LdN271 Signal und WhatsApp

Liebes Lage-Team,

danke für die, wie immer, tolle Folge.

Ab Minute 39 geht es um sichere Messenger. Die Begründung von @vieuxrenard, hier nur Signal zu nennen und auf die Nennung weiterer sicherer Messenger zu verzichten[1], kann ich nachvollziehen. Im selben Atemzug dann WhatsApp zu nennen ist zumindest in meinem Umfeld bei mindestens zwei Personen falsch rübergekommen.

Die Aussage, dass WhatsApp ebenso verschlüsselt wie Signal und lediglich die Problematik sei, dass Facebook hier Dienstleister ist, ist natürlich korrekt. Was von den beiden technisch weniger versierten Personen im Bekanntenkreis verstanden wurde war hingegen: Das einzige Problem bei WhatsApp ist, dass die App von Facebook programmiert wird. → Fazit: Dann bleiben wir erst recht bei WhatsApp, wenn das so sicher ist.

Das sind jetzt vielleicht Einzelfälle. Der Hinweis, dass bei WhatsApp unter anderem sämtliche Metadaten eben auch bei Facebook landen, wäre hier m.E. eine sinnvolle Ergänzung gewesen. Zumindest dann, wenn eben keine weiteren sicheren Messenger genannt werden.

Das ist natürlich Kleinkram… An dieser Stelle daher noch einmal vielen Dank für die Mühe, die ihr euch regelmäßigt bei der Lage macht. Ich freue mich immer wieder, euch zu hören.

[1] LdN 271 Sichere Messenger - #3

5 „Gefällt mir“

Noch ein plastisches Zitat, um darzustellen, was es bedeutet, wenn man Facebook Einblick ins eigene Kontaktnetzwerk schenkt:

Natürlich wird kaum jemand in Deutschland umgebracht, weil er bestimmte Metadaten-Auffälligkeiten hat, aber es legt nahe, dass es auch den Werbekunden von Facebook in erster Linie egal ist, was in den Nachrichten steht, die man sich schickt.

1 „Gefällt mir“

Möchte mal sagen, dass es nicht nur signal gibt. Ein sehr guter, auditierter open soutce messenger ist wire

Zumal der Server von Signal nicht wirklich frei und OpenSource ist. Der da im git sich befindet, läuft jedenfalls nicht als Instanz bei Signal.

steile These … Quelle?

1 „Gefällt mir“

Nein , natürlich nicht.
Aber solange man mehrere dutzend verschiedene Anwendungen hat die nicht miteinander interoperabel sind, gewinnt meist der mit der größten Nutzerschaft.

Das war auch mein Stand (jedenfalls hatte ich es mal gelesen und spielt für mich persönlich keine Rolle). Als Nutzer kann man sowieso nicht kontrollieren, was auf dem Server passiert.
Hier ein Bericht dazu:
https://www.golem.de/news/crypto-messenger-signal-server-nicht-mehr-open-source-2104-155376.html
Sie korrigieren aber, dass der Code kurz darauf aktualisiert wurde. Und auch jetzt scheint das letzte Update zwei Tage her zu sein.

Ich hatte das hier im Hinterkopf
https://www.golem.de/news/crypto-messenger-signal-server-nicht-mehr-open-source-2104-155376.html
Es gab dort dann ein Update. Allerdings läßt das gesamte Verhalten kein 100% Vertrauen zu. Und welcher Code nun läuft bleibt weiterhin ungewiss.

Hi,

hier ist eine Quelle dazu, die von meiner Seite aus keinen Anspruch auf Aktualität erhebt:
https://www.golem.de/news/crypto-messenger-signal-server-nicht-mehr-open-source-2104-155376.html

Im Übrigen finde ich die These, Signal sei der einzige vorbehaltlos zu empfehlende Messenger, ebenso steil. Vorbehalte gibt es zum Beispiel, da die Server zentral sind. Oder zum Beispiel, weil man unnötigerweise Bezahlfunktionen hinzufügt.(Quelle)
Oder weil die Server in den USA stehen und somit dem CLOUD Act unterstehen.

Hier gibt es (ebenfalls nicht vorbehaltlose) Alernativen wie z. B. Threema, Element/Matrix, XMPP (<- ja, das ist ne Alternative und nein, sie wird sich niemals durchsetzen :grinning_face_with_smiling_eyes:)(Quelle)

1 „Gefällt mir“

Update:
Unmittelbar nach der Veröffentlichung dieses „Missgeschickes“ hat Signal wohl den Code aktualisiert (Quelle)

Ich war ehrlich überrascht, dass nur auf Signal als einzig sicheren Messenger verwiesen wurde.
Was Sicherheit angeht ist Threema gleichwertig, mit dem besonderen Vorteil hinsichtlich Datenschutz nicht auf die Telefonnummer angewiesen zu sein und auch nicht zwingend das Kontaktbuch übernimmt. Dazu kommt Threema nicht aus den USA sondern der Schweiz, was hinsichtlich rechtlicher Zugriffe sicher von Vorteil ist.

Wurde bereits von Ulf hier im Forum beantwortet: Weil man einerseits nur einen Messenger „bewerben“ wollte um nicht mehr Zersplitterung zu fördern, und zweitens weil Threema Geld kostet.

Die Begründung überzeugt mich nicht.
Die Aussage war doch etwa „Wenn man einen sicheren Messenger möchte gibt es nur Signal, Signal oder Signal“.
Threema kostet einen kleinen einmaligen Betrag, dafür auch Open Source, unabhängig von der Telefonnummer und europäischen Ursprungs sowie eben sehr sicher.

1 „Gefällt mir“

Ich würde mir auch die Frage stellen, inwieweit WhatsApp tatsächlich E2E verschlüsselt. Ja, am grundsätzlichen Protokoll ist nicht zu zweifeln.
Aber: E2E bedeutet, Verschlüsselung auf Gerät ->Versand des Chiffrat->Dechiffrierung auf Gerät.

Problem: Man kann in Chats und Gruppen Beiträge „melden“. Diese Inhalte werden auf strafrechtliche Relevanz überprüft, automatisiert und auch durch menschliche Mitarbeitende von Whatsapp.
Für mich bedeutet das, dass diese Nachrichten entschlüsselt werden. Also besitzt Whatsapp einen (meinen) key.
Ist das noch E2E-Verschlüsselung?

Wenn WhatsApp in die 1:1 Kommunikation zwischen mir und meinem Kommunikationspartner reinsehen kann, dann kann man die Frage klar beantworten: Mit Nein.

1 „Gefällt mir“

Dein WhatsApp Client auf deinem Handy kennt deinen private Key und kann die Nachrichten entschlüsseln und anzeigen. Sobald du eine Nachricht meldest, kann diese eine gemeldete Nachricht an die WhatsApp Server gesendet werden (ohne die E2E Verschlüsselung). Das betrifft dann aber nur diese eine Nachricht und nicht die gesamte (E2E) Kommunikation. (Vorausgesetzt, WhatsApp macht das so, wie sie es versprechen :wink: )

1 „Gefällt mir“