul ditengah masyarakat.
Pada saat itu pengguna baru Threema bertambah hingga ratusan ribu, dan saat Facebook mengambil alih Whatsapp pada Februari 2014, Threema mendapatkan sekitar 200 ribu pengguna baru.
Maret 2014 Threema melaporkan telah memiliki 1,2 juta pengguna, sekitar 80% pengguna baru berasal dari Jerman. dan mei 2021, Threema mengklaim bahwa mereka memiliki 10 juta pengguna individual, dan 2 juta pengguna versi bisnis di 5.000 perusahaan dan organisasi.
Sedangkan Signal dikembangkan oleh Signal Foundation dan anak perusahaannya yaitu Signal Messenger LLC.
Signal Foundation adalah sebuah organisasi nirlaba 501 (c) (3) yang didirikan pada 21 Februari 2018 oleh Moxie Marlinspike dan Brian Acton (co-founder Whatsapp).
Brian Acton memulai Signal Foundation dengan pendanaan $50 juta dan menjadi executive chairman setelah meninggalkan perusahaan induk Whatsapp (Facebook) pada September 2017.
.jpg)
Dan Moxie Marlinspike sebagai CEO pertama Signal Messenger LLC
.jpg)
Perjalanan Signal dimulai sejak menjadi penerus aplikasi panggilan suara terenkripsi RedPhone dan program SMS terenkripsi TextSecure yang diluncurkan pada Mei 2010 oleh Whisper Systems.
Lebih lengkap mengenai sejarah Signal silahkan baca DISINI
Pupularitas Signal melonjak dalam masa-masa ketidakstabilan politik dan sosial, seperti misalnya selama masa unjuk rasa George Floyd pada tahun 2020, dimana pada saat itu kesadaran akan pemantauan polisi membuat para pengunjuk rasa memilih menggunakan Signal untuk berkomunikasi, terutama para jurnalis dan aktivis.
Serta datangnya dukungan dari orang-orang yang berpengaruh di sektor teknologi, seperti Elon Musk dan Edward Snowden.
Januari 2021, jumlah instalasi Signal di Google Play Store saja melonjak menjadi lebih dari 50 juta.
Fitur
Threema dan Signal sama-sama memenuhi syarat fitur dasar untuk sebuah layanan pesan instan, yaitu pengiriman pesan teks, pesan suara, foto, video, dan file, serta panggilan suara dan video, person-to-person maupun kelompok / grup.
Perbedaanya adalah Threema tidak memiliki fitur Self Destructing Messages, fitur dimana pengguna bisa mengatur agar pesan terhapus secara otomatis pada perangkat pengirim dan penerima pada interval waktu tertentu
Dan penghapusan pesan manual pada Threema tidak bisa sekaligus pada perangkat pengirim dan penerima (delete for everyone)
Batas jumlah angggota grup Threema adalah 256 anggota, sedangkan Signal bisa sampai 1000 anggota.
Batas kapasitas berbagi file Threema tidak bisa lebih dari 50MB, sedangkan Signal bisa sampai 100MB.
Threema memiliki kelebihan pada fitur Anonymous Chat, Distribution List, Pooling, dan Bots.
.jpg)
Tabel perbandingan fitur pada situs resmi Threema :
%20(1).png)
Kompabilitas Perangkat & Sistem Operasi
Threema dan Signal sama-sama tersedia untuk perangkat seluller dan dekstop dengan sistem operasi Android, iOS, Windows, Mac dan Linux.
Threema unggul dengan web client / sinkronisasi via web, dimana ini tidak dimiliki oleh Signal, berdasarkan informasi yang beredar ditengah komunitas, tidak tersedianya web client pada Signal adalah karena terkait keamanan.
