Signal stellt klar: Cellebrite kann die Messenger-Verschlüsselung nicht knacken
Im hauseigenen Blog stellt Signal ein Missverständnis der letzten Tage klar: Cellebrite, Anbieter von digitalen Ermittlungslösungen für beispielsweise die Strafverfolgung, geriet nämlich in die Schlagzeilen. Einige Medien berichteten, dass Cellebrite es geschafft habe die Verschlüsselung von Signal zu knacken. Doch dem ist nicht so. Und Cellebrite hatte das auch nie behauptet.
Laut den Signal-Sprechern habe Cellebrite vielmehr einen sehr peinlichen Blog-Artikel veröffentlicht. In dem beschrieb man lang und breit, wie man aus Signal Daten abgreifen könnte – allerdings im Besitz des jeweiligen Android-Geräts mit einem entsperrten Bildschirm. Wer nun denke: „Ja, nun, wenn ich das Gerät in der Hand halte und es entsperrt ist – dann komme ich doch sowieso kinderleicht an die meisten Daten“, der sei auf der richtigen Spur, so Signal. Demnach sei der Blog-Artikel konfus und eher neben der Spur gewesen.
Das habe man auch bei Cellebrite wohl kurz nach Veröffentlichung begriffen und den Artikel daher rasch gelöscht. Daher kam es zeitweise zu einer 404-Meldung. Auch das machte sich für Cellebrite nicht so gut. So ersetzte man den ursprünglichen Artikel letzten Endes durch eine knappe und sehr vage Zusammenfassung. Signal wirft Cellebrite nun Unprofessionalität vor, denn der ursprüngliche Artikel sprach von „Herausforderungen“ und „intensiver Recherche“, um es möglich zu machen, Daten aus Signal zu extrahieren. Dabei sei es in der beschriebenen Ausgangssituation leicht an Daten zu kommen: einfach Screenshots in der App anfertigen oder per Copy & Paste Inhalte kopieren. Und im Wesentlichen habe der Blog-Post auch genau das beschrieben, nur durch ein automatisiertes Verfahren. Das sei allerdings alles andere als eine rühmliche Leistung, sondern müsse in so einer Situation ein Kinderspiel sein. Wenn Cellebrite dafür intensiv habe recherchieren müssen, spreche das arg gegen die vermeintlichen Kompetenzen des Anbieters.
Im Klartext: Damit die Tools von Cellebrite laut Signal überhaupt etwas hergeben, muss das jeweilige Gerät physisch und entsperrt bereits im Besitz der jeweiligen Person sein, die zugreifen möchte. Cellebrite kann also sonst keinerlei Inhalte abgreifen und schon gar nicht die Verschlüsselung aushebeln. Was Cellebrite letzten Endes laut Signal anbiete, sei mittelmäßige Enterprise-Software. Man habe sich nun aber bei Signal die Zeit genommen, die Falschmeldungen klarzustellen, in der Hoffnung, dass zumindest einige Menschen auch auf die Korrektur aufmerksam werden.
„Im weiteren ist es wurscht, ob ein Device locked ist oder nicht. Signal kann schon lange entschlüsselt ausgelesen werden.“
https://twitter.com/mobilef0rensics/status/1337688358865268736
Und gleicher User
„Ich habe bis vor kurzem bei Cellebrite gearbeitet; ich weiß sehr wohl was geht und was nicht. “
https://twitter.com/mobilef0rensics/status/1337690572845436928
Die britische BBC hat da dieser Tage auch darüber berichtet!
Warum muss jemand der als Programmierer einen Künstlernamen verwendet ein Dementi schreiben, wenn das doch alles nicht so schlimm ist?
Unabhängig davon:
1. Der Mobilfunknummern-Zwang von Signal
Wer seine Mobilfunknummer rausgibt, gibt damit auch gleichzeitig seine Anonymität auf. Seit Jahren schon müssen in der EU alle Mobilfunknummern namentlich registriert werden und damit ist Signal bei uns nicht anonym nutzbar.
Dazu kommen negative Nebeneffekte, wie zB das man geographisch (in etwa) ortebar ist und man auch einfach feststellen kann, wo jemand wohnt (= der nächtliche Aufenthaltsort)!
Und wenn man gesehen hat, wie Moxie Marlinspike rumgedruckst hat, auf dem letzten CCC (Video bei YouTube abrufbar – auch wenn er komischer Weise keine Aufzeichnung wollte) „Wann denn der Mobilfunknummern-Zwang wegfällt?“, dann kann man sich schon einfach ausrechnen, das die Mobilfunknummer noch lange drin bleiben wird. Das wurde schon vor über 2 Jahren angekündigt.
Für echte Sicherheit sind das alles No-Go´s !
