Telegram: Pavel Durov erklärt, warum es keine Updates auf der iOS-Plattform gibt
In einem aktuellen Beitrag wiesen wir auf eine Information seitens Telegram hin, die sich mit der DSGVO und der Tatsache beschäftigt, dass es derzeit keine Updates für Telegram auf der iOS-Plattform gibt. Nachdem Telegram X schon aus dem App Store in Deutschland verschwand, warten viele Anwender auf Updates des Clients Telegram. Doch es gibt seit Mitte April keine. Nun gibt Gründer und Finanzier Pavel Durov ein Statement zum Thema über seinen Telegram-Kanal ab.
Leider funktionieren einige Telegramm-Funktionen, wie z.B. Sticker unter iOS 11.4, das gerade veröffentlicht wurde, nicht korrekt – obwohl wir dieses Problem vor Wochen behoben haben. Apple hat Telegram daran gehindert, seine iOS-Anwendungen weltweit zu aktualisieren, seit die russischen Behörden Apple angewiesen haben, Telegram aus dem App Store zu entfernen. Russland verbot Telegram auf seinem Territorium im April, weil wir uns geweigert haben, Entschlüsselungsschlüssel für die Kommunikation mit den russischen Sicherheitsbehörden zu teilen. Wir glauben, dass wir das einzig Mögliche getan haben, um das Recht unserer Nutzer auf Privatsphäre in einem unruhigen Land zu wahren. Leider hat sich Apple nicht auf unsere Seite gestellt. Während Russland nur 7% der Telegram-Benutzer ausmacht, beschränkt Apple seit Mitte April Updates für alle Telegram-Benutzer auf der ganzen Welt. Infolgedessen waren wir auch nicht in der Lage, die GDPR für unsere EU-Anwender bis zum 25. Mai 2018 vollständig einzuhalten. Wir setzen unsere Bemühungen zur Lösung der Situation fort und werden Sie auf dem Laufenden halten.
Bleibt zu hoffen, dass Telegram das irgendwie in den Griff bekommt. Telegram ist für viele Menschen nicht nur ein toller Messenger, um Belangloses auszutauschen, sondern eben auch Ort, um sich in Gruppen zu informieren. Dass Mitte 2018 die freie Information immer noch durch Zensur in einigen Ländern unterdrückt werden soll, will mir nicht in den Kopf. Das hat was von Mittelalter.
Dennoch – und das nur am Rande: Telegram (X) als Beta kann auch über einen Sideload auf iOS erfolgen, wobei man sicher erwähnen darf, dass eine Installation aus fremden Quellen – egal ob Android oder iOS – nicht immer ungefährlich ist.
Wenn Telegram tatsächlich Schlüssel hat, mit denen sie die Kommunikation ihrer Kunden entschlüsseln können, dann kann man von dem Dienst eh nur abraten, weil er inhärent unsicher ist. Nutzt lieber Signal, threema oder WhatsApp zur Kommunikation.
Nur so: Das hat Apple zum Beispiel bei iMessage generell.
Das ist falsch. Sofern du nicht nur trollst kann ich dir dieses Dokument empfehlen:
https://www.apple.com/business/docs/iOS_Security_Guide.pdf
Will ich eigentlich nicht. Habe diese Info hier aus https://www.grc.com/sn/sn-574.htm Under the „Key server and registration,“ and our listeners will – this will sound very familiar to people because it’s what I’ve been complaining about from the beginning: „iMessage key management uses a centralized directory server [they call] IDS which is operated by Apple. This server represents a single point of compromise for the iMessage system. Apple, and any attacker capable of compromising the server, can use this server to perform a man-in-the-middle attack and obtain complete decryption of iMessages. The current generation of iMessage clients do not provide any means for users to compare or verify the authenticity of keys received from the server.“
Just to pause for a second, remember, this is why, for example, I’m so bullish about Threema, or even Signal. Both of those give you explicit key management. Now, on the one hand, most users don’t want that. But if you actually care about the security of your communications, I mean, if, for you, security is more than just, oh, yeah, it’s secure, then iMessage doesn’t provide that because, as I’ve always said, they’re managing the keys. And if a third party manages the keys, and the third party can be subject to any kind of coercion, or bad employees, then you don’t actually have security. You have the feeling of security.
Das ist aber nicht wovon du oben gesprochen hast. Du meintest dass Apple generell Schlüssel hat um Nachrichten zu entschlüsseln. Die haben sie aber nicht. Im IDS liegen lediglich die öffentlichen Schlüssel der asymmetrischen Crypto. Die privaten Schlüssel verlassen das Gerät nicht. Siehe ab Seite 54 in dem Dokument oben.
Die theoretische Attacke von der er spricht ist nicht möglich. Mit den öffentlichen Schlüsseln die dort lagern kann keiner etwas anfangen. Um mitlesen zu können müsste Apple oder ein anderer MitM ein neues Gerät registrieren. Aber dann würden sich alle Geräte des Benutzers mit der Nachricht melden dass eine neues Gerät hinzugefügt wurde. Der Client muss nämlich für jeden Empfänger die Nachrichten separat verschlüsseln.
Ich dachte amerikanische Unternehmen müssten aufgrund irgendeiner Verordnung sowieso eine Möglichkeit bereithalten, mit der staatliche Nachrichtendienste Zugriff auf Daten erhalten.
Regierungsbehörden können per NSL Zugriff auf Nutzerdaten verlangen. Dazu brauchen sie keinen richterlichen Beschluss. Die Unternehmen müssen aber nur Metadaten rausrücken, keine Inhalte. Ausserdem müssen sie Stillschweigen über den NSL bewahren.
https://de.wikipedia.org/wiki/National_Security_Letter
Mit richterlichem Beschluss können Behörden dann die Inhalte der Nutzerdaten verlangen und die Unternehmen dürfen die betreffenden Personen auch darüber informieren.
Aber wenn die Daten Ende-zu-Ende verschlüsselt werden hält das Unternehmen ja keine Daten vor die sie rausrücken können. Aus dem Grund hat das FBI im San Bernardino-Fall versucht, einen Präzedenzfall anzustrengen um Apple zu einer Backdoor zu zwingen. Obwohl es sich in dem Fall um ein Gerät ohne Secure Enclave handelte. Für diese gibt es mehrere Methoden zum Knacken.
Danke für deine Ausführungen.
Das schließt doch aber nicht aus, dass es sich eben um gar keine E2E-Verschlüsselung handelt, und/oder eine Backdoor bereits implementiert ist.
Soweit ich mich erinnere gibt es Berichte von derartigem Drängen seitens der Nachrichtendienste. (Mir fällt da Microsoft und Herr Torvalds ein). Ob die stimmen, können wir natürlich nicht verifizieren.
Und nichts wäre größer als der Imageschaden, den Apple erleiden würde, würde das herauskommen, und zukünftig wäre diese potenzielle Quelle auch versiegt. Ein höchst werbewirksamer Gerichtsprozess hat hingegen die gegenteilige Wirkung.
Es ist zudem nicht das erste Mal, dass Nachrichtendienste lieber auf eine rechtskräftige Verurteilung verzichten als eine Sicherheitslücke offenzulegen, ohne natürlich zu wissen, ob die jetzt gefunden, oder absichtlich eingebaut wurde.
All das ist natürlich nur Spekulation, aber nach den ungeheuerlichen Vorkommnissen der letzten Jahre (bspw. NSA) gehe ich vorsichtshalber lieber vom denkbar schlechtesten Szenario aus, zumindest was IT-Sicherheit angeht.
Man kann sich in den Traffic einklinken, feststellen ob es sich um E2E handelt und auch sehen wie die Implementierung aussieht, welche Requests und Queries an welche Server gehen und was dann verschickt wird.
Die erste Anfrage besteht aus zwei Zertifikaten und einer Nonce mit Zeitstempel.
Der Server meldet sich dann mit den öffentlichen Schlüsseln des Empfängers und einem oder mehren Push-Token, für jedes Gerät eins (von Apple serverseitig generiert, wird benötigt um eine Nachricht an ein anderes Gerät zu schicken).
Die eigentliche Nachricht ist eine binäre Plist bestehend aus der Nachricht (verschlüsselt mit dem öffentlichen RSA Schlüssel des Empfängers und signiert mit dem privaten ECDSA „Schlüssel“ des Senders), dem Push-Token, Adressen von Sender und Empfänger, einer 128 bit langen einzigartigen ID und mehr.
Es wird ja immer behauptet dass man bei Closed Source nicht nachvollziehen kann was passiert. Aber das stimmt so nicht.
Ohne einen Blick in den Quellcode von iOS zu werfen kann man nicht prüfen, ob Apple die Nachrichten nicht doch noch mit einem weiteren Key verschlüsselt, oder ob der verwendete Key nicht doch an irgendeiner Stelle an Apple übermittelt wird.
Vertrauen ist gut, Kontrolle ist besser. Und letztere im konkreten Fall nicht möglich.
Natürlich hat die App den Entschlüsselungsschlüssel. Anders geht es nicht. Natürlich bestünde jederzeit die Möglichkeit, dass die App den Schlüssel (z.B. wiederum verschlüsselt) leakt. So funktioniert Kryptographie und Software …
Das die App den Schlüssel haben muss ist allen sicherlich klar, es ging doch eher um die Frage, ob dieser auf den Servern von Apple und damit potenziell auch in den Händen von staatlichen Akteuren liegt.
WhatsApp, super ! Ich kann auf jedem Android gerät ein Backup von Whatsapp machen, die Datei dann vom Dateisystem auf ein anderes Smartphone kopieren und schon habe ich alle Deine Nachrichten. Ohne Passwort o.ä. Ist echt Sicher !
Telegramm hätte sicher die Möglichkeit, da die Kommunikatin nur in Geheimen Chats Ende-zu-Ende verschlüsselt wird. Deswegen muss man die nicht unbedingt meiden. WA sollte man da schon eher meiden, sie versprechen zwar E2E VErschlüsselung, aber am Ende gehören sie nunmal zu FB. Und sie wollen wohl zukünftig Werbung anzeigen, ich weiß nicht ob dann die Sicherheit der Nachrichten überhaupt noch gewährleistet werden kann.
Signal und Threma sind ja schön und gut, insbesondere Signal, kommt von denen doch die aktuell beste Verschlüsselung für Instant Messenger. Aber sie haben ganz entscheidende Nachteile; es nutzt sie einfach keine Sau. Außerdem ist der Funktionsumfang maximal rudimentär, gerade im Vergleich zu Telegramm.
Von daher, solange es nicht möglich ist, den vollen Funktionsumfang von Telegramm auch mit E2E Verschlüsselung umzusetzen, bleibt Telegramm der einzig brauchbare Messenger, der zum einen Sicher ist, mit dem man sich aber nicht quasi auf eine Ebene mit SMS begibt: kann nichts, nutzt keiner, will keiner Nutzen weil kann nichts
Ja gut, aber Telegram nutzen ja noch weniger Leute als z.B. Threema.
Das bezweifle ich. Gibt es dazu Aussagen oder Fakten?
Woot? Die meisten meiner Freunde haben Threema wieder deinstalliert, weil es niemand nutzt. Ich habe dort genau 2 Kontakte und ~50 bei Telegram
falsch. Ich kenne absolut niemanden der Threema nutzt und nur einen der Signal nutzt, bei Telegram sind es mehr als genug. Außerdem rauchst du nur mal nach Nutzerzahlen zu googlen um zu wissen dass das bullshit ist.
Bei Threema waren es im Januar 4,5 Mio laut statista, zu Signal lässt sich nichts finden. Bei Telegram gibt Wikipedia 150-200 Mio monatlich aktive Nutzer an…
Signal und Threema ja, aber WhatsApp als Vergleich für einen sicheren Messenger, really!? Der ist durch Facebook und die US-Behörden ja noch schlimmer als es die Russen sind.
WhatsApp nutzt sowohl für one-on-one Chats als auch für Gruppenchats die gleiche End-2-End-Verschlüsselung wie Signal (ist ja auch vom gleichen Entwickler). Die Metadaten sind extrahierbar, und das ist Scheiße, aber der Inhalt der Chats ist sicher. Deswegen ja auch die von mir genannte Reihenfolge: Signal (keine Metadatenspeicherung), Threema (ebenfalls keine Metadatenspeicherung), WhatsApp (Inhalte sind sicher, aber die Metadaten nicht). Wenn man sich dann überlegt, wo die Leute sind, mit denen man eventuell kommunizieren will, bleibt einem nur, diese dazu zu bewegen, Signal oder Threema zu nutzen – oder man beschränkt sich halt auf WhatsApp, wenn man weiß, was man sich damit zusätzlich einkauft.
