Kommunikation

Signal (Messenger)

13. Oktober 2019
🖨

Signal ist eine Instant-Messenger-App, also ein Programm für Smartphones, Tablets und Computer mit dem sich über das Internet Nachrichten zwischen Geräten, die diese Software installiert haben, verschicken lassen. Die Identifikation von Teilnehmer_innen erfolgt über Telefonnummern (d.h. man verwendet in der Regel ein Smartphone). Was Signal gegenüber anderen Instant-Messangern auszeichnet ist sein kompromissloser Zugang zu Sicherheit der Privatsphäre.

Inhalt
  1. Funktion und Merkmale
  2. Bedeutung für die Mauerseglerei
  3. Installation
  4. Tipps
  5. Diskussionspunkte
  6. Updates
  7. Querverweise

Funktion und Merkmale

Die Basisfunktionen sind, was man sich von einer Messenger-App erwartet:

  • Textnachrichten
    auch mit Multimediainhalten:
    • Fotos
    • Videos
    • GIFs
    • Emojis
    • Sprachmemos
    • Links
    • Dateien
  • Audio-Anrufe
  • Video-Anrufe

All diese Daten werden Ende-zu-Ende-Verschlüsselt, d.h. auch der Server der zwischen dir und deinem Kommunikationspartner vermittelt kann die Daten nicht einsehen.

Um diese Kontaktmöglichkeiten zugänglich zu machen gibt es eine Konktaktliste. Diese ist nach Zeitpunkt des letzten Kontakts (im Sinne von jüngst geschriebene Nachricht bzw. getätigter Anruf) sortiert. Zusätzlich gibt auch eine Ansicht mit allen Kontakten in alphabetischer Reihenfolge. Sobald man einen Kontakt im Telefonbuch des Smartphones gespeichert hat und diese Person ebenfalls Signal verwendet, erscheint der Kontakt automatisch auch in der Kontaktliste von Signal.

Dies ist aber nicht alles:

  • Gruppenchats
  • Reaktionen auf Nachrichten (Likes, etc.)
  • Nachrichtentöne (für jeden Kontakt bzw. Gruppe individuell festlegbar)
  • Stummschaltung von Chats für einen gewissen Zeitraum (bis zu 1 Jahr)
  • Verschwindende Nachrichten (zwischen 5 Sekunden und 1 Woche)
  • Lesebestägitungen (an/aus)
  • Design (hell,dunkel,…) und Hintergrund auswählbar

Vom Grundkonzept her ist dies WhatsApp, dem derzeit (2019) verbreitetsten Messenger, sehr ähnlich.

Open Source

Ein maßgeblicher Unterschied ggü. den meisten Messenger-Apps ist, dass es sich bei Signal um Open Source Software handelt. Das bedeutet (theoretisch) jeder kann den Quellcode des Programms lesen und sich davon überzeugen, dass das Programm tut, was es soll und nicht beispielsweise unerlaubt Konversationen mitschneidet. Natürlich kann nicht jede_r Benutzer_in Programm-Codes lesen aber dafür gibt es eine Community: https://community.signalusers.org/. Darüber hinaus wurde wurde die App von zahlreichen Gruppen Audits unterzogen (siehe community.signalusers.org).

Sicherheit & Privatsphäre

Der Hauptgrund, weshalb man allerdings Signal verwenden möchte, sind die Sicherheitsfeatures. Die Privatsphäre der Kommunikationspartner hat die oberste Priorität unter Signal. Das bedeutet einerseits, dass Daten vor den Augen anderer geschützt werden müssen, aber zusätzlich versucht auch der Betreiber selbst möglichst wenig Daten der User aufzubewahren.

  • Ende-zu-Ende-Verschlüsselung
    Deine Nachrichten (und Sprache, Video,… einfach alles) werden bei dir verschlüsselt, über einen Vermittlungsserver weitergeleitet, der keine Möglichkeit erhält die Daten zu entschlüsseln und von dem gewünschten Empfänger wieder entschlüsselt. Wenn jemand die Daten dazwischen abfangen sollte sind diese verschlüsselt und daher unbrauchbar.
  • Authentisierung der Gegenstelle
    D.h. ist mein Kommunikationspartner wer er vorgibt zu sein?
  • Absicherung gegen Manipulation von Nachrichten
    Wenn jemand eine Nachricht abfängt und verändert, so gibt es einen Mechanismus, der dafür sorgt, dass die Nachricht unweigerlich als manipuliert erkennbar gemacht wird.
  • Rückwirkende Folgenlosigkeit bei Kompromittierung
    Das bedeutet, wenn jemand unbefugt den Langzeitschlüssel in Erfahrung bringt, lässt sich damit nicht die vergangene Sitzung (bzw. jedweges vergangenes Gespräch) entschlüsseln.
  • Absicherung der folgenden Nachrichten bei Offenbarung des aktuellen Sitzungsschlüssels
    Wenn eine Sitzung unbemerkt geknackt werden sollte heißt das nicht, dass der Eindringling zukünftige Sitzungen mitlesen wird können.
  • Glaubhafte Abstreitbarkeit der Urheberschaft
    Das bedeutet die technischen Voraussetzungen sind gegeben, dass User sein Wissen um gesendete Nachrichten (z.B. Mitwissen bzw. Mitwirkung an moralisch verwerflichen oder strafbaren Vorgängen) überzeugend dementieren kann und somit z.B. eine Verantwortlichkeit nicht nachgewiesen werden kann, unabhängig vom tatsächlichen Wahrheitsgehalt dieses Dementis.
  • Erneuerung des Sitzungsschlüsselmaterials ohne Anwesenheit der Gegenstelle
    Wenn ein User dem Sitzungsschlüssel nicht mehr vertraut, dann kann er_sie einen neuen erstellen und dafür muss der Kommunikationspartner nicht online sein.
  • Folgenlose Vorhaltung von Schlüsseln für außer der Sitzung bzw. Reihe eintreffende Nachrichten
    Bei Instant-Messengern muss es ja möglich sein, dass eine Gesprächs-Session beginnt ohne dass beide Teilnehmer online sind.

Wie wird das erreicht:

  • Signal verschlüsselt die Kommunikation zwischen den Teilnehmern und verwendet dafür ein als sicher eingestuftes Protokoll, das Signal-Protokoll.
    • Programm und Protokoll sind Open Source.
    • Der initiale Schlüsselaustausch erfolgt mittels einem asymmetrischen Verfahren: Diffie-Hellmann
    • Die Verwendung einer PKI-Infrastruktur und vorbereitete Einmalschlüssel erlauben die Sitzungsschlüsselerstellung auch ohne dass die Gesprächsteilnehmer alle online sein müssen.
    • Schlüssel werden aus Schlüsseln abgeleitet, d.h. die aufeinanderfolgenden Schlüssel bilden eine Kette. Es nützt nichts , wenn man nur ein Glied der Kette kennt. (Stichwort Diffie-Hellmann-Rätsche)
  • Der Betreiber speichert nur die allerdnötigsten Daten
    • Deine Telefonnummer (essenziell um deinen Account zu verifizieren)
    • Der Zeitpunkt deiner letzten Verbindung mit dem Signal-Server
    • Der Zeitpunkt der Erstellung deines Accounts
  • Der Betreiber speichert insbesondere folgende Daten nicht auf seinen Servern
    • Wann wer wen kontaktiert hat.
    • Eine Liste deiner Kontakte
    • Deine IP-Adresse
    • Deinen Standort
    • Deinen Namen oder dein Foto
  • Der Betreiber arbeitet nur mit verschlüsselten bzw. gehashten Daten
    • Das Telefonbuch der Nutzer wird nicht im Klartext auf die Server der Betreiber geladen. Statt dessen werden nur Hash-Werte der Nummern abgeglichen. (Dies ist unumgänglich, da Signal irgendeinen Mechanismus braucht um dir mitzuteilen, welche Kontakte aus deinem Telefonbuch auch Signal-Nutzer_innen sind. Mit der Verwendung von Telefonnummern besteht einer der wenigen Kritikpunkte an Signal. Signal hat Stand 2022 ungefähr 40 Millionen aktive User und ca. 150 Millionen Downloads. Es ist hypothetisch möglich für alle bestehenden Telefonnummern auf diesem Planeten Hashes zu errechnen und diese mit den Telefonnummern-Hashes, die ein User an Signal sendet abzugleichen.)
    • Da Signal vor dem Abschicken einer Nachricht die Absenderadresse verschlüsselt, kann selbst beim Abgreifen der ausgetauschten Nachrichten nicht rekonstruiert werden, wer mit wem kommuniziert.
    • Die Nutzerprofile, bestehend aus Name und Foto, sind ebenso wie die restliche komminikation verschlüsselt, und daher nicht für die Betreiber einsehbar, sondern nur von den Gesprächspartnern selbst.

Ich finde dieses Video gibt einen guten Einblick in den Mechanismus

Bedeutung für die Mauerseglerei

Derzeit wird in der Mauerseglerei hauptsächlich über die WhatsApp Gruppe „Mauerseglerei“ kommuniziert. Am 1.10.2019 habe ich mich mit einem Mail „Vorschlag Kommunikationsmedium: Signal Messenger“ an den AK la Vista gewandt der beschlossen hat, von WhatsApp auf Signal umzusiedeln. Die zentrale Begründung ist, dass sich damit mehr Leute in die Haus-Kommunikation einbinden lassen, da es durchaus einige Hausbewohner_innen gibt, die Gründe sehen, dem WhatsApp betreibendem Konzern Facebook nicht zu vertrauen. Anfangs (Oktober 2019) fand man 13 Hausbewohner_innen bei Signal, inzwischen (Stand 2020) sind es quasi alle.

Gruppen

Hier ist eine Liste der Gruppen über die ich (Adrian) derzeit (Jän. 2021) bescheid weiß und die auf lange Sicht bestehen:

  • Mauerseglerei
    Hier ist quasi jeder dabei. Der Austausch umfasst allgemeine Themen wie Events, Hilfe, hat wer dies oder das, kann jemand bitte meine Kinder heimschicken,…
  • Mauerseglerei IT Support
    In dieser Gruppe sollte (!) jeder dabei sein. Damit man nicht dauernd durch Nachrichten belästigt wird, empfehlen wir den Kanal stumm zu schalten. Wir empfehlen nicht den Kanal zu verlassen.
    Wir verwenden diesen Kanal um Informationen über Störungen zu sammeln und Hilfe anzubieten. Große Announcements erfolgen auf Kanälen, die mehr Mitglieder erreichen (z.B. Gruppe Mauerseglerei).
  • Mauerseglerei IT
    Dies ist für die Mitglieder des Kreis für IT und alle die im Detail wissen wollen, was in diesem Umfeld passiert.
  • Mauerseglerei IT News
    Eine weitere Gruppe in der wirklich jeder dabei sein sollte. Hier poste nur ich Nachrichten die über aktuelle Veränderungen an der Haus-IT oder geplante Wartungsarbeiten.

Installation

auf Smartphones

Primär ist Signal dafür gedacht auf Smartphones installiert zu werden (aber prinzipiell lässt es sich auf allem Installieren, was eine Telefonnummer hat und ein brauchbares Betriebssystem oder sich mit einem Gerät mit Telefonnummer koppeln lässt). Wir beschränken uns hierbei auf die zwei üblichen Anwendungsfälle, nämlich Smartphones mit Android und iOS.

ToDo: Schöne Anleitung mit Bildern verfassen.

Download:

Der Prozess ist eigentlich recht einfach: Man geht zum App-Store, sucht Signal, wählt es aus und tappt auf Installieren. Danach erteilt man dem Programm, alle Berechtigungen die es einfordert (Signal fordert keine unnützen Berechtigungen ein). Das wars.

auf Computern

Es ist sehr praktisch Signal auch auf z.B. dem eigenen Computer nutzen zu können. Geräte, die keine Telefonnummer besitzen lassen sich zwar nicht als primäre Signal-Instanzen verwenden, aber als sekundäre. Das bedeutet man muss zuerst auf einem geeigneten Gerät mit Telefonnummer Signal installieren und kann erst danach auf einem nicht-Telefon, welche man dann an das Telefon „koppelt“ (einen inoffiziellen, sehr unkomfortablen und für fast alle Anwender_innen unnötigen Weg dies zu umgehen beschreibe ich weiter unten).