2. Finanzierung
2a.) Brian Acton
Die Finanzierung der Signal Foundation durch Brian Acton ist für mich der Hauptgrund Signal nicht zu nutzen. Er ist dort 2018 mit 50 Millionen Dollar der „Hauptsponsor“ geworden.
Brian Acton hat durch den Verkauf von WhatsApp an die Datenkrake Facebook 2014 rund 10 Milliarden Dollar bekommen und damit bewiesen, dass wenn der Betrag nur groß genug ist, er bereit ist „seine User“ zu verkaufen.
Wer garantiert einem, dass er es mit Signal nicht genauso macht, wenn der Betrag nur groß genug ist?
2b.) Open Tech Fund
Der OTF klemmt sich finanziell überall in den USA mit rein, wo es um Verschlüsselung und Sicherheit geht. Er hat sich an Signal mit knapp 3 Millionen Dollar beteiligt.
Meint Ihr wirklich, dass die US-Regierung Geld irgendwo reinsteckt, ohne eine Gegenleistung? Ein Land, das in den letzten 2 Jahrzehnten die größte Überwachungsmaschinerie der Menschheit geschaffen hat?
Dazu muss man die Signal Seite beim OTF mal aufrufen und gucken, was dort steht:
„Angesprochene Probleme
– Restriktive Internetfilterung nach technischen Methoden (IP-Blockierung, DNS-Filterung, TCP RST, DPI usw.)
– Repressive Überwachung oder Überwachung der Kommunikation
– Regierungspraktiken, die Vermittler (soziale Netzwerke oder ISPs) für Benutzerinhalte haftbar machen“
Alles hier nachzulesen:
https://www.opentech.fund/results/supported-projects/open-whisper-systems/
2c.) Was ist wenn das Geld alle ist? Wie gehts dann mit Signal weiter?
OpenSource finanziert sich nicht von alleine – man muss immer genau gucken, wo das Geld herkommt!
3. Amazon´s Cloud
AWS = ist Amazons Cloudspeicher! Wer Nachrichten – selbst wenn sie verschlüsselt sind – dauerhaft in der Cloud speichert hat genug Zeit zur Entschlüsselung.
Etwas übertrieben dargestellt: Wessen komplette Kommunikation dauerhaft gespeichert wird, verliert seine komplette Privatsphäre – da sie (Achtung Ironie) auch mit einem C64 entschlüsselt werden kann, weil Zeit ja keine Rolle spielt!
Zwischendurch hat Signal auch mal mit Google zusammen gearbeitet – der gleiche Mist also, der vor kurzem auch mit WhatsApp bekannt wurde!
Durfte also jeder große US-IT-Konzern mal seinen Datenhappen von den Signal-Usern bekommen?
Wann löscht Amazon die Nachrichten wieder? Wer hat noch alles Zugriff darauf? Wer überwacht den Daten(ab)fluss?
Alles wichtige Fragen, die ungeklärt sind!
Ich sag immer Cloud = klaut !
Wer sich dann noch mal den US CLOUD Act durchliest, sieht das dies keine Kleinigkeit ist, die man bei seinem Messenger unterschätzen sollte.
„Die US-Datenschutzorganisation Electronic Frontier Foundation wertete den CLOUD Act als „gefährliches Gesetz“. Das Gesetz sei „nichts geringeres als ein Eingriff in die Privatsphäre und eine Beschneidung der Grundrechte““
Siehe:
https://de.wikipedia.org/wiki/CLOUD_Act
4. Auffällige „Sicherheitslücken“ in drei US-Messengern
Drei populäre Messenger aus den USA, die alle drei die gleiche Art von „Sicherheitslücke“ aufwiesen.
WhatsApp von Facebook
iMessage von Apple
und eben die SignalApp
ließen es zu, das bei einem Anrufklingeln Schadcode ins Gerät eingespielt werden konnte!
Zufall?
Schwer vorstellbar, denn alle 3 Messenger kommen aus unterschiedlichen Programmier-Häusern!
Oder vielleicht doch schon – die von der US-Regierung immer geforderte – Hintertüren-Pflicht?
Hier die Links dazu:
WhatsApp:
„Der Angreifer kann die Spyware einfach durch einen WhatsApp-Anruf in das jeweilige Gerät einschleusen, selbst wenn der Angerufene gar nicht abhebt. “
https://heise.de/-4421379
iMessage:
„Ein Google-Sicherheitsforscher schildert, wie sich Schadcode ohne Nutzerinteraktion aus der Ferne auf iPhones einschleusen lässt.“
https://heise.de/-4632972
Signal:
„Großer Lausch-Anruf: Signal nimmt selbsttätig Anrufe an“
https://heise.de/-4546500
Klar – diese Lücken sind gepatcht. Aber man weiß ja nicht, wann die nächste „Lücke“ auffliegt, die bis dahin unbemerkt genutzt werden kann.
