Tests & Tipps

Letzte Änderung:

English translation

Inhaltsverzeichnis Druckansicht

Service > Instant Messaging > Signal

Instant Messaging (IM)

Nachrichtensofortversand via Internet

Signal

Eigentlich auch eine Alternative zu fragwürdigen Messengern von FB (WA, FB-Messenger) und anderen einfach nur unsicheren Diensten …
Aber die Signal-Stiftung nutzt die Cloud von Amazon und Google und mir ist nicht wohl dabei (enge Zusammenarbeit mit der CIA).

Server-Version war Open Source

Verdächtig: der Quellcode der Serverversion wird seit fast einem Jahr nicht mehr bei GitHub aktualisiert. Quasi inoffizielles Ende von Open Source (war bisher inklusive Serverversion quelloffen) …
Wer nur deshalb Signal den Vorzug gegenüber Threema gab, sollte sich seine Entscheidung nochmal überlegen, zumal Threema datenschutzkonform ist und Signal nicht! Für Familien mit Kindern ist vielleicht auch relevant, dass Threema für Kinder unter 16 Jahren erlaubt ist, da es keinen Telefonnummernzwang hat.

Neue Funktionen mit Schwachstellen

In den letzten Monaten hat Signal eine Reihe neuer Funktionen eingeführt, um ihre App benutzerfreundlicher zu machen. Eine dieser Funktionen hat vor kurzem zu Kontroversen mit Nutzern geführt. Dabei handelt es sich um eine Funktion zur Sicherung der Kontaktliste, welche auf einem neuen System namens Secure Value Recovery (SVR) basiert. Die SVR-Funktion ermöglicht es Signal, Ihre Kontakte auf die Server von Signal hochzuladen, ohne dass – angeblich – Signal selbst darauf zugreifen kann. SVR und die verwendete RAM-Verschlüsselung (Intel: SGX, AMD: SEV) haben aber bereits ausgenutzte Schwachstellen!

Die »PIN« bei Signal ist keine PIN

Leider wurde die »PIN« in der Signal-App ohne richtige Erklärung, was sie wirklich ist, anfangs mit Gewalt eingeführt (man wurde genötigt, diese einzurichten). Später machten die Signal-Entwickler diese nicht ordentlich erklärte PIN-Funktion abwählbar.

Diese PIN dient nicht zur Sicherung Ihrer lokalen Daten auf dem Smartphone, wie man meinen würde!
Ich empfehle Ihnen dringend, den englischsprachigen Blogartikel des Kryptologen Matthew Green zu lesen. Notfalls unter Zuhilfenahme von DeepL, falls Ihre Englischkenntnisse dafür nicht ausreichen. Kurzfassung: Signal will mit der PIN Ihre Kontaktliste (später auch Chatverläufe und mehr) auf dem Server verschlüsseln, aber bei zu kurzem Passwort sind diese Daten nicht sicher. Die verwendete Technik hat Schwachstellen (s. o.) – evtl. absichtlich auf Druck der Behörden?

Ohne PIN keine unsichere Datensicherung

Eigentlich kann ich nur davon abraten, die PIN in Signal zu nutzen. Vielleicht werden Nutzer wie damals bei Einführung dieser SVR-Technik bald wieder genötigt, eine PIN zu setzen. Dann lässt sich das Hochladen der Kontaktdaten gar nicht mehr verhindern. Das ist ein No-go.

Registrierungssperre macht PIN erforderlich

Wer aber verhindern will, dass sich jemand mittels Multi-Device-Funktionalität unbemerkt Zugang verschafft, muss die Registrierungssperre setzen. Und die setzt wiederum diese PIN voraus, welche mir wegen der Schwachstellen (s. o.) nicht gefällt. Wer glaubt, dass diese Schwachstellen noch nicht als Hintertür ausgenutzt werden, nutzt auf eigene Gefahr weiter Signal, setzt aber sicherheitshalber als PIN ein sehr langes sehr gutes Passwort. Dies darf auf keinen Fall die Geräte-PIN sein!

Belege

heise.de: Experten fanden mehrere Schwachstellen und Sicherheitslücken sowohl bei AMD SEV als auch bei Intel SGX

Matthew Green: Warum fordert Signal die Benutzer auf, eine PIN festzulegen, oder «Ein paar Gedanken zu SVR» (engl.)

Mike Kuketz: WhatsApp und die Ende-zu-Ende Verschlüsselung

Mike Kuketz: Open Whisper Systems äußert sich zu WhatsApp-Backdoor

Mike Kuketz: WhatsApp: Backdoor erlaubt Mitlesen von Nachrichten

netzpolitik.org: Neue WhatsApp-AGB – Shoot the Messenger

internetworld.de: CIA baut Zusammenarbeit mit Amazon aus

datacenterdynamics.com: CIA vergibt C2E-Cloud-Auftrag in Milliardenhöhe an AWS, Microsoft, Google, Oracle und IBM (engl.)


zurück zur Hauptseite | besser: Threema

Stichwortliste: AGB, Benutzer, Instant Messaging, Internet, Nachrichten, Open Source, Quellcode, RAM, Server, Signal, Smartphone, Technik, Threema, Verschlüsselung

Letzte Bearbeitung:

Mit Sicherheit!

Anlaufstellen für Internetsicherheit

Rechtliche Hinweise

Datenschutz | Impressum

Letzte Änderungen

Mehr anzeigen …
Do **not** follow this link or you will be banned from the site!