Signal Messenger: Krypto-Integration könnte E2E-Verschlüsselung das Genick brechen

Im April des vergangenen Jahres informierten wir darüber, dass Signal eine Bezahlmöglichkeit für Nutzer aus Großbritannien in der Beta eingeführt hat. Hierbei handelt es sich um ein Peer-to-Peer-Zahlungssystem, derzeit ausschließlich MobileCoin mit der Währung MOB. Signal Payments mache es einfach, ein MobileCoin-Wallet mit Signal zu verknüpfen, sodass man zukünftig daran denken könnte, Geld in Form der Kryptowährung an Freunde und Familie zu senden.

Von der Idee, ein anonymes Krypto-Zahlsystem in einen Messenger zu integrieren, der an sich auf eine Ende-zu-Ende-Verschlüsselung (E2E) setzt, ist aber bei Weitem nicht jeder begeistert. Genau jene Kombination, also Ende-zu-Ende-Verschlüsselung im Messaging und eine Kryptowährung mit Datenschutzfunktionen, die dafür sorgen, dass alle Transaktionen anonym bleiben, könnte zum großen Problem werden. Denn wo anonymisierte Zahlungen stattfinden können, sind Kriminelle meist nicht weit. Und wo Kriminalität vermutet wird, könnten Regulierungsbehörden das Ende der E2E-Verschlüsselung erwirken.

Auch in der EU gebe es Bemühungen, die Verschlüsselung einzuschränken oder ganz abzuschaffen. In Indien versuchte die Regierung laut The Verge bereits, Regeln einzuführen, die vorschreiben würden, dass alle im Internet verschickten Nachrichten „rückverfolgbar“ sein müssten. Wodurch die Verschlüsselung effektiv gebrochen würde. Alles kann, nichts muss. Immerhin könnte das Team hinter Signal auch immer noch gegensteuern. Die genannten Bedenken kann ich persönlich allerdings gut nachvollziehen.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Nordlicht, Ehemann und Vater. Technik-verliebt und lebt fürs Bloggen. Außerdem: PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog / Mastodon

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

32 Kommentare

  1. Grumpy Niffler says:

    Ich bin ohnehin kein Fan von EierlegendeWollmilchSau-Apps. Eine App sollte ein klar definiertes Nutzungsszenario haben und idealerweise auch nur die Daten erheben, die für diesen Zweck notwendig sind. (jaja ich weiß, Wunschtraum) Insbesondere wenn es sich um Apps handelt, die einen Schwerpunkt auf Datensicherheit und Vertraulichkeit legen.
    Gerade in der Kombination von Messenger-Dienst (persönliche Beziehungen) und Bezahl-Dienst (finanzielle Beziehungen) ergibt sich ein ziemlich vollständiges und damit auch für staatliche und private Akteure enorm wertvolles Profil einer Person.
    Für gute, einfache (und idealerweise anonyme) Peer-to-peer Zahlungen gibt es mE definitiv Bedarf, aber ich denke es ist der falsche Weg, das an einen Messenger zu koppeln.
    Finanzdienstleister sind reguliert und müssen nach dem Know-your-customer Prinzip in vielen Fällen eine Verifizierung ihrer Nutzer durchführen um legal operieren zu können – das ist grundsätzlich auch richtig um Geldwäsche und Steuerbetrug zu verhindern. Aber gerade deshalb sollte das nicht an einem Ort passieren, an dem darüber hinaus auch viele andere persönliche Daten und Beziehungen hinterlegt sind.

  2. Tjo, das Argument „das könnte auch von kriminellen genutzt werden“ wird ja universell angewendet. Sollte es irgendwann mal , in ferner Zukunft, möglich sein Gedanken auszulesen, dann gute Nacht. Mit etwas Glück erlebe ich das nicht mehr.

  3. OhneMoosNixLos says:

    Deshalb XMPP via Conversations (Android) und via https://dino.im (Linux/*BSD).
    Alternativ Matrix.

    Beides aufs Wesentliche reduziert.