5. Signal möchte SMS-Ersatz sein
Das halte ich auch für sehr bedenklich:
Signal möchte sich als SMS-Ersatz ins System einklemmen (optional). Wer die SMS von Usern mitliest erhält ebenfalls einen wertvollen Datenschatz. Z.B. Bank-TANs mit dem Überweisungsbetrag, Empfänger und dem Namen der Bank dabei. Oder Airlines-SMS mit Flugverspätungen (inkl. Abflugs- und Zielort) und viele persönliche Nachrichten von Freunden & Bekannten, die kein Signal verwenden.
Möchte da jemand beim ausspionieren auf Nummer sicher gehen?
Wer nur Signal hat und SMS bekommt wird zu 100% ausspioniert.
6. Juristischer Einflussbereich der USA und auch EU
In beiden Staatengemeinschaften wollen Politiker und Strafverfolger, das die Verschlüsslung von Nachrichten aufgeweicht wird, das Hintertüren eingebaut werden oder das Generalschlüssel hinterlegt werden müssen (auch für mein Haus?)
Nur kurz zum selbst-anlesen:
USA = EARN-IT Act
„EARN IT Act: Signal-Entwickler warnt vor US-Gesetz“
https://heise.de/-4701019
EU = Verschlüsselungsverbot / Generalschlüssel
„Der Wiener Terroranschlag ist für die Regierungen Gelegenheit zum Ausbau der Überwachung. Onlinedienste sollen Zweitschlüssel bei Behörden hinterlegen müssen.“
https://heise.de/-4951415
Es gibt also überall massive Bestrebungen unsere private & sichere Kommunikation zu untersagen/untergraben!
Dieser Gesamt-Gesellschaftliche Grundtenor fehlt mir hier zu sehr !
Warum versteckt sich ein Programmierer hinter einem Künstlernamen? Möchte er straffrei davon kommen, weil er sich dann jederzeit auf seine künstlerische Freiheit berufen darf, wenn rauskommt, dass Signal doch nicht so sicher ist, wie alle dachten?
https://en.wikipedia.org/wiki/Moxie_Marlinspike
Fragen über Fragen… !
Mein Fazit sieh so aus:
Threema ist zu 100% anonym nutzbar (=größtmöglicher Datenschutz), kommt aus der Schweiz (=nicht EU-Recht), hat eigene Server (=keine Cloud), transparente Finanzierung (=User zahlt) und ist jetzt OpenSource!
Passender Weise ist er diese Woche für nur 1.99 EUR zu haben und hat schon über 10. aktive (und schlaue) User!
Das Geschäftsmodell von Thereema ist aber wackelig, wenn es nur aus einer einmaligen Zahlung besteht.
Ferner ist es egal, ob Amazon, Google oder sonst wer auf die Daten auf dem Server zugreifen kann, wenn diese vernünftig E2E verschlüsselt sind. Natürlich kann man davon ausgehen, dass sie irgendwann entschlüsselt werden können.
Die US Regierung hat auch zwei Gesichter. Einerseits will sie natürlich alles mitlesen. Auf der anderen Seite will sie aber auch ihre Einheiten vor dem Mitlesen schützen. Darum kann zB. TOR nur existieren, wenn die USA die Rechnung bezahlen. Und die tun das, damit die Soldaten anonym kommunizieren können.
Signal ist sicherlich kein Messenger, den ein strafrechtlich verfolgter, oder ein Informant nutzen sollte und wird. Für die Absicherung der alltäglichen Kommunikation vor neugierigem Blicken reicht es aber auch.
Threema verdient mit seinem Businessmessenger „Threema Work“ ca. 30 – 40 Mio. EUR!
Wenn Dir das „wackelig“ erscheint, ist das Dein Prob!
Schlecht geschlafen?
Da er seit Tagen hier rumschwurbelt schläft er schon sehr lange schlecht
Hat nix mit schlecht schlafen sondern eher mit „auf ein Blog einschießen“ zutun 😉
Frank, du sollst dich bei Cashy als Blogger bewerben , danke sehr interessanter!
Ernst gemeint? Hoffentlich nicht.
Zumindest kommt inhaltlich mehr von ihm als von dir…
> Die britische BBC hat da dieser Tage auch darüber berichtet!
Dude, der Artikel handelt exakt darum, dass BBC und andere in den letzten Tagen falsch berichtet haben und du bringst eben jene Artikel jetzt als Quelle an?! Geht’s dir gut?
> 1. Der Mobilfunknummern-Zwang von Signal
Signal möchte vor allem ein privater und nicht ein anonymer Messenger sein. Damit ist dieser Punkt Out-of-Scope. Zudem die Nummer ja bald wegfällt. Dafür mussten aber erst mal Technologien wie die neuen Gruppen überhaupt erforscht werden. Bei deinem geliebten Threema gibt es halt nur sehr rudimentäre Gruppen
> Wer garantiert einem, dass er es mit Signal nicht genauso macht, wenn der Betrag nur groß genug ist?
Es ist nicht möglich eine 501c3 Nonprofit Organisation wie die Signal Foundation an ein Unternehmen zu verkaufen. Mehr Garantie dass es nicht passieren wird kann es gar nicht geben, wenn es im wahrsten Sinne gesetzlich einfach nicht möglich ist.
> 2b.) Open Tech Fund
Dieses Argument basiert einzig und allein auf der Annahme, dass die USA niemals in Technologie investieren würden, ohne Hintertüren zu verlangen. Dieses Argument ist – entschuldige bitte – einfach nur Bescheuert und entbehrt jeglicher Grundlage. Zumal es für dich ja kein Problem sein sollte, diese Hintertüren zu benennen, oder?
> 2c.) Was ist wenn das Geld alle ist? Wie gehts dann mit Signal weiter?
Die Signal Foundation ist für viele Jahre finanziert und nimmt mit Spenden weiterhin Geld ein. Ein Verkauf o.ä. ist – selbst wenn das Geld alle ist – nicht möglich, siehe oben. Was sollen also diese Überlegungen?
> Wer Nachrichten – selbst wenn sie verschlüsselt sind – dauerhaft in der Cloud speichert hat genug Zeit zur Entschlüsselung
Was ein Schwachsinn. Das Universum stirbt dem Wärmetot noch bevor du nur einen Bruchteil der Nachrichten entschlüsselt hast.
> 4. Auffällige „Sicherheitslücken“ in drei US-Messengern
Weil alle drei Messenger auf die gleiche WebRTC-Implementierung zurückgreifen. Da ist nichts Zufall dran oder Verschwörung. Übrigens setzt dein geliebtes Threema inzwischen ebenso auf WebRTC und wäre genau so betroffen gewesen. Nur Signal arbeitet inzwischen mit RingRTC an einer deutlich gehärteten Version von WebRTC, während Threema beim komplexen und öfters schon anfälligen WebRTC bleibt 😉
> Warum versteckt sich ein Programmierer hinter einem Künstlernamen? Möchte er straffrei davon kommen, weil er sich dann jederzeit auf seine künstlerische Freiheit berufen darf, wenn rauskommt, dass Signal doch nicht so sicher ist, wie alle dachten?
So funktionieren Künstlernamen nicht. Da schmerzt einem ja das Hirn, wenn man das ließt.
> Threema ist zu 100% anonym nutzbar (=größtmöglicher Datenschutz), kommt aus der Schweiz (=nicht EU-Recht), hat eigene Server (=keine Cloud), transparente Finanzierung (=User zahlt) und ist jetzt OpenSource!
Joa, Threema macht sicher einiges richtig. Gleichzeitig ist Signal aber technisch bei weitem überlegen und forscht auch immer weiter in neue Techniken, während Threema technisch veraltet ist. Das sieht man ja zum Beispiel auch an deren neuen Multi-Device System, an dem rein gar nichts elegant ist.
Die transparente Finanzierung Threema zuzurechnen ist nun wirklich stark. Signal als nonprofit Organisation legt seine Einnahmen und Ausgaben und woher diese kommen per Gesetz jedes Jahr offen. Noch transparenter geht es nicht, außer du möchtest bei jeder Geldbewegung in Echtzeit informiert werden?
Wenn Dein Selbstbetrugssystem momentan stärker ist als die Realität, hilft Dir das auf Dauer nicht wirklich weiter!
Es nützt nichts, die Marketinglügen des Künstlers nachzuplappern. Lerne selber denken & analysieren!
Die Realität wird Dich immer wieder einholen!
Außer Schwafel noch was inhaltlich was zu sagen, oder darf ich somit annehmen, dass ich mit allen Punkten recht habe?
Letzteres. Danke nochmal.
Du laberst. Bring Fakten.
Danke für die ausführliche Antwort. Ich hätte etwas ähnliches getippt, mich dabei aber weitaus kürzer gehalten.
Danke für diesen inhaltvollen Kommentar <3
(Nicht ironisch gemeint)
Danke für die gute begründete Antwort auf die einzelnen Argumente.
Ich benutze Threema und Signal gerne und freue mich auch, dass sogar WhatsApp inzwischen nachgebessert hat. Je mehr Nutzer das beiläufig nutzen können, desto besser ist das für alle.
Danke für deinen Kommentar. Dann muss ich die ganze Gedankenfehler nicht aufklären 😉 Spart mir eine Menge Arbeit…
Threema? Du kennst die Schweizerische Gesetzeslage? Die müssen den Geheimdienst ran lassen, wenn der klopft… ist ja viel besser, als Signal&Co.
😀
„Sieg vor Gericht:
Threema wehrt sich erfolgreich gegen zunehmende staatliche Überwachung
Es ist ein Sieg der Schweizer Internetbranche gegen staatliche Überwachung: Das Bundesverwaltungsgericht hat am 19. Mai entschieden, dass der Schweizer Chat-Anbieter Threema keine weitreichenden Überwachungsaufgaben für den Staat übernehmen muss. “
https://nzzas.nzz.ch/wirtschaft/threema-wehrt-sich-erfolgreich-gegen-staatliche-ueberwachung-ld.1558968?reduced=true
Im Gegensatz zu anderen hier, sind meine Punkte stets mit einem Link hinterlegt!
Liest du eigentlich deine eigenen Links? Obwohl der Artikel hinter einer Paywall ist, sieht man schon in der 2. Überschrift, wo das Problem liegen könnte.
Thema wäre gesetzlich dazu verpflichtet, wenn es größer wäre („ obwohl dies gemäss Gesetz eigentlich nur bei grossen Telekomanbietern möglich ist“).
Aber danke für den Link. War mir vorher nicht bewusst, dass das in der Schweiz so einfach und direkt gesetzlich geregelt ist. Der Standort ist also kein Vorteil, schade.
> Threema … kommt aus der Schweiz (=nicht EU-Recht)
Jo, die Crypto AG auch.. (https://www.sueddeutsche.de/digital/crypto-spionage-bnd-cia-1.4794872)
Übrigens, schöne Werbung für Threema, hoffentlich lohnt sich das. Das Ding ist aber auch sicher mehr zu empfehlen als WA, dennoch kann ich die Begeisterung für alte Technik und Afinum als Finanzpartner nicht so ganz nachvollziehen. Denn von den 1.99-Einzelverkäufen wird die Firma sicher nicht leben können.
Die Argumente gegen Signal wurden hier bereits entkräftet, deswegen gehe ich nicht weiter darauf ein.
„Threema (…) ist jetzt OpenSource!“
Jein. Die Quellen für die App vielleicht. Aber was ist mit dem Server? Und selbst wenn die Quellen dafür offen gelegt werden würden, welche Variante mit welchen Modifikationen läuft auf dem Server?
Selbst die App ist nicht komplett Open Source. Unter Android werden proprietäre Teile, u.a. von Google, eingebunden. Da wird es sicher bald einen Fork geben, der diese Teile entfernt, aber aktuell sind sie noch nötig.
So schön ausfuehrlich deine Ausfuehrungen sind:
Die Behauptung „Seit Jahren schon müssen in der EU alle Mobilfunknummern namentlich registriert werden und damit ist Signal bei uns nicht anonym nutzbar.“ kann man so nicht stehen lassen.
Wenn du eine Quelle dafuer hast, bitte her damit… Aber es ist definitiv KEINE EU-Richtlinie, sich registrieren lassen zu muessen, wenn man eine Prepaid-Karte kauft… Ich muesste nur mal ne Stunde rueber nach Holland fahren und komm mit einem 10er-Paket anonymer SIM-Karten nach Hause. AFAIK gilt das mindestens auch fuer: Dänemark, Schweden, UK, Österreich, Tschechien, Kroatien, Slowenien und Portugal (Keine Gewähr auf Vollständigkeit und Korrektheit).
Der Rest deines Beitrages besteht auch mehr aus Vermutungen und Behauptungen, den aus Fakten und Tatsachen.
Eine Einmal-Bezahlung ist auch keine transparente Finanzierung fuer einen Webbasierten Dienst. Server und Traffic muessen schlieslich permanent bezahlt werden.
Bitte, gib dir mehr Muehe, wenn du irgendeine Werbung fuer irgendeinen Dienst machst und erzähl bitte keinen Muell, der nicht stimmt… Vielleicht glaubt man dann weniger, du wuerdest fuer deine Äusserungen bezahlt werden… Sry, wenn ich das so sagen muss, aber so ist dein Beitrag nur Mist.
Danke für deine Einblicke. Matrix ist auch empfehlenswert neben Threema.
Da gibt es vielen Unsinn aufzuklären.
1. Die Basis für anonyme usernames zu legen ohne Daten zu sammeln dauert lange und ist abgeschlossen. Sie werden bald kommen.
Signal schafft das ohne Metadaten im Gegensatz zu Threema.
2. Signal ist eine non-profit. Da gibt es nichts zu verkaufen.
Absichtliche Sicherheitslücken lassen sich in open source Software finden.
Weiterhin bekommt Signal Spenden der Nutzer. Dadurch finanziert sich der Dienst.
3. Es gibt keine Nachrichten, die langfristig in der Cloud gespeichert werden. Da sind nur verschlüsselte Metadaten langfristig drinnen, die sind bei Threema und co nicht verschlüsselt in der Cloud.
4. Signal und Whatsapp nutzen selbe Verschlüsselung. Da muss die US-Regierung nichts anordnen, damit da ein gleicher bug zu finden ist.
5. Zeig mir bitte den Code in der Signal App, der SMS an die Server von Signal schickt. Das ist (wie vieles in dem Kommentar) an den Haaren herbeigezogener Blödsinn.
6. Dass Signal sich von Earn It bedroht fühlt, zeigt, dass sie eben keine Daten über die Nutzer sammeln und das auch weiterhin nicht möchten.
Mit Signal ist man deutlich anonymer, eben da keine Metadaten anfallen. Threema weiß mit wem du wie oft schreibst, in welcher Gruppe du mit wem bist, wie dein Profilbild aussieht. Signal weiß das alles nicht.
Wer Signal nicht für privat genug hält und dann Threema empfiehlt, dem kann man nicht weiter helfen.
Signal = Null Anonymität, speichern MetaDaten und kennen die Mobilfunknummer = den User
Threema = 100% anonym nutzbar, speichern KEINE Metadaten (siehe NZZ-BeweisLInk oben)!
Welcher User hat den sicheren Messenger?
Es nützt nichts, sich hier einen zweitklassigen Messenger, mit unbewiesenen Kompensations-Behauptungen und nachweislichen Lügen, schön zu reden!
„Metadaten verraten Ihnen absolut alles über das Leben einer Person. Wenn Sie genug Metadaten haben, brauchen Sie den Inhalt nicht wirklich.“
NSA General Counsel Stewart Baker im Interview:
„We Kill people based on MetaData“
https://www.nybooks.com/daily/2014/05/10/we-kill-people-based-metadata/
Du bringst ja gerne Links als Nachweise ein. Mir fehlt noch der Link zum Nachweis einer 100% anonymen Nutzung auf dem Threema Server.
Lesen bildet:
https://threema.ch/de/security
Metadaten-Sparsamkeit =/= “KEINE Metadaten“
Also nimm dir den Tipp selber zu Herzen und bilde dich durch gute Literatur weiter!
Und ich werde jetzt aufhören mich an diesem Gespräch zu beteiligen. Mit so einer Dummheit lässt sich nicht argumentieren!
Oben NZZ lesen da steht alles drin!
MetaDaten bei einem Messenger der 100% anonym genutzt werden kann ist deutlich harmloser, als bei einem Messenger der keine Anonymitöt bietet!
Mitdenken rentiert sich!
PS:
Rumzicken ist was für weiber….
Und auf einmal speichert threema offenbar doch Metadaten. Immer schön zu sehen wie man sich selbst widerspricht. Sorry aber du gibst in einer Tour Mutmaßungen und Behauptungen von dir, die du nicht im Ansatz belegen kannst. Auf viele Widerlegungen bzgl deiner Behauptungen (wie dass die signal foundation nicht verkauft werden kann und dass deren Finanzierung vollständig öffentlich gemacht werden muss) gehst du nicht mal ein. Lieber blendest du alles aus was deinem Weltbild diesbezüglich im Ansatz widerspricht. Ich werde es daher gar nicht erst versuchen, es haben inzwischen mehr als genug die Widersprüche deines Kommentars gezeigt und es ist deutlich dass du an einer echten Diskussion nicht wirklich interessiert bist. Zumal Artikel und vor allem Aussagen des Herstellers selbst kein Beweis für irgendwas sind, wenn dann sollte man schon mit echten beweisen kommen, also z. B. Die stellen im Code die die eigene Behauptung untermauern.
Ok boomer
Irgendwie hätte ich auf einen Link zum Nachweis gehofft. Leider kam ein Link zum Hersteller, was man als Marketing bewerten kann. Der Hersteller kann schon propagieren, dass er das perfekte Produkt entwickelt hat. Aber ein Nachweis ist das natürlich nicht.
Du willst ernsthaft Twitter und heise.de als verlässliche Quelle verkaufen?
Stimmt schon, UFED liest Signal ohne Probleme aus…
Moin Frank! Oder soll ich besser schreiben Leon? Ihr geht hier dem wohl größten Threema-Fanboy auf dem Leim, wenn ihr sein Geschreibsel und unbelegte Beweise glaubt.
Hier sein Threema-Fanaccount: https://mobile.twitter.com/LeonHBB
Okay auf einen Punkt muss ich eingehen, da er einfach vollkommener Schwachsinn ist und zeigt dass da jemand von Verschlüsselung keinen Plan hat.
Heutige Verschlüsselungsalgorithmen sind eben so ausgelegt dass es nahezu unmöglich ist diese zu entschlüsseln. Die algorithmen selbst schafft man nicht zu knacken, die einzige Schwachstelle die da noch wäre, wäre der key, wenn der zu kurz ist kann ggf mittels brute force dieser geknackt werden. Das tolle ist aber, jeder weitere bit erhöht die Anzahl an möglichkeiten exponentiell und damit auch der Zeitaufwand einer bruteforce Attacke. Eine Verschlüsselung dient ja eben dazu dass jemand der die Nachrichten unterwegs abfängt (und das ist nie vollständig zu verhindern) nicht in der Lage ist diese zu entschlüsseln. Und der kann sich ja auch diese Nachrichten dann speichern und ewig Zeit zum entschlüsseln lassen, also ist das absolut kein Kriterium. Bei den modernen verschlüsselungsalgorithmen benötigen selbst alle Rechner der Welt zusammen Millionen von Jahre um per brute force diese zu knacken. Die Wahrscheinlichkeit dass das gelingt ist somit offenkundig enorm gering. Also selbst wenn Nachrichten verschlüsselt auf Servern abgespeichert würden, was nach meinem Kenntnisstand nicht der Fall ist, würde das niemanden etwas nützen da bis auf diejenigen die den key haben (welcher bei einer e2e Verschlüsselung nur auf den jeweiligen Endgeräten vorliegt) niemand die Daten entschlüsseln kann. Da ist es erheblich weniger Aufwand und erheblich Erfolgsversprechender sämtliche Handys von Usern des Dienstes zu stehlen bzw über trojaner zu befallen und an den Endgeräten an die bereits entschlüsselten Nachrichten zu kommen, als dass man diese selbst schafft zu entschlüsseln. Und davor ist auch threema nicht befreit, ein trojaner auf dem eigenen Gerät kann ebenso dann die Nachrichten von threema herauslesen.
😀 das ist schon eine Leistung Daten auszulesen die offen vor einem liegen.
Respekt für soviel Ingenieurskunst.
Können Sie denn automatisiert tausende Messagingdaten (aller Messenger!) in wenigen Sekunden auslesen und in ein strukturiertes und gerichtsverwertbares Format bringen? Nein? Ach was… Cellbrite (UFED) fertigt nicht irgendwelche Screenshots an, es extrahiert die Informationen aus den geräteinternen Datenbanken.
Das ist aber keine Kunst, auf den Geräten selbst liegen die Daten nunmal bei nahezu allen Diensten unverschlüsselt vor da es viel zu aufwendig ist die Daten jedes Mal neu zu entschlüsseln wenn man sie lesen will. Zumal das sinnfrei wäre, da jemand der Zugriff auf das Handy hat auch dann über den jeweiligen Dienst die Nachrichten alle lesen könnte. Das ist keine sonderlich große Leistung Daten aus Datenbanken abzurufen und vor allem hat es nichts mit der Sicherheit von Signal oder irgendeinem anderen Dienst zu tun. Vielmehr sollten da die Geräte selbst entsprechend geschützt werden damit da keiner so eben drauf zugreifen kann, ist also vielmehr ein androidproblem.
Die Daten sind auch auf dem Gerät verschlüsselt, deswegen braucht du auch ein ensperrtes Gerät, um an die Daten zu kommen. Ansonsten kommst du nicht an den Schlüssel für die SQLCipher-Datenbank.
Mit dem gehärteten Signal-Fork „Molly“ ist die Datenbank zusätzlich mit einem PIN verschlüsselt, sodass du selbst auf einem entsperrten Smartphone nicht an die Daten kommen würdest.
Mit Aufwand hat das wenig zu tun, dass man auf einen entsperrten Gerät an die Daten kommt. Die Datenbank ist bei WhatsApp, Signal, Threema usw. ja bereits verschlüsselt. Es hat mehr praktische Gründe, warum es in den general-purpose Clients keine vom Gerätecode unabhängige Verschlüsselung gibt: Solange die App nicht entsperrt ist, kannst du keine Benachrichtigungen empfangen. Das bedeutet, dass die App wirklich ausschließlich funktioniert während du sie offen entsperrt hast – für einen Messenger einfach ungeeignet.
Ich stelle noch einmal die Frage: Können Sie von allen Messengern auf einem Smartphone die Daten gerichtsverwertbar auslesen, indexieren und entsprechend in einem einheitlichen Format darstellen? Kennen Sie UFED? Vermutlich nicht. Dann stellt sich die Frage, wie Sie sich darüber eine Meinung bilden können.
Echt peinlich von Cellebrite ♂️
Signal perfekt? Nö. Aber vernünftig.
Mail perfekt? Nö. Aber Universal.
Matrix perfekt? Nö. Aber theoretisch wirklich gut.
WhatsApp perfekt? Schallendes Gelächter!
Threema? Komm wieder wenn der Servercode offen liegt.
XMPP? Totes Pferd.
Skype? Bitte geh weg!
Teams? *heul*
Das Argument “Schweiz” ist so irrelevant wie “aber Amerikaner fördern Signal”. Spätestens nach der “Crypto AG” ist klar, alles ist möglich, besonders in der Schweiz!
Dass da oben von Frank ist erstmal nur Geschwurbel und sollte in der Form besser ignoriert werden. Damm
Danke an Andre für den einfachen gehaltenen Artikel.
„Spätestens nach der “Crypto AG” ist klar, alles ist möglich, besonders in der Schweiz!“
An der Crypto AG waren die CIA beteiligt = Amerika !
Das ist ein hervoragendes Beispiel dass man besser von allem die Finger lässt, wo die Amis dabei sind. Inkl. WhatsApp, Faceboo, Signal, ect.
Tja wird schwierig, da ein Großteil der modernen Technologie in irgendeiner Form von den Amis kommt. Also auch kein android (ist von Google) oder iPhone. Ebenso sind viele algorithmen von Amis erfunden wurden. Es wird nahezu unmöglich irgendeine Software zu verwenden wo nicht in irgendeiner Weise ein Ami dran beteiligt war.
Ihr müsst ja alle schwer kriminell sein, wenn ihr euch sorgen darum macht, dass die Polizei bei einer Straftat euer Handy auslesen könnte.
So wie die Menschen der DDR damals alle schwer kriminell waren wenn sie was zu verbergen hatten. Oder die Menschen in China die versuchen anonym zu bleiben. Könnte noch diverse andere Länder aufzählen. Aber ich vergaß, wir sind ja in Deutschland, hier brauchen wir keine Angst vor staatlicher Überwachung haben, es wird immer nur böse kriminelle treffen. Kann hier absolut niemals passieren dass damit auch welche verfolgt werden nur weil sie kontroverse Meinungen vertreten. Auch die Überwachung der Amis ist rein nur gegen Terroristen, alle anderen haben nichts zu befürchten.
Sorry aber bei manchen frage ich mich, wie naiv man sein kann.
wenn man nicht mal versteht, was die software macht, sollte man möglicherweise nicht mit naiv um sich werfen. es geht im artikel um eine forensik software, mit der man handys auslesen und die daten aufbereiten kann. wann ausser bei einer strafttat hat der deutsche staat das bitte gemacht? und vergleichst du wirklich gerade deutschland, wo man wahrscheinlich schon dsvgo ärger bei einer hand geschriebenen kaffekasten liste bekommen kann, mit der ddr?
Threema hat Vor- und Nachteile, Signal hat Vor- und Nachteile. Beide sind im Vergleich zu Whatsapp und Telegram deutlich besser (wenn es um Sicherheit geht). Aber Frank ist auf Mission…. So zu tun, als würde er allein die Wahrheit kennen ist – milde formuliert – albern, noch dazu wo das Wissen zum Thema Verschlüsselung ja eher mau zu sein scheint.
@Frank direkt: Schau mal, wo die Leute herkommen, die das NaCl-Protokoll entwickelt haben. Du solltest evtl gar nichts mehr nutzen, überall Amerikaner ….
Hinter Frank verbirgt sich Leon. Der wohl größte Threema-Fanboy. Nicht alles glauben, was er schreibt…
https://mobile.twitter.com/LeonHBB
Danke für die Info. Es ist nicht alles verkehrt was er schreibt, und durchaus auch interessant. Was mich jedoch stört ist die apodiktische Art wie er hier in den Kommentaren auftritt. Als hätte er die ultimative Wahrheit parat, die es aber tatsächlich nicht gibt.
Ich tippe auf ICD-10 (F60. 3)
Vielleicht kann mir das technisch ja jemand erklären:
Habe gerade unter Android 11 Signal installiert. Ich musste meine Rufnummer eingeben etc. Signal hat keinen Zugriff auf irgendwas von mir bekommen und unter Berechtigungen ist alles aus.
Trotzdem hat Signal den 6 Stellingen SMS Bestätigungscode ausgelesen. Wie machen die das, wenn der Zugriff auf SMS blockiert ist?
Das ist eine Funktion der Google Play Services und benötigt kein Zugriff auf die SMS-Berechtigung. Die App kriegt auch keine SMS zu sehen. Abschalten kannst du dies in den Einstellungen unter Google > Automatisches Ausfüllen > SMS-Bestätigungscodes.