Edward Snowden, WhatsApp und Co gegen Telegram
von caschy | 80 Kommentare
Whistleblower Edward Snowden besitzt einen Twitter-Account. Über diesen kommen gelegentlich Aussagen zur Sicherheit. Ein recht aktueller Retweet fiel mir da ins Auge. Snowden retweete die Aussage einer Person, dass die Nachrichten von Telegram unverschlüsselt auf den Servern des Betreibers liegen würden. Es war ein einfacher Retweet mit kurzer Aussage, infolge dessen sich aber durchaus bekanntere Personen aus dem „Messenger-Geschäft“ einklinkten.
Snowden kritisiert hier die Standards, die Telegram anwendet. Telegram wird laut Aussagen der Macher von Millionen Menschen genutzt, die meisten von ihnen nutzen aber die normale Chatfunktion und vielleicht sogar öffentliche Gruppen zur Kommunikation, sodass im schlimmsten Falle beim Überwachen der Nutzer herausgefunden werden kann, worüber sich diese unterhalten. Abhilfe schaffen hier die nicht standardmäßigen Secret Chats, die verschlüsselt von Gerät zu Gerät abgehalten werden können (siehe FAQ).
Das rief natürlich auch Pavel Durov auf den Plan, seines Zeichens Founder und CEO von Telegram. Er warf dem Ersteller der Nachricht vor, Blödsinn zu posten und fragte nach ob dieser für diese Falschaussagen Geld bekommen würde. Zudem gab es noch die direkte Antwort an Edward Snowden, die Person, der Durov 2013 einen Job anbot und sie als persönlichen Helden bezeichnete:
Durov entgegnete, dass Nutzer, die dem Anbieter nicht trauen oder den Cloud-Sync nicht nutzen wollen, die Secret Chats nutzen können. Ende-zu-Ende verschlüsselte Nachrichten von Gerät zu Gerät – die aber eben nur am entsprechenden Gerät gelesen werden können, nicht an einem Zweitgerät.
Hier mag es manchmal etwas verwirrend wirken auf den Nutzer. Ein Messenger, der die Sicherheit immer als Marketinginstrument benutzt. Sollte dieser nicht die oberste Sicherheit zum Standard machen, anstatt die sichere Methode optional anzubieten? Klar verliert Telegram massig Komfort durch die Sicherheitsstufe. Aber sollte das nicht bei diesem Produkt an erster Stelle stehen?
Dann schaltete sich noch Jan Koum ein. Seines Zeichens der Kopf hinter WhatsApp, der sein Unternehmen für Milliarden an Facebook verkaufte. Er nutzte die Gunst der Stunde um noch einmal darauf hinzuweisen, dass WhatsApp keinen Chat-Verlauf auf den Servern speichere – angeblich ein Grund, warum der WhatsApp-Client im Web nur dann arbeite, wenn das Smartphone auch an ist. Eine Aussage, die von einem Telegram-Mitarbeiter öffentlich infrage gestellt wurde, da man Ende-zu-Ende-Verschlüsselung auf mehreren Clients haben könne.
Auch Open Whisper Systems brachte sich dann noch in das Gespräch ein, die zeichnen sich zum Beispiel für den Messenger Signal verantwortlich (dessen Desktop-Client eine Gmail-Adresse voraussetzt). Auch sie behaupten etwas, was Durov in einem anderen Tweet von sich wies.
Zum Zeitpunkt dieses Beitrages ist die Diskussion ins Stocken gekommen. Neue Erkenntnisse werde ich nachtragen. Festzuhalten bleibt sicherlich: wenn ich vermeintlich sicher kommunizieren möchte, dann nutze ich die bestmöglichen Sicherheitsstufen einer Kommunikationsplattform. Dies ist bei Telegram standardmäßig nicht der Fall. Und während sich die Lauten und die Bekannten aus der Messengerszene via Twitter bekriegen, dürfte sich sicherlich wieder jemand in der Schweiz freuen: Threema. Deren Schutzschilde sind standardmäßig hochgeklappt.
Und ich frage mich derweil bei all dem Rummel: sind eigentlich jemals Einbrüche bei Telegram, WhatApp, Hangouts oder dem Facebook Messenger durchgeführt wurden, welche als Folge das Veröffentlichen von privaten Nachrichten zur Folge hatten?
Wird geladen ...
@Lutz
Richtig, bei WhatsApp hat man keine Wahl. Alle Nachrichten sind End-to-End verschlüsselt. Daß Open Whisper Systems für WhatsApp das Axolotl-Protokoll integriert hat (selbes Protokoll auf das Signal setzt), ist dir entgangen?
@Kalle
Nur das WhatsApp dabei völlig unglaubwürdig geblieben ist. Wieso werden die Nachrichten an iOS Geräte NICHT per Axolotl verschlüsselt? Wieso werden verschlüsselte Nachrichten im Messenger NICHT kenntlich gemacht? Und ob die Verschlüsselung in WhatsApp nicht doch ein Hintertürchen hat und ob sie überhaupt angewendet wird, kann niemand überprüfen, da closed-source.
Somit völlig wertlos.
Jan Koum ist ein Heuchler. WhatsApp ist auf iOS unsicher und KANN gar nicht verschlüsseln. Noch nicht mal optional.
WhatsApp hat nur auf Android eine sichere End-to-End-Verschlüsselung. Sobald ein iPhone ins Spiel kommt, wird unverschlüsselt übertragen.
Sichere Ende-zu-Ende-Verschlüsselung gibt es bei WhatsApp nur zwischen zwei Android-Phones.
1. Die Nachrichten sind auf den Telegram-Servern natürlich nicht in Plaintext sondern verschlüsselt gespeichert, jedoch hat Telegram (auf anderen Servern in anderen Ländern (Gerichtsgebieten) auch die Schlüssel. Das macht Telegram ziemlich sicher gegen Hackerangriffe und Gerichtsurteile, allerdings kann Telegram selber theoretisch die Nachrichten lesen. Dies ist allerdings auch technische Voraussetzung für jeden Cloud-Messenger (und überhaupt für jeden Cloud-Dienst).
2. @Kalle: Der Artikel ist purer clickbait, natürlich wird jeder Text der auf dem Bildschirm dargestellt werden soll zu irgendeinem Zeitpunkt unverschlüsselt gespeichert. Wenn das Smartphone gerootet ist, hat man darauf Zugriff.
3. Die Verschlüsselung von WhatsApp ist allein deswegen absolut wertlos, da nicht mal nachvollziehbar ist, ob sie überhaupt existiert (außer laut Behauptungen von WhatsApp-Mitarbeitern).
@Pietz:
Sicherheit der Nachrichten ist EIN Aspekt. Zwei weitere sind offenes übertragen des Adreßbuchs an den Server bei Whatsapp (perfekt zum profilen und wehe Du gehts in die USA und kennst jemanden, der jemanden kennt, der jemanden vom IS kennt.
Oder, weniger paranoid, Du tritts die Verwertungsrechte aller über Whatsapp versendeten Medien ab (besser gesagt, Du erlaubst Whatsapp deren unentgeltliche Nutzung
@Constantin
Wird von Telegram so behauptet, ist aber nicht überprüfbar, da der Quellcode auf Serverseite closed-source ist.
Somit wertlos.
BS = Blödsinn! Coole Übersetzung 😉 Bin gespannt, wie es hier weitergeht.
Das Argument, dass Chats nur dann Ende-zu-Ende-verschlüsselt sein können, wenn man die Nachrichten nur mit einem einzigen Gerät abrufen kann (wie im Beitrag indirekt behauptet und wie es Threema praktiziert), greift ins Leere, denn Apples iMessage kann bekanntlich auch mit mehreren Geräten gleichzeitig genutzt werden
Dass man bei Telegram die Wahl hätte, stimmt ja auch nur so halb. Gruppenchats kann man meines Wissens nicht verschlüsseln. Wenn jedes Gerät seinen eigenen Key bekommt, würde das auch auf mehreren Geräten funktionieren (siehe iMessage). Dafür müsste Telegram alles bisherige über den Haufen werfen. Werden sie vermutlich nicht machen
@Tom: Ich schätze, dass mit „BS“ wohl eher „Bullshit“ gemeint war/ist.
@tom @robert: BS ist Bullshit. Kann man getrost als Blödsinn bezeichnen.
@Constantin Eckstein:
„allerdings kann Telegram selber theoretisch die Nachrichten lesen. Dies ist allerdings auch technische Voraussetzung für jeden Cloud-Messenger“
Könntest Du bitte erklären warum das Voraussetzung sein soll? Meines Wissens nach ist das Blödsinn, siehe Threema. Threema Inc kann ohne Schlüssel eben nicht die Nachrichten lesen. Bei einer End-to-End Verschlüsselung wäre hierzu ein Masterkey nötig. Masterkey hin oder her, der Server benötigt keinesfalls Kenntnis des Nachrichtensinhaltes um diesen zu übermitteln. Er benötigt lediglich die Kopfzeilen um sie an die richtige Person zu senden.
Wenn ein Messenger-Entwickler einen anderen kritisiert, ist das immer so eine Sache und hinterlässt einen faden Beigeschmack. Ist halt billige Signal-Werbung!
Jetzt mal ehrlich:
Seid Ihr alle Top-Secret-Geheimnisträger wie Edward Snowden? Und habt dann auch noch das Bedürfnis, diese Staatsgeheimnisse per Gruppenchat über Eure Smartphones auszutauschen?
Oder kommt Ihr Euch nur besonders wichtig vor, und Eure Gruppenchats enthalten eher banale Messages wie: „Bring Brötchen mit“ oder „Bin schon vorm Kino“?
Aha. 😉
Und was ist bei solchen Chats für Euch wichtiger? Top-Secret-Verschlüsselung für Geheimnisträger? Oder doch lieber der Komfort, den Chat auf jedem beliebigen Gerät und jeder Plattform weiterführen zu können?
Aha.
Telegram bietet auf jeden Fall beides und lässt dem User die Wahl. 🙂
Forever Threema! Bis heute Skandalfrei!
@Lutz:
Na, dann mal her mit der Webcam zu Deinem Schlafzimmer, Du machst da ja sicherlich nichts in Sachen Topsecret. Das Argument ist für die Tonne, denn nur weil man kein Geheimnisträger ist muß man noch lange nicht jeder Firma seine Informationen geben wollen, oder? Wenn nicht, siehe Satz eins.
@Lutz
Klein Nachtrag, Snowden war bis zu seiner Veröffentlichung übrigens auch kein Topsecret-Geheimnisträger, das wurde er erst durch die Verfolgung durch die USA.
@Fraggle:
Aluhut-Träger! Man erkennt sie sofort.
@Flo @Han
Sicher benutzt die iOS Version End-to-End Verschlüsselung. In der offiziellen Version seit Ende August, in der Beta seit März. Die Implementierung dauerte nur etwas länger als auf Android. Bei Gruppenchats und gesendeten Bildern hat E2E auch länger gedauert, bis Mitte September. Das wurde auch genau so von Open Whisper Systems kommuniziert. Schliesslich aktiviert man so ein Feature nicht über Nacht für ein paar hundert Millionen Nutzer).
@eckcon
Es ist recht trivial zu prüfen ob End-to-End eingesetzt wird (einfach mal Wireshark anwerfen und Pakte sniffen). Oder die Server Parameter checken.
Den Artikel hast du auch nicht richtig gelesen. Mach das mal. Das Gerät war nicht gerootet. Ausserdem muss man eine verschlüsselte Nachricht nicht unverschlüsselt in einer Datenbank speichern um sie dann am Bildschirm anzuzeigen. Das ist Unsinn.
Ok, so viele sind es nun auch wieder nicht. Mir kam es vielleicht mehr vor, als ich in Texten von dir gewohnt bin.
Aber jetzt Butter bei die Fische, wenn du mich schon über Twitter daran erinnerst. 😉
„Er nutzte die Gunst der Stunde(,) um noch einmal darauf hinzuweisen“
„Und ich frage mich derweil bei all dem Rummel: (ob das s groß muss, weiß ich nicht sicher) (S)ind eigentlich jemals Einbrüche bei Telegram, What(s)App, Hangouts oder dem Facebook Messenger durchgeführt wurden (worden, wahlweise komplett andere Formulierung), welche als Folge das Veröffentlichen von privaten Nachrichten zur Folge hatten?“
Und ich frage mich derweil bei all dem Rummel: Wurden eigentlich jemals Einbrüche bei Telegram, WhatsApp, Hangouts oder dem Facebook Messenger durchgeführt, welche die Veröffentlichung von privaten Nachrichten zur Folge hatten?
Das ganze war übrigens nicht böse gemeint. Wie gesagt, ist mir bei deinen Texten bisher wirklich selten beim ersten Lesen aufgefallen. Und ein vermeintlicher Fehler war mein Fehler beim Lesen.