Service

Instant Messaging (IM)

Nachrichtensofortversand via Internet


Signal

Eigentlich auch eine Alternative zu fragwürdigen Messengern von FB (WA, FB-Messenger) und anderen einfach nur unsicheren Diensten …
Aber die Signal-Stiftung nutzt die Cloud von Amazon und Google und mir ist nicht wohl dabei (enge Zusammenarbeit von Amazon und CIA).

Server-Version nun wieder Open Source

Verdächtig: der Quellcode der Serverversion wurde seit fast einem Jahr nicht mehr bei GitHub aktualisiert. Quasi inoffizielles Ende von Open Source (war bisher inklusive Serverversion quelloffen) …

Signal ist nicht EU-DSGVO-konform

Wer nur deshalb Signal den Vorzug gegenüber Threema gab, sollte sich seine Entscheidung nochmal überlegen, zumal Threema datenschutzkonform ist und Signal nicht! Für Familien mit Kindern ist vielleicht auch relevant, dass Threema für Kinder unter 16 Jahren erlaubt ist, da es keinen Telefonnummernzwang hat.

Neue Funktionen mit Schwachstellen

In den letzten Monaten hat Signal eine Reihe neuer Funktionen eingeführt, um ihre App benutzerfreundlicher zu machen. Eine dieser Funktionen hat vor kurzem zu Kontroversen mit Nutzern geführt. Dabei handelt es sich um eine Funktion zur Sicherung der Kontaktliste, welche auf einem neuen System namens Secure Value Recovery (SVR) basiert. Die SVR-Funktion ermöglicht es Signal, Ihre Kontakte auf die Server von Signal hochzuladen, ohne dass – angeblich – Signal selbst darauf zugreifen kann. SVR und die verwendete RAM-Verschlüsselung (Intel: SGX, AMD: SEV) haben aber bereits ausgenutzte Schwachstellen!

Die „PIN“ bei Signal ist keine PIN

Leider wurde die „PIN“ in der Signal-App ohne richtige Erklärung, was sie wirklich ist, anfangs mit Gewalt eingeführt (man wurde genötigt, diese einzurichten). Später machten die Signal-Entwickler diese nicht ordentlich erklärte PIN-Funktion abwählbar.

Diese PIN dient nicht zur Sicherung Ihrer lokalen Daten auf dem Smartphone, wie man meinen würde!
Ich empfehle Ihnen dringend, den englischsprachigen Blogartikel des Kryptologen Matthew Green zu lesen. Notfalls unter Zuhilfenahme von DeepL, falls Ihre Englischkenntnisse dafür nicht ausreichen. Kurzfassung: Signal will mit der PIN Ihre Kontaktliste (später auch Chatverläufe und mehr) auf dem Server verschlüsseln, aber bei zu kurzem Passwort sind diese Daten nicht sicher. Die verwendete Technik hat Schwachstellen (s. o.) – evtl. absichtlich auf Druck der Behörden?

Ohne PIN keine unsichere Datensicherung

Eigentlich kann ich nur davon abraten, die PIN in Signal zu nutzen. Vielleicht werden Nutzer wie damals bei Einführung dieser SVR-Technik bald wieder genötigt, eine PIN zu setzen. Dann lässt sich das Hochladen der Kontaktdaten gar nicht mehr verhindern. Das ist ein No-go.

Registrierungssperre macht PIN erforderlich

Wer aber verhindern will, dass sich jemand mittels Multi-Device-Funktionalität unbemerkt Zugang verschafft, muss die Registrierungssperre setzen. Und die setzt wiederum diese PIN voraus, welche mir wegen der Schwachstellen (s. o.) nicht gefällt. Wer nicht glauben mag, dass diese Schwachstellen nicht längst als Hintertür genutzt werden, setzt sicherheitshalber als PIN ein sehr langes sehr gutes Passwort. Dies darf niemals die Geräte-PIN sein!

Quellenangabe

heise.de: Experten fanden mehrere Schwachstellen und Sicherheitslücken sowohl bei AMD SEV als auch bei Intel SGX

Matthew Green: Warum fordert Signal die Benutzer auf, eine PIN festzulegen, oder “Ein paar Gedanken zu SVR” (engl.)

Foreshadow ist ein spekulativer Ausführungsangriff auf Intel-Prozessoren – m. anschaulicher Präsentation (engl.)

Mike Kuketz: WhatsApp und die Ende-zu-Ende Verschlüsselung

Mike Kuketz: Open Whisper Systems äußert sich zu WhatsApp-Backdoor

Mike Kuketz: WhatsApp: Backdoor erlaubt Mitlesen von Nachrichten

netzpolitik.org: Neue WhatsApp-AGB – Shoot the Messenger

internetworld.de: CIA baut Zusammenarbeit mit Amazon aus

datacenterdynamics.com: CIA vergibt C2E-Cloud-Auftrag in Milliardenhöhe an AWS, Microsoft, Google, Oracle und IBM (engl.)


zurück zur Hauptseite | besser: Threema | Text in English

Stichwortliste: AGB, Benutzer, Instant Messaging, Internet, Nachrichten, Open Source, Präsentation, Quellcode, RAM, Server, Service, Signal, Smartphone, Technik, Threema, Verschlüsselung

Letzte Bearbeitung: