Service

Instant Messaging

Nachrichtensofortversand via Internet


Signal

Eigentlich auch eine Alternative zu fragwürdigen Messengern von FB (WA, FB-Messenger) und anderen einfach nur unsicheren Diensten …
Aber die Signal-Stiftung nutzt Server von Amazon und Google und mir ist nicht wohl dabei (innige Zusammenarbeit von Amazon & CIA).

Server-Version nun wieder Open Source

Der Quellcode der Serverversion wurde fast ein Jahr lang nicht bei GitHub aktualisiert. In dieser Zeit wurde „MobileCoin” als eigenes digitales Zahlungsmittel entwickelt und integriert. Das kann Begehrlichkeiten bei Regierungen wecken, denen Messenger mit Ende-zu-Ende-Verschlüsselung sowieso schon ein Dorn im Auge sind. Vielleicht wird der Signal-Messenger im einen oder anderen Land irgendwann unter dem Vorwand der Unterstützung von Geldwäsche verboten. Und der Programmcode wird immer umfangreicher und damt steigt die Gefahr neuer Sicherheitslücken.

Signal ist nicht EU-DSGVO-konform

Wer sich für Signal anstatt Threema entschied, weil bei Signal der Quellcode für Apps und Server Open Source ist, sollte das nochmal überdenken, zumal Threema datenschutzkonform ist und Signal nicht!

Für Familien mit Kindern ist wichtig zu wissen, dass nur Messenger ohne Telefonnummernzwang (z. B. Threema oder Session) für Kinder unter 16 Jahren erlaubt sind.

Neue Funktionen mit Schwachstellen

In den letzten Monaten hat Signal eine Reihe neuer Funktionen eingeführt, um ihre App benutzerfreundlicher zu machen. Eine dieser Funktionen hat vor kurzem zu Kontroversen mit Nutzern geführt. Dabei handelt es sich um eine Funktion zur Sicherung der Kontaktliste, welche auf einem neuen System namens Secure Value Recovery (SVR) basiert. Die SVR-Funktion ermöglicht es Signal, Ihre Kontakte auf die Server von Signal hochzuladen, ohne dass Signal selbst darauf zugreifen kann. In SVR und der verwendeten RAM-Verschlüsselung (Intel: SGX, AMD: SEV) jeder Prozessorgeneration entdecken Sicherheitsforscher immer wieder Sicherheitslücken, die gestopft werden müssen. Ob und wann diese Sicherheitslücken gestopft werden, können Außenstehende nicht prüfen und so ist denkbar, dass der Signal Foundation eine GAG-Order vorliegt, dass sie weder Sicherheitspatches ausführen noch darüber sprechen dürfen. Und die Drei-Buchstaben-Agenturen würden munter alle Daten der schutzlosen Enklave kopieren. Siehe Quellenangabe unten, da kann jede/r eigene Schlüsse ziehen …

Signals PIN schützt keine lokalen Daten

Leider wurde die „PIN“ in der Signal-App ohne richtige Erklärung, was sie wirklich ist, anfangs mit Gewalt eingeführt (man wurde genötigt, diese einzurichten). Später machten die Signal-Entwickler diese nicht ordentlich erklärte PIN-Funktion abwählbar.

Diese PIN dient nicht zum Schutz der Daten auf dem Smartphone!
Ich empfehle Ihnen dringend, den englischsprachigen Blogartikel des Kryptologen Matthew Green zu lesen. Notfalls unter Zuhilfenahme von DeepL, falls Ihre Englischkenntnisse dafür nicht ausreichen. Kurzfassung: Signal will mit der PIN Ihre Kontaktliste und Profildaten (später auch Chatverläufe und mehr) auf dem Server verschlüsseln. Bei zu kurzem Passwort sind diese Daten nicht sicher! Die verwendete Technik hat Schwachstellen.

Ohne PIN keine unsichere Datensicherung

Vielleicht werden Nutzer wie damals bei Einführung dieser SVR-Technik bald wieder genötigt, eine PIN zu setzen. Dann lässt sich das Hochladen der Kontaktdaten gar nicht mehr verhindern. Das ist ein No-go.

Registrierungssperre macht PIN erforderlich

Wer verhindern will, dass sich jemand mittels Multi-Device-Funktionalität unbemerkt Zugang verschafft, muss die Registrierungssperre setzen. Diese setzt aber die PIN voraus, welche mir wegen der Schwachstellen (s. o.) nicht gefällt. Wer nicht glaubt, dass diese Schwachstellen längst als Hintertür dienen nutzt weiterhin Signal und setzt als PIN sicherheitshalber ein sehr langes sehr gutes Passwort. Dies darf niemals die Geräte-PIN sein!

Quellenangabe

Spektrum.de: Wie vertrauenswürdig ist der Messenger Signal?

medium.com: Signal erhöht Abhängigkeit von SGX – und warum das ein Problem ist (engl.)

heise.de: Experten fanden mehrere Schwachstellen und Sicherheitslücken sowohl bei AMD SEV als auch bei Intel SGX

Matthew Green: Warum fordert Signal die Benutzer auf, eine PIN festzulegen, oder “Ein paar Gedanken zu SVR” (engl.)

foreshadowattack.eu: Foreshadow ist ein spekulativer Ausführungsangriff auf Intel-Prozessoren – m. anschaulicher Präsentation (engl.)

Mike Kuketz: WhatsApp und die Ende-zu-Ende Verschlüsselung

Mike Kuketz: Open Whisper Systems äußert sich zu WhatsApp-Backdoor

Mike Kuketz: WhatsApp: Backdoor erlaubt Mitlesen von Nachrichten

netzpolitik.org: Neue WhatsApp-AGB – Shoot the Messenger

internetworld.de: CIA baut Zusammenarbeit mit Amazon aus

datacenterdynamics.com: CIA vergibt C2E-Cloud-Auftrag in Milliardenhöhe an AWS, Microsoft, Google, Oracle und IBM (engl.)


zurück | besser: Session | besser: Threema | Text in English

Stichwortliste: AGB, Apps, Benutzer, Instant Messaging, Internet, Nachrichten, Open Source, Präsentation, Quellcode, RAM, Server, Service, Signal, Smartphone, Technik, Threema, Verschlüsselung

Letzte Bearbeitung: