Service

Instant Messaging (IM)

Nachrichtensofortversand via Internet

Signal

Eigentlich auch eine Alternative zu fragwürdigen Messengern von FB (WA, FB-Messenger) und anderen einfach nur unsicheren Diensten …
Aber die Signal-Stiftung nutzt Server von Amazon und Google und mir ist nicht wohl dabei (sehr enge Zusammenarbeit von Amazon und CIA).

Server-Version nun wieder Open Source

Der Quellcode der Serverversion wurde fast ein Jahr lang nicht bei GitHub aktualisiert. In dieser Zeit wurde „MobileCoin” als eigenes digitales Zahlungsmittel entwickelt und integriert. Das kann Begehrlichkeiten bei Regierungen wecken, denen Messenger mit Ende-zu-Ende-Verschlüsselung sowieso schon ein Dorn im Auge sind. Vielleicht wird der Signal-Messenger im einen oder anderen Land irgendwann unter dem Vorwand der Unterstützung von Geldwäsche verboten. Und der Programmcode wird immer umfangreicher und damt steigt die Gefahr neuer Sicherheitslücken.

Signal ist nicht EU-DSGVO-konform

Wer sich für Signal anstatt für Threema entschied, weil bei Signal der Quellcode für Apps und Server Open Source ist, sollte das nochmal überdenken, zumal Threema datenschutzkonform ist und Signal nicht! Für Familien mit Kindern ist auch wichtig, dass Threema für Kinder unter 16 Jahren erlaubt ist, da es keinen Telefonnummernzwang hat.

Neue Funktionen mit Schwachstellen

In den letzten Monaten hat Signal eine Reihe neuer Funktionen eingeführt, um ihre App benutzerfreundlicher zu machen. Eine dieser Funktionen hat vor kurzem zu Kontroversen mit Nutzern geführt. Dabei handelt es sich um eine Funktion zur Sicherung der Kontaktliste, welche auf einem neuen System namens Secure Value Recovery (SVR) basiert. Die SVR-Funktion ermöglicht es Signal, Ihre Kontakte auf die Server von Signal hochzuladen, ohne dass – angeblich – Signal selbst darauf zugreifen kann. SVR und die verwendete RAM-Verschlüsselung (Intel: SGX, AMD: SEV) haben aber bereits ausgenutzte Schwachstellen!

Die „PIN“ bei Signal ist keine PIN

Leider wurde die „PIN“ in der Signal-App ohne richtige Erklärung, was sie wirklich ist, anfangs mit Gewalt eingeführt (man wurde genötigt, diese einzurichten). Später machten die Signal-Entwickler diese nicht ordentlich erklärte PIN-Funktion abwählbar.

Diese PIN dient nicht zum Schutz Ihrer lokalen Daten auf dem Smartphone, wie man meinen würde!
Ich empfehle Ihnen dringend, den englischsprachigen Blogartikel des Kryptologen Matthew Green zu lesen. Notfalls unter Zuhilfenahme von DeepL, falls Ihre Englischkenntnisse dafür nicht ausreichen. Kurzfassung: Signal will mit der PIN Ihre Kontaktliste und Profildaten (später auch Chatverläufe und mehr) auf dem Server verschlüsseln, aber bei zu kurzem Passwort sind diese Daten nicht sicher. Die verwendete Technik hat Schwachstellen (s. o.) – evtl. absichtlich auf Druck der Behörden?

Ohne PIN keine unsichere Datensicherung

Eigentlich kann ich nur davon abraten, die PIN in Signal zu nutzen. Vielleicht werden Nutzer wie damals bei Einführung dieser SVR-Technik bald wieder genötigt, eine PIN zu setzen. Dann lässt sich das Hochladen der Kontaktdaten gar nicht mehr verhindern. Das ist ein No-go.

Registrierungssperre macht PIN erforderlich

Wer verhindern will, dass sich jemand mittels Multi-Device-Funktionalität unbemerkt Zugang verschafft, muss die Registrierungssperre setzen. Diese setzt aber die PIN voraus, welche mir wegen der Schwachstellen (s. o.) nicht gefällt. Wer nicht glauben mag, dass diese Schwachstellen längst als Hintertür dienen nutzt weiterhin Signal, setzt aber sicherheitshalber als PIN ein sehr langes sehr gutes Passwort. Dies darf niemals die Geräte-PIN sein!