He tenido Threema durante unos días (un par de amigos me obligaron a comprarlo). Es bastante bueno, pero me temo que no estoy conectado con todos, ya que los datos de mi correo / número de teléfono son bastante pequeños o están desactualizados.
Entonces, pensé que sería una buena idea publicar mi threema-id en Facebook y decirles a todos: "Oye, si quieres conectar tu Threema, agrégame a través del 1F33OO7". ¿Es esta una buena idea? ¿Eso afectaría negativamente mi seguridad de alguna manera?
No, deberías estar bien compartiendo tu Threema-ID. La razón es que su comunicación está protegida con cifrado de extremo a extremo.
Fuerza del cifrado: el cifrado basado en ECC asimétrico utilizado por Threema tiene una fuerza de 255 bits. Según una estimación NIST (página 64), esto corresponde al menos con la fuerza proporcionada por 2048 bit RSA. ECDH en Curve25519 se usa junto con una función hash y una función aleatoria para derivar una clave simétrica única de 256 bits para cada mensaje, y el cifrado de flujo XSalsa20 se usa para cifrar el mensaje. También se agrega un código de autenticación de mensaje de 128 bits a cada mensaje para detectar manipulaciones / falsificaciones.
Compartir su ID es similar a compartir su clave pública. A menos que alguien tenga la clave privada, su comunicación seguirá siendo segura, independientemente de quién tenga acceso a su clave pública. Threema realiza todo el cifrado y descifrado de mensajes a nivel local, de acuerdo con sus Preguntas frecuentes, por lo que su clave privada permanece en su poder en todo momento. Y si desea comunicarse de manera segura, necesita que la otra parte acceda a su clave pública.
Además de estos hechos, no tiene que responder / agregar a nadie en quien no confíe. Entonces, si algo se siente mal, puedes eliminar a esa persona de tu lista de "amigos".
Puede encontrar más información sobre las técnicas de encriptación que emplea Threema aquí
Como ya lo ha explicado INV3NT3D, compartir su ID de Threema de forma pública está totalmente bien. Sin embargo, no debe compartir el código QR de su ID. Si alguien lo escanea, su nivel de verificación en su dispositivo será "3" (cuando, de hecho, solo es "1"), vea aquí para más información . Solo debes escanear los códigos QR en persona.
Lea otras preguntas en las etiquetas appsec account-security ids