ToDo: Schöne Anleitung mit Bildern verfassen.

Download:

Nach dem Herunterladen startet man die App (üblicherweise landet sie in deinem Downloads-Ordner und wird mit einem Doppelklick gestartet), gefolgt von der Frage, ob man dem Programm erlauben will Änderungen am Computer vorzunehmen, was man natürlich bestätigt, da sonst die App nicht installiert würde. Auch alle weiteren Fragen kann man bestätigen. Nach Fertigstellung startet man das Programm um es mit der Installation am Smartphone zu koppeln (siehe nächstes Kapitel).

Kopplung

Eine Installation an einem nicht-Telefon braucht eine andere Instanz an einem Telefon, an die sie gekoppelt wird, damit sie funktioniert. Dies geht wie folgt:

  1. Installiere und öffne Signal Desktop.
  2. Öffne Signal auf deinem Mobiltelefon und gehe zu Signal Einstellungen  > Gekoppelte Geräte.
  3. Verwende dein Telefon zum Einscannen des Signal Desktop QR-Codes.
  4. Gib einen Namen ein für dein Signal Desktop und wähle dann „Abschließen“.
  5. Sende eine Nachricht von Signal Desktop.

Jüngst hinzugefügte Geräte können die Vergangenheit aus Sicherheitsgründen nicht nachladen. Es erscheinen nur Nachrichten die ab dem Kopplungszeitpunkt gesendet und empfangen wurden.

Signal ohne Smartphone

Signal war von Anfang an als Instant Messenger für Smartphones gedacht und daher identifiziert sich ein Signal Accout immer über eine Telefonnummer. Was kann man aber tun, wenn das einzige verfügbare Telefon kein Smartphone ist oder die Android-Version bzw. iOS-Version zu alt? Ja, es gibt Wege. Aber

  • diese Prozesse sind etwas komplex und unkomfortabel sind
  • ich, Adrian, habe es bis Dato noch nicht ausprobiert
  • wenn deine Desktop-App die Kopplung an deine Telefonnummer verliert, was nach 30 Tagen Inaktivität automatisch passiert, musst du den Prozess nochmals durchführen

Mit Signal-CLI und SMS

Hierbei kommt ein Programm zur Anwendung, das „Signal-CLI“ genannt wird. Dieses wird verwendet um einen Signal-Account zu registrieren und die Kopplung mit der Desktop-App vorzunehmen. Das Signal-CLI-Programmm kann man hier herunterladen: https://github.com/AsamK/signal-cli/releases/latest. In Groben zügen funktioniert es so:

  • Das Programm legt einen Account für eine existierende Telefonnummer an und du bekommst die verifikations-SMS an diese Telefonnummer geschickt.
  • Diesen Verfikations-Code gibst du dann im CLI-Programm ein und damit ist der Account erstellt.
  • Anschließend installierst du das Signal-Desktop-Programm. Dort koppelst du wie gewohnt, nur dass du den erscheinenden QR-Code nicht einfach mit deinem Signal am Smartphone scannen kannst wie gewohnt. Stattdessen nutzt du einen QR-Scanner oder Online-Decoder um den QR-Code in einen Text umzuwandeln.
  • Diesen Text-Code übergibst du dann dem CLI-Programm und damit ist die Kopplung vollzogen.

Eine detaillierte Anleitung samt Download der App gibt es hier:
https://github.com/AsamK/signal-cli/releases/latest
Der ein noch nicht erwähnter Nachteil dieses Verfahrens ist, dass es sehr aufwändig ist Kontakte hinzuzufügen, da man dafür Textfiles mit einem ganz bestimmten Layout anlegen muss.

Weitere, ähnliche Anleitungen:

  • https://gist.github.com/szepeviktor/2c6a19cb91c4bb561369707f22bcf413#file-signal-without-smartphone-md
  • https://www.reddit.com/r/LightPhone/comments/pwj6h0/how_to_use_signal_on_your_other_devices_without/

Weitere Möglichkeiten

Ich habe im Web unter
https://github.com/signalapp/Signal-Desktop/blob/main/CONTRIBUTING.md#setting-up-standalone
gelesen, dass es einen Standalone-Mode für die Developer-Version gibt. Ich vermute, dass dies mit vielen Einschränkungen einhergeht und bin mir über den Fortbestand der Entwicklung nicht sicher.

Eine weitere interessante Alternative scheint sich über den Android-Emulator zu bieten, der u.a. im Android SDK enthalten ist. Mit GoogleVoice, Krispcall, Skype oder anderen virtuellen Telefonanbietern könnte man an eine Telefonnummer kommen ohne je eine SIM-Karte besessen zu haben.

Tipps

Kanal stummschalten

Unterthaltungen mit einzelnen Kontakten aber auch mit Gruppen können stummgeschaltet werden. Dies ist sehr nützlich, wenn man eine Gruppe immer wieder braucht, weil dort nützliche Informationen ausgetauscht werden, aber eben nicht dauernd.

Gehe dazu in der Gruppe bzw. Unterhaltung rechts oben auf Punkt-Punkt-Punkg und dort auf Stummschalten. Du kannst eine Auswahl von eine Stunde bis zu ein Jahr treffen.

Tray-Icon unter Windows

Wenn man das Signal Fenster schließt, dann beendet man das ganze Programm. Nutzer_innen diverser anderer Messaging-Apps am Desktop-Computer, wie zum Beispiel Skype, Zoo, MS Teams, sind ein anderes Verhalten gewohnt. Da verschwindet die App rechts unten in die Task-Leiste (aich bekannt als System Tray). Durch einen Klick auf das Icon holt man das Programm wieder in den Vordergrund. Will das Programm komplett beenden macht man einen Rechtsklick auf das Tray-Icon ung geht auf beenden.

Dieses Verhalten wünscht man sich auch bei Signal und es ist möglich.

Gehe dafür zu der Verknüpfung mit der du die Signal-App startest. Die beiden meistvertretenen Varianten sind im Startmenü oder am Desktop. Da es etwas tricky ist an die Verknüpfung im Startmenü zu kommen hierzu gleich ein Screenshot (unten). Rechtsklick auf das Icon im Startmeü, dann zu „mehr“ und dann klicke auf „Dateispeicherort öffnen“. Die Verknüpfung erscheint nun in einem Fenster und wür können genauso fortfahren wie im Falle der Desktopverknüpfung.

Gehe mit einem Rechtsklick auf die Eigenschaften.

In den Eigenschaften in der Registerkarte (aka Tab) gibt es die Zeile „Ziel“. Am Ende dieser Zeile werden wir nun ein optionales Argument ergänzen. Dazu machen wir nach Signal.exe ein Leerzeichen und Ergänzen den Text --use-tray-icon und bestätigen mit dem Button OK.

Nun haben wir beim Starten von Signal ein kleines Tray Icon

Export von Sigal-Messages

Der Backup und Restore-Mechanismus ist unter
https://support.signal.org/hc/de/articles/360007059752-Nachrichten-sichern-und-wiederherstellen
ausführlich erklärt.
Was wenn man aber nachrichten aus Signal heraus exportieren möchte?
Achtung: Dieser Abschnitt ist recht kompliziert und den meisten Leuten recht wenig dienlich. Sorry!
Hier zwei Möglichkeiten:

  • Signalbackup-tools
    auf Github gehostet
    muss unter Linux erst von dem_der Anwender_in kompiliert werden
    es gibt eine nicht gründlich getestete Windows-Version
    liest Signals Backup-Files aus
    ausgabe auch als HTML möglich
    https://github.com/bepaald/signalbackup-tools#signalbackup-tools
    Unter Windows öffne man ein CLI (z.B. Powershell) und gehe in den Ordner der heruntergeladenen exe-Datei (ich mache mir dafür immer einen eigenen Ordner).
    Um die exe zu starten verwendet man das Kommando .\signalbackup-tools_win.exe und dahinter die Argumente wie z.B. den Dateinamen des Backup-Files und Anweisungen, was man genau machen möchte. Wenn ich beispielsweise
    .\signalbackup-tools_win.exe signal.backup 123456789012345678901234567890 --exporthtml .\export
    eingebe, dann wird ein Backup im HTML-Format im ordner export (den ich mir auch zuvor erstellt habe) erstellt.
  • Signal-Desktop + SQLiteBrowser
    Wenn man Signal auf einem Computer installiert hat, hat man zwar nur die Chat-History ab dem Zeitpunkt der Kopplung zur Verfügung, aber diese kann man mit einem Datenbank-Browser auslesen. Zunächst muss man allerdings die Daten lokalisieren. Unter Windows öffne mit dem Windows-Explorer den Pfad %AppData%\Signal. Darin findest du eine Textdatei namens config.json und darin ist der Datenbank-Key. Dann hole man sich den SQLiteBrowser https://sqlitebrowser.org/dl/
    und installiere diesen.
    Nachdem die dargebotene Version schon mal zu alt für die aktuell von Signal (v6.24) benutzte Cipher (4.5) war, hier findet man die nightly builds:
    https://nightlies.sqlitebrowser.org/latest/
    Wenn man dieses Programm (und zwar die SQLCipher.exe) startet geht man auf Datenbank öffnen und navigiert in den Ordner %AppData%\Signal\sql und öffnest die Datei dm.sqlite. Es geht ein Fenster auf. Gib als Passwort (nicht als Passphrase sondern als Originalschlüssel) die Folge 0x (null ix) und den vorher gefundenen Key (ohne die Anführungszeichen) ein.
    Nun kann man filtern, exportieren,…

Quellen:

  • Für mehrere OS (weiter unten)
    https://unix.stackexchange.com/questions/505008/signal-desktop-how-to-export-messages
  • Alternative Anleitung (3. Post)
    https://news.ycombinator.com/item?id=22328059
  • Malformed database schema liked to sqlciper version
    https://github.com/carderne/signal-export/issues/26#issuecomment-1034198680
  • SQLCipher Version 4.5.4
    https://github.com/sqlcipher/sqlcipher/releases/tag/v4.5.4
  • Jüngste Meldung zu malformed database schema, dass es mit Signal 6.23+ entstand
    https://github.com/signalapp/Signal-Desktop/issues/3180#issuecomment-1669582319
  • Potentielle Lösung: nightly build
    https://github.com/signalapp/Signal-Desktop/issues/6518#issuecomment-1630961015
  • Signal Desktop Windows 2021 Phorensic
    https://www.linkedin.com/pulse/signal-desktop-digital-forensics-perspective-surya-teja-masanam

Migration der Signal-Desktop-App

Signal ist so konzipiert, dass ein Account zu einer Telefonnummer gehört, und mit dieser existiert üblicherweise genau ein Endpunkt für die Kommunikation, das Telefon. Dort und nur dort wird die gesamte Kommunikationshistorie abgespeichert. Weitere Apps, die mit dem Account verlinkt werden, werden nur mit neu hinzukommenden Nachrichten beschickt, verfügen aber nicht über die Historie. Die Entwickler argumentieren dieses Verhalten damit, dass es nicht möglich sein soll unautorisiert ein Gerät zu verlinken und damit die Historie abzusaugen. Eine Migration der Signal Desktop-App samt Chat-History wird ebenfalls nicht vom Hersteller unterstützt. Dennoch haben es Anwender_innen probiert und teilweise erfolgreich geschafft.

Schritte

  • Beende die Signal App am Computer. Stelle sicher dass es nicht im Hintergrund weiterläuft.
  • Entkopple die Signal-Desktop-App am Smartphone (nicht am Computer)
    (es wird an mangen stellen verneint, dass dieser Schritt notwendig ist und somit auch die später folgende neue Kopplung)
  • Geh am Smartphone offline, damit keine neuen Nachrichten hereinkommen (Ich bin nicht sicher ob dieser Schrittt notwendig ist)
  • Finde den Signal-Ordner
    • Unter Windows: %Appdata%\Signal
    • Mac: ~/Library/Application Support/Signal
    • Linux:
      • ~/.config/Signal
      • ~/.var/app/org.signal.Signal/config/Signal (if installed via Flatpak)
      • ~/.snap/signal-desktop/current/Signal (if installed via Snap)
  • Kopiere den Ordner in den gleichen Pfad auf dem neuen Computer
    (manche Anleitungen installieren Signal zuerst am neuen Computer und fürgen dann den Ordner ein)
  • (unklar on nötig) Lösche den Ordner am alten Computer
  • Installiere die Signal-Desktop-App am neuen Computer
  • Starte die Signal-Desktop-App am neuen Computer
  • Kopple die neue Installation mit dem QR-Code

Quellen

  • Linux:
    https://www.reddit.com/r/signal/comments/g4iqej/how_to_get_conversation_history_on_signal_desktop/
  • Generell:
    https://signal.miraheze.org/wiki/How_to_move_Signal_Desktop_message_history_to_another_computer_(or_during_an_OS_reinstall)

Diskussionspunkte

Kein Web-Browser-Interface

Oftmals wird bedauert, dass es kein Web-Interface für Signal gibt, wie das beispielsweise bei WhatsApp der Fall ist.

Hier fand ich eine Begründung auf whispersystems:

The fundamental problem with web interfaces is: there’s no way to version, sign and securely distribute a web page. Instead, you’re re-requesting the code you’ll run every single time you visit the site (making audits practically impossible).

This effectively reduces the security of your end-to-end encrypted communication to that of your SSL connection to the server, i.e. you’re only as secure as the CA system. Anyone able to intercept the client-server SSL connection (and the server itself) can silently change the code you receive and execute, with a very low risk of getting caught. This is why products which offer end-to-end encrypted communication through in-browser crypto are often considered snake oil, unless they use some form of a packaged & signed browser extension.

Anzahl benötigter Berechtigungen

Eine von einigen Websites gebotene Fehlinformation ist, dass Signal eine Datenkrake wie WhatsApp sei, mit der Begründung, dass es ähnlich viele Berechtigungen einfordere. Unter diesen Berechtigungen finden sich z.B. Zugriff auf das Telefonbuch, das Mikrophon, die Kamera, den Datenspeicher. Diese Berechtigungen sind aber unumgänglich für die Funktion von jeglichem Messenger. Ohne Kamera gibt es keinen Videokonferenzen, ohne Mikro keine Sprachnachrichten, ohne Zugriff auf das Dateisystem kein Hochladen und Abspeichern von gesendeten bzw. empfangenen Dateien. Eine Einschätzung der von Signal gesammelten Daten ist nur möglich, indem man den Quellcode des Programms analysiert (der ja Öffentlich einsichtig ist) und sich ansieht, welche Daten tatsächlich von der App verschickt werden.

Updates

  • Oktober 2023 Version 6.34.0
    Jetzt kannst du mit der rechten Maustaste auf eine gesendete Nachricht klicken oder den Aufwärtspfeil auf deiner Tastatur antippen, um zu bearbeiten, was du gerade gesagt hast! Bei Nachrichten wird immer angezeigt, ob sie bearbeitet wurden. Du kannst auf den »Bearbeitet«-Indikator klicken, um den vollständigen Bearbeitungsverlauf für alle bearbeiteten Nachrichten zu sehen.
  • 20. Feb.2024, v7.0
    Deine Telefonnummer ist in der neuesten Signal-Version für niemanden sichtbar, der sie nicht in den eigenen Telefon-Kontakten gespeichert hat. Das kannst du in den Einstellungen ändern.
    Du kannst jetzt einen optionalen Nutzernamen festlegen und teilen, damit andere ohne Telefonnummer mit dir chatten können.
    Mit einer neuen Datenschutz-Einstellung kontrollierst du, wer dich über die Telefonnummer finden kann.

Querverweise

Zuletzt bearbeitet am 1. Mai 2025 von Adrian Kowar

Tags:

Schreibe einen Kommentar