Wer im Apple-Ökosystem ist, kann natürlich den Chat-Client von Apple nutzen, aber auch dort werden Metadaten gesammelt.
Telegram unterstützt keine End-2-End-Verschlüsselten Gruppenchats. Richtiges End-2-End muss eingeschaltet werden (secret-chat), viele werden das nicht wissen und verlassen sich auf den normalen Modus – und die Chats kann Telegram entschlüsseln.
WhatsApp macht schon sehr vieles sehr richtig – leider nicht das mit den Metadaten.
Zumindest will sich WA die Verschlüsselung von Signal eingebaut haben lassen, bewiesen, dass keine Hintertür mitverbaut wurde ist da nichts. Und da WA nunmal zu FB gehört und FB nunmal alles tut um an möglichst viele Daten zu kommen kann man WA nunmal nicht als praktisch Sicher ansehen.
Telegram gehört wenigstens nicht zu FB und das Verbot in Iran und Russland beweist ja schon, dass die Verschlüsselung gut genug ist. Von daher ist es grundsätzlich WA vorzuziehen.
Bei Telegram weiß man woran man ist, bei WA weiß man nur, dass man ständig mit überflüssigen Clickbait-Benachrichtigungen und Spam genervt wird und FB Werbung einbinden will, was auf jeden Fall Einfallstor wäre, um Nachrichteninhalte abzugreifen.
Die Russen wieder, hab mich damals schon aufgeregt. Als die das da verboten haben. Und bei sowas machen wir ne WM ? Da sollte man nicht hingehen. Und der DFB und wie die in den anderen Ländern heißen, sollten auch mal überlegen, ob es gut ist an einer WM teilzunehmen, wo das Gastgeberland die Freiheits- und Menschenrechte mit Füßen tritt.
Ich bin schon länger auf Telegramm umgestiegen.. Seit dem man ja weiß was Fratzenbuch mit WhatsApp macht
Es soll doch eine WM in Quatar stattfinden…ich weiß nicht ob das so viel besser wäre
Dein „Beitrag“ strotzt schon wieder von Verallgemeinerungen, noch dazu stellt sich die Frage, ob „wir“, wer auch immer damit gemeint ist, oder der DFB tatsächlich eine moralische Instanz sind, die sich mit solchen Fragestellungen überhaupt auseinandersetzen könnten.
Das ist der Nachteil von geschlossenen Systemen wie iOS. Oft überwiegt zwar die Sicherheit für unerfahrene Anwender. Aber in solchen Fällen ist man dem „Gatekeeper“ Apple und seiner Interpretation von freiem Zugang zu Informationen ein Stück weit ausgeliefert. Es sind nicht nur die autoriären Systeme, die der Zensur Vorschub leisten, sondern auch Konzerne wie Apple, die sich solchen Einschränkungen offenbar beugen.
Apple ist unterwürfiger Erfüllungsgehilfe für die Zensur in totalitären Staaten. Machen sie ja auch in anderen Ländern wie z.B. China.
Apple iOS ist der Traum eines jeden Diktators. Mit Android ist so eine Zensur nicht zu machen, weil man von Android nicht zum App Store gezwungen wird wie bei Apple. Das ist halt einer der Nachteile, wenn ein totalitärer Gästekeeper wie Apple das System kontrolliert und zensiert.
Also wenn ich morgens besoffen nach Hause komme dann lege ich mich gleich ins Bett.
Das gleiche Statement gibt’s in der FAQ schon länger. Hier im Artikel auch wird nur die halbe Geschichte erzählt.
Russland hat Apple, Google und APK Mirror aufgefordert, die App zu entfernen, und befindet sich zur Zeit mit allen dreien in Gesprächen. Zusätzlich wurde von Apple verlangt, keine Telegram Push Notifications zu verschicken, und hat mit Konsequenzen für den Dienst gedroht die alle iOS-Nutzer treffen würde.
https://wccftech.com/russia-demands-apple-blocking-telegram/
Danke für die weiteren Infos!