Official Download Links :
- Android :
- Google Play Store : https://play.google.com/store/apps/details?id=ch.threema.app
- F-Droid : https://threema.ch/en/faq/libre_installation
- Huawei AppGallery : https://appgallery.huawei.com/#/app/C103713829
- Threema Shop : https://shop.threema.ch/en
- iOS : https://itunes.apple.com/app/threema/id578665578?mt=8&uo=4&at=10lJMu
- Windows : https://releases.threema.ch/web-electron/v1/release/Threema-Latest.exe
- macOS : https://releases.threema.ch/web-electron/v1/release/Threema-Latest.dmg
- Linux (deb) : https://releases.threema.ch/web-electron/v1/release/Threema-Latest.deb
- Linux (rpm) : https://releases.threema.ch/web-electron/v1/release/Threema-Latest.rpm
- Web Client : https://web.threema.ch
Portabilitas
Selain mendukung web client, Threema juga mendukung akun yang berbeda pada perangkat yang sama (namun hanya dapat dilakukan pada versi Threema versi bisnis, bukan versi Threema untuk individu), serta transfer data lintas OS Android-iOS (data yang bisa ditrasnfer mencakup Threema ID, kontak, dan keanggotaan group.)
Signal hanya bisa 1 akun di perangkat yang sama, dan tidak mendukung transfer data lintas sistem operasi. namun Signal memiliki kelebihan multi devices, dimana akun yang sama bisa diaktifkan di beberapa perangkat yang berbeda.
Tabel perbandingan portabilitas pada situs resmi Threema :
.png)
Pembuatan Akun
Threema mulai semakin menarik perhatian sejak banyak orang mengatakan Threema lebih unggul dalam hal privasi dibandingkan Signal.
Penilaian tersebut datang karena Threema tidak mewajibkan nomor telepon untuk membuat akun, dan Threema sendiri juga secara terang-terangan mengatakan di situs resminya bahwa kelemahan Signal yang mencolok dibandingkan Threema adalah Signal mengharuskan pengguna untuk mengungkapkan informasi identitas pribadi (nomor telfon), dan menambahkan "Fakta bahwa Signal, sebagai penyedia layanan TI yang berbasis di AS, tunduk pada Undang-Undang CLOUD hanya memperburuk defisit privasi ini"
.jpg)
Sepertinya ini adalah statement yang fatal sekaligus sesat, Threema sepertinya tidak menyadari jika kepatuhan Signal dalam hal tersebut sama sekali tidak menghalangi Signal dalam melindungi privasi pengguna (pernah dan masih dibuktikan sampai hari ini) atau mungkin Threema menyadarinya namun memilih untuk tetap menggunakan narasi ini demi mendapatkan pengguna baru.
Ini pernah terbukti pada 4 Oktober 2016, ketika saat itu American Civil Liberties Union (ACLU) dan Signal menerbitkan serangkaian dokumen yang mengungkapkan bahwa Signal telah mendapatkan panggilan pengadilan yang mengharuskan mereka untuk memberikan informasi yang terkait dengan 2 nomor telepon untuk penyelidikan grand jury federal di paruh pertama 2016.
Dan karena seperti bagaimana Signal dirancang dan bekerja, maka Signal hanya dapat memberikan informasi kapan akun pengguna dibuat dan kapan terakhir kali digunakan, tidak ada data lain yang bisa diberikan, karena Signal memang tidak memilikinya.
Signal menekankan transparasinya dalam hal ini dengan memiliki sebuah halaman khusus untuk mempublikasikan setiap kali Signal mendapatkan tekanan atau dipaksa secara hukum untuk memberikan informasi kepada pemerintah atau lembaga penegak hukum.
GOVERNMENT REQUESTS : https://signal.org/bigbrother
Jika mengingat kembali tujuan utamanya adalah privasi dan keamanan, pengguna seharusnya lebih memperhatikan arsitektur dan protokol enkripsi.
Lagipula meskipun Threema tidak mewajibkan nomor telfon, tidak gratisnya Threema akan membawa pengguna menunjukkan identitas pada saat mendownloadnya di Google Play Store dan melakukan pembayaran.
Benar itu bisa dilakukan dengan tanpa melalui Google Play Store dan melakukan pembayaran dengan kripto, Threema sendiri yang menyediakan alternatifnya, tapi ini sungguh bukan hal yang mudah untuk dilakukan sebagian besar pengguna, meskipun memahami teknologi.
Disamping itu adalah sebuah kesalahan jika menganggap kripto sepenuhnya anonim / tidak bisa dilacak, kecuali menggunakan Zcash, Monero dan kripto sejenis lainnya yang berorientasi privasi. mungkin akan lebih masuk akal, akan lebih sulit / tidak bisa untuk melacaknya.
Untuk hal ini saya menemukan penjelasan di soatok.blog yang sudah mengupasnya sejak november 2021, mengatakan bahwa sekalipun itu benar-benar dilakukan (tidak melalui Google Play Store), Pengguna akan terus-menerus mengirimkan pengenal perangkat ke server Threema (yang disimpan di perangkat pengguna) setiap kali pemeriksaan kunci lisensi dimulai.
.jpg)
.jpg)
soatok.blog juga menemukan bahwa Whitepaper Threema sendiri yang mengatakan pengumpulan nomor telepon dan alamat email pengguna, secara khusus Threema menyimpan hash (benar-benar HMAC dengan kunci statis yang dikenal publik untuk pemisahan domain, namun Threema memperlakukannya sebagai hash) pengidentifikasi (nomor ponsel, alamat email) di server Threema.
.jpg)
Server
Threema menjalankan servernya sendiri di 2 pusat data di wilayah Zurich (Swiss).
Server ini menangani semua komunikasi, untuk panggilan person-ke-person, koneksi langsung akan dibuat antara peserta panggilan jika memungkinkan, yang berarti tidak ada server sama sekali yang terlibat setelah panggilan dibuat.
Sedangkan Signal mengandalkan server terpusat yang dikelola oleh Signal Messenger LLC, selain merutekan pesan, server juga memfasilitasi penemuan kontak yang juga terdaftar sebagai pengguna dan pertukaran publik key otomatis.
Sebagian server Signal open source : https://github.com/signalapp/Signal-Server
Backup
Threema dan Signal sama-sama tidak mendukung backup via cloud pihak ketiga seperti misalnya Backup up to Google Drive pada Whatsapp.
Backup hanya bisa dilakukan secara lokal / pada perangkat pengguna.
Open Source
Threema dan Signal sama-sama merupakan layanan / aplikasi open source, yang berarti source code aplikasinya dibuka ke publik, sehingga pakar keamanan atau siapapun bisa dengan bebas kapan saja mengaudit atau memeriksa source code Threema dan Signal, untuk memastikan apakah benar aplikasi mereka berjalan dan bekerja seperti yang dijelaskan.
Threema baru menjadi open source pada desember 2020, sedangkan Signal sudah lebih dari 10 tahun berada di tengah komunitas open source, yang tentu telah diaudit oleh begitu banyak pakar keamanan.
Source Code Threema :
- Android : https://github.com/threema-ch/threema-android
- iOS : https://github.com/threema-ch/threema-ios
- Desktop : https://github.com/threema-ch/threema-web-electron
- Web : https://github.com/threema-ch/threema-web
Source Code Signal :
Arsitektur dan Protokol Enkripsi
Threema dan Signal sama-sama menerapkan end-to-end encryption (E2EE), ini adalah protokol yang wajib jika sebuah layanan mengklaim menghormati privasi dan memprioritaskan keamanan pengguna.
Secara sederhana, encryption / enkripsi adalah proses pengacakan sebuah data yang hanya dapat didekripsi oleh pihak yang berwenang dengan kunci kriptografi yang tepat.
Jadi end-to-end encryption adalah sebuah proses enkripsi pada perjalanan sebuah data dari satu perangkat ke perangkat lainnya, data dari pengirim akan dienkripsi sebelum dikirim ke server dan diteruskan ke penerima, yang artinya hanya pengirim dan penerima yang dapat mendekripsi atau membacanya, bahkan pihak Threema / Signal pun tidak dapat mendekripsi atau membacanya.
.jpg)
Threema dan Signal memiliki arsitektur / protokol enkripsi-nya masing-masing :
Pada Threema, selama penyiapan awal akun pengguna, Threema akan membuat pasangan kunci dan mengirim kunci publik / public key ke server sambil menyimpan kunci pribadi di perangkat pengguna.
Kemudian mengenkripsi semua pesan dan file yang dikirim ke pengguna Threema lainnya dengan public key masing-masing, dan pesan akan dihapus dari server setelah berhasil terkirim,
Mekanisme enkripsi yang digunakan oleh Threema didasarkan pada Open Source Library NaCl, berbasis asymmetric ECC dengan kekuatan 256 bit.
ECDH pada Curve25519 digunakan bersamaan dengan fungsi hash dan nonce acak untuk memperoleh kunci simetris 256 bit yang unik pada setiap pesan, stream cipher XSalsa20 kemudian digunakan untuk mengenkripsi pesan, kode otentikasi pesan 128 bit (MAC) juga ditambahkan ke setiap pesan untuk mendeteksi manipulasi.
Agustus 2015, Threema diaudit oleh para peneliti dari cnlab, mereka mengatakan bahwa Threema memungkinkan enkripsi end-to-end yang aman, mereka tidak dapat mengidentifikasi kelemahan apa pun dalam penerapannya.
Para peneliti juga menegaskan bahwa Threema memberikan anonimitas kepada penggunanya dan menangani kontak dan data pengguna lainnya seperti yang dikatakan.
Dokumen : https://threema.ch/press-files/2_documentation/external_audit_security_statement.pdf
Audit lainnya pada 2019 oleh Lab for IT Security of the Münster University of Applied Sciences, dan 2020 oleh Cure53.
Sedangkan untuk Signal, kecanggihan enkripsi end-to-end-nya datang dari Signal Protocol yang sebelumnya dikenal sebagai TextSecure Protocol, merupakan penggabungan algoritma Double Ratchet, Prekeys, dan Extended Triple Diffie–Hellman (X3DH) handshake. menggunakan Curve25519, AES-256, dan HMAC-SHA256 sebagai primitives, dan kombinasi Double Ratchet dan enkripsi multicast untuk protokol percakapan grupnya.
Oktober 2014, peneliti dari Ruhr University Bochum menerbitkan sebuah analisis Signal Protocol, yang di antara temuan lainnya mereka mempresentasikan serangan unknown key-share pada protokol, dan secara umum mereka menemukan bahwa itu aman.
Dokumen : https://eprint.iacr.org/2014/904.pdf
Oktober 2016, para peneliti dari University of Oxford, Queensland University of Technology di Australia, dan McMaster University Kanada menerbitkan analisis formal dari Signal Protocol, mereka menyimpulkan bahwa protokol tersebut telah benar secara kriptografis.
Dokumen : https://eprint.iacr.org/2016/1013.pdf
Agustus 2018, Signal Protocol diimplementasikan ke dalam Whatsapp, Facebook Messenger, Skype, dan Google Allo, dimana ini akan menjadikan percakapan lebih dari satu miliar orang di seluruh dunia menjadi terenkripsi secara end-to-end, namun sayang penerapan Signal Protocol pada Google Allo, Skype, dan Facebook Messenger tidak dilakukan secara default, endkripsi end-to-end hanya ditawarkan dalam mode opsional.
Mengenai arsitektur dan protokol enkripsi ini, soatok.blog benar-benar mengupasnya dengan detail, soatok.blog mengatakan "Tidaklah cukup bersaing dengan Signal hanya dengan menggunakan NaCl, itu juga harus membangun protokol yang dirancang dengan baik di atas API yang diberikan NaCl."
Keamanan
Masih berdasarkan informasi yang saya dapatkan di soatok.blog, menemukan bahwa Threema tidak menerapkan Perfect Forward Secrecy (PFS) pada protokol enkripsinya.
PFS adalah sistem yang secara teratur mengubah kunci enkripsi yang digunakan untuk mengenkripsi dan mendekripsi data.
Tujuan enkripsi end-to-end adalah untuk melindungi pengguna dari penyedia layanan, oleh karena itu, properti keamanan apa pun yang dijamin oleh kriptografi lapisan transportasi (HTTPS) tidak relevan, karena kriptografi diakhiri di server, bukan di perangkat pengguna. dan Threema mengatakan menerapkan PFS, namun hanya pada koneksi jaringan.
.jpg)
soatok.blog mengatakan beginilah cara Threema mengakui kelemahan arsitektur mereka. “Kami menawarkannya pada lapisan [tetapi tidak relevan] yang berbeda.”
Kesimpulan
Threema unggul dalam hal fitur, yang tentunya ini dipicu oleh layanannya yang juga berfokus dalam memenuhi kebutuhan bisnis / kolaborasi / tim.
Mengenai keamanan, yang tentu menyoroti kriptografi dan protokol enkripsinya, sepertinya Threema memang masih belum bisa dikatakan lebih baik dari Signal.
Semoga bermanfaat.