Twitter: Verschlüsselte Direktnachrichten starten
Verschlüsselung innerhalb von Nachrichten-Apps ist schon lange Standard. WhatsApp, der Messenger von Meta, Signal, iMessage etc. verschlüsseln die Kommunikation schon länger, sodass niemand in euren Chat-Verlauf schauen kann. Twitter hat nun auch endlich nachgezogen und bietet das Ganze nach der Ankündigung von Musk nun an. Es gibt dabei aber einen Wermutstropfen zu schlucken, denn das Feature ist nur für Twitter-Blue-Abonnenten oder verifizierte Organisationen verfügbar. Schon traurig, dass man für so etwas Essenzielles Geld verlangt.
Beim Verschicken einer verschlüsselten Direktnachricht müssen Sender und Empfänger die neueste Twitter-App nutzen. Der Empfänger muss dem Sender außerdem entweder folgen, eine Nachricht an den Sender in der Vergangenheit verschickt haben oder eine DM-Anfrage akzeptiert haben. Ihr könnt außerdem keine verschlüsselte Nachricht an einen Twitter-User ohne Blue-Abo schicken. Die Verschlüsselung zieht zudem nur in 1:1-Chats und nicht in Gruppen-Konversationen ein, das soll aber bald ebenfalls unterstützt werden.
Wenn ihr mehr über die Funktion erfahren wollt, könnt ihr das ab sofort in einem separaten Hilfe-Artikel von Twitter nachlesen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Außerdem:
– No sync
– No group chats
– No attachments
– No timers
– Vulnerable to MITM
– No reporting (msg franking)
– No Forward Secrecy
– No Key Transparency
– Private keys are NOT erased after web logout
https://twitter.com/paulmillr/status/1656458479354224640?t=rslbu3M6_MzY-SeVrO_nMQ&s=19
der Messenger von Meta verschlüsselt Nachrichten nicht standardmäßig. … und auch nicht auf allen Plattformen.
Ob etwas irgendwie verschlüsselt wird ist ja gar nicht die interessante Frage, die interessante Frage ist ja: Wer hat den /die Schlüssel? Der Kunde/Nutzer oder der Plattformanbieter? Wenn es der Plattformanbieter ist, dann ist die angebotene Verschlüsselung so wertvoll wie ein Gespräch mit einer bestimmten Person in einem Raum, indem sich auch der Vermieter befindet.
Mit Verschlüsselung ist Ende zu Ende Verschlüsselung gemeint. … sonst wäre ja auch ssl, etc. alles „Verschlüsselung“. … würde man das also nicht sinnhaft, sondern bloß technisch deuten, wäre der Begriff vollkommen bedeutungslos. … Twitter wäre bei so einem Begriffsverständnis z.B. schon immer „verschlüsselt“.
Dann formuliere ich es nochmal anders: definiere mal das „Ende“ in E2EE. Das ist nicht immer der Nutzer. Gerade bei Enterprise Security wird bspw jede Verschlüsselung im Transport aufgebrochen und dem Device ein echtes Zertifikat vorgegaukelt, also valid E2EE, tatsächlich sitzt da aber die Enterprise Security dazwischen. Wirkliche E2EE mit dem End als Nutzer gibt es kommerziell kaum, denn der Anbieter läuft auch immer Gefahr, dass die Kunden das Device verlieren und dann ihre Nachrichten nicht mehr lesen können – also legt man den Schlüssel beim Anbieter ab, und er definiert sich als Ende. Bei den Hyperscalern bspw der