    • Weshalb genau? Erreiche da keinen meiner Signal-Kontakte, Geld kann ich darüber auch nicht senden, kein E2E und dem Server muss ich genauso trauen…

      • Ah, sehe gerade. Kann immerhin XEP-0384, XEP-0027 kann man ja vergessen…

      • OhneKneteKeineFete says:

        „[…] Erreiche da keinen meiner Signal-Kontakte […]“
        Richtig, mit einer Handynummer erreiche ich sie auch nicht via E-Mail.

        „[…] Geld kann ich darüber auch nicht senden […]“
        Deshalb schrieb ich auch, dass diese Protokolle aufs Wesentliche reduziert seien.

        „[…] kein E2E […]“
        Bei XMPP nutze ich OMEMO, aber das hast du ja bereits selbst verbessert.

        „[…] dem Server muss ich genauso trauen…“
        Die Metadaten werden dem Server / den Servern anvertraut. Und zumindest via https://prosody.im kann jeder auch seinen eigenen Server ins Netz stellen. Alternativ mit ejabberd.

    • Leider ist das einfach lebensfremd. Niemand verwendet das und mit Sheldon Cooper und seinen Freunden zu schreiben, reicht den meisten nicht. Gerade XMPP ist alles andere als einfach im Handling, wenn manche Server bestimmte Funktionen unterstützen und andere wiederum nicht. Die meisten sind schon nicht zu alternativen zu bewegen, die Whatsapp sehr ähnlich sind, aber dieser Nerd Messenger catchen leider nicht.

  4. Hans Mayer says:

    Sehe ich genauso, das ist quatsch und sollte unterlassen werden.

    • the customer says:

      Dann also doch Thereema als Alternative. Denn das Schweizer Unternehmen ist auf komische Finanzierung nicht angewiesen, werden sie sich mittlerweile von der Schweizer Armee finanziert.

      Es könnte also sein, dass Signal dem eigenen Erfolg zum Opfer fällt.

      • Grundsätzlich ja zu Threema, aber: Ich finde es ja schon interessant, wie gewisse Nachrichten missinterpretiert werden. Die Schweizer Armee hat lediglich eine starke Empfehlung/Pflicht herausgegeben, Threema statt z.B. Whatsapp zu verwenden. Dies betrifft vor allem Angehörige der Milizarmee. Die 4.- Franken für den Download der App werden dem Nutzer zurückerstattet. Bundesangestellte verwendeten bereits bisher Threema Work. Man könnte also somit höchstens sagen, Threema wird nun auch von der Schweizer Armee MITfinanziert. Ein grösserer Anteil der Finanzierung von Threema dürften aber die zahlreichen Firmen, die Threema Work verwenden, ausmachen.

  5. Mr. Sarkasmus says:

    Mit Bargeld würde das nicht passieren.

  6. Schuster bleib bei deinen Leisten. Ein Messenger soll für Nachrichten sein und nicht ne eierlegende Wollmilchsau.

    • Ich sehe das auch so wie du. Es scheint aber schon länger einen Trend für Zahlungen im Messenger zu geben, den ich bisher nicht wahrnehmen wollte. WhatsApp macht das seit 2018 in Indien. In der neuen beta Version scheint eine Bezahlfunktion schon im Code vorbereitet zu sein. Vielleicht soll damit in bestimmten Ländern eine höhere Kundenbindung erreicht werden. Anders kann ich es mir nicht wirklich erklären.

      • Grumpy Niffler says:

        WeChat hat damit angefangen und in China immensen Erfolg. Ich denke, da versuchen einfach viele Anzuknüpfen. Zumal man mit Messengern nicht wirklich viel Geld verdienen kann – ein paar Einnahmen aus Transaktionsgebühren kämen da mehr als gelegen.

      • the customer says:

        Eher ein großer Umsatz. Denn selbst wenn man nur 0.01% Gebühren erhebt, das Tool aber von 1mrd Menschen genutzt wird, kommt da schon einiges zusammen.

        Siehe PayPal, Visa, MasterCard etc. Kleinvieh mach Riesenhaufen.

    • Wenn ich doch bereits Text, Bilder, Dateien verschicken kann, macht es doch Sinn, auch Geld verschicken kann. Unterschiedliche Accounts für jede Form von Instant sharing die man sonst hätte wäre doch Mist.

  7. Richard Rosner says:

    Sollen die Regulierungsbehörden doch versuchen, E2EE zu verbieten. Sie werden schon fertig genug merken, dass das Gott sei Dank völlig unmöglich ist. Dazu müsste man schon einen auf China machen, jeglichen Netzwerkverkehr analysieren und alles was sie nicht lesen können blockieren. Aber solange zb das Grundrecht auf Briefgeheimnis existiert, wird es wohl unmöglich sein, damit für dem BVerfG durchzukommen. Eher sollte man alle Politiker, die so etwas verwerfliches Fordern Mal öffentlich listen und sich der Verfassungsschutz Mal um die kümmern. Das ist halt schon ganz klar ein gezielter Angriff auf die Grundpfeiler der Demokratie, entsprechende Politiker sollten nie wieder bei einer Wahl auch nur eine einzige Stimme bekommen, da sie offensichtlich dem Land schaden wollen

    • Auf das Briefgeheimnis würde ich mich nicht zu sehr verlassen. Es gibt extra ein Gesetz, das regelt, unter welchen Umständen in dieses Grundrecht eingegriffen werden darf: https://de.wikipedia.org/wiki/Artikel_10-Gesetz

      Und gerade der Verfassungsschutz profitiert besonders von davon. Der gehört ja auch immer zu den Ersten, wenn Rufe nach einer Ausweitung des G10-Gesetzes laut werden. Da wird sich dann schon ein geeigneter Passus einbauen lassen, der auch Anbieter von Messengern zwingt, eine Möglichkeit zur Überwachung durch die Bedarfsträger einzubauen. Anbieter von Post- und Telekommunikationsdiensten unterliegen dieser Pflicht bereits.

      • Richard Rosner says:

        Ist halt nur technisch unmöglich. Sonst würde man nur die Sicherheit der eigenen Kommunikation gefährden. Und man kann gerne Gesetze machen, wie man will, aber das meiste an Software in dem Umfeld ist Open Source. Und die Projekte wird kein Staat der Welt nachhaltig manipulieren können. Ein solches Verbot von E2EE stört also nur diejenigen, die sich daran halten.

      • Korrekt, aber nur halb.
        Es geht um die Frage der Pauschalüberwachung vs. des genannten „unter Umständen“.

        e2e sollte also überall eingesetzt werden können denn ansonsten kann nirgends überhaupt von Briefgeheimnis gesprochen werden. denn jeder Betreiber könnte sonst mitlesen.

        das einzige was ich mir vorstellen kann ist, dass Metadaten zukünftig explizit gesetzlich ausgenommen werden. Telefon macht’s vor. Email fast schon ebenfalls.
        Anschließend steht Tor auf der Abschussliste, sowie Signal, Threema und Konsorten.

        • Ich denke, es geht sehr wohl auch um die Inhalte. Die Logik der Bedarfsträger besagt ja: „Wir können Telefonate abhören. Also müssen wir auch alle anderen Nachrichten mitlesen dürfen.“

          Hier steht tatsächlich die Gefahr im Raum, dass E2E-Verschlüsselung verboten oder zumindest per Gesetz erheblich geschwächt wird. Dann ständen die auch Betreiber von Signal vor der Wahl, ein solches Gesetz zu befolgen oder es Telegram gleichzutun und auf Gesetze zu pfeifen. Und soweit ich den Artikel verstanden habe, möchten sie das eigentlich nicht.

      • Schon irgendwie ironisch. Verfassungsschutz soll die Verfassung schützen fordert aber grundlegenden Zugriff auf alle Daten. Passt irgendwie nich zusammen.

    • Die Ergänzung einer Bezahlmethode eröffnet leider den Regulierungsbehörden ganz andere juristische Angriffsflächen.

      Wie der IT-Sicherheitsexperte Alex Stamos z.B. anmerkt, „wäre z.B. in den USA die verschlüsselte Kommunikation bislang durch die starken Regelungen zum Schutz der freien Rede sicher gewesen. Dieser Schutz gelte aber nicht für Bezahlvorgänge, hier gelten Gesetze, die lediglich durchgesetzt werden müssten.“

      https://www.heise.de/news/Offene-Flanke-in-den-Crypto-Wars-Bezahlfunktion-in-Signal-weltweit-verfuegbar-6321347.html

      Auch Bruce Schneider, welcher für Signal wirbt, warnte bereits vor diesen Schritt.

      „It’s that adding a cryptocurrency to an end-to-end encrypted app muddies the morality of the product, and invites all sorts of government investigative and regulatory meddling: by the IRS, the SEC, FinCEN, and probably the FBI.“

      https://www.schneier.com/blog/archives/2021/04/wtf-signal-adds-cryptocurrency-support.html

      • Richard Rosner says:

        1. wir sind hier nicht in den USA
        2. ich wage es sehr zu bezweifeln, dass Signal ein Problem damit hätte, im schlimmsten Fall den Unternehmenssitz zu wechseln. Irgendwie müssen sie ja heute verdienen. Werbung würde sie völlig unglaubwürdig machen, ebenso wenn sie zulassen würden, dass die Sicherheit von Signal geschwächt wird. Dann wären sie auf einen Schlag sämtliche Nutzer los. In Zweifelsfall werden sie die Schiene von Telegram fahren und Verbote aktiv untergraben. Denn wenn sie sich von sowas aufhalten lassen, können sie es auch gleich ganz sein lassen.

        Fakt ist nunmal, es ist vollkommen unmöglich E2EE zu schwächen oder gar zu verbieten. Man kann es nur für jene tun die dumm genug sind, sich daran zu halten. Alle anderen werden es erst Recht nutzen. Daher sollte es gar nicht erst versucht werden, man hat hierzulande nicht die Möglichkeiten wie in China

        • Das Beispiel ist doch nicht ausschließlich, auch für Deutschland gibt es Gesetze gegen Geldwäsche. Dies könnte ein Hebel für die EU darstellen, welche die Verschlüsselung für Messenger schwächen/aufweichen möchte, da die App keine Vorgaben etwa zur Nachverfolgbarkeit von Zahlvorgängen angeben kann.
          Dabei ist es auch unerheblich, ob der Firmensitz in einem anderen Land sitzt, wenn Zahlungen für ein Land angeboten werden, muss auch dessen nationales Gesetz befolgt werden.

          Wie erwähnt sind das meine Befürchtungen hinsichtlich Signal und das sage ich als Nutzer, der jeden Signal ans Herz legen möchte. Mir wäre es lieber, wenn es hier separate Apps geben würde.

          • Richard Rosner says:

            Lol. Deutschland über gegen Geldwäsche vorgehen. Der war gut.

            Und du meinst, da müsste man nicht zuvor bei diversen anderen Systemen anfangen, über die mit Cryptowährungen bezahlt wird? Dass man keine Transaktionen zurückverfolgen kann ist Sinn über Zweck der Sache. Das sollte von Bitcoin bis Dogecoin bei allen gegeben sein

            • Bitte beim eigentlichen Thema bleiben, es geht hier um die Aufweichung der Verschlüsselung, z.B. durch die Bemühungen durch die EU. Die Möglichkeit von Zahlungsvorgänge innerhalb eines Messengers unterliegen andere Regulierungen als ein reiner Messenger. Da kann z.B. die Geldwäsche ein guter Hebel sein um sein Ziel zur Aufweichung der Verschlüsselung durchsetzen zu können.

              • Richard Rosner says:

                Könnte, könnte, könnte. Wird aber nicht. Klar werden sie es versuchen, aber damit werden sie aber nicht weit kommen.

  8. Signal sollte man mit Kryptochef Detlef Granzow (perönlich) sprechen und eine VOLLBIT Verschlüsselung integrieren, da kann keine Regierung der Welt was gegen unternehmen! 🙂

  9. the customer says:

    Rückverfolgbarkeit und E2E Verschlüsselung schließen einander nicht aus. Die Meta Daten also wer mit wem wie oft kommuniziert und welche Datenmengen dabei ausgetauscht werden kann man jetzt schon erheben. Und verschlüsselt bleibt es dennoch. Verstehe also diesen Satz nicht im Bezug auf Indien.

  10. das problem ist eher, das die verwendung von kryptowährungen so stark fragmentiert wird, wenn ständig neue blockchain nur für eine einzelne app eingeführt werden.

    wäre sicher interessanter wenn beispielsweise zahlungen per lightning network eingeführt würden oder, falls die entsprechende blockchain skaliert, der transfer von sich bewährten stablecoins möglich würde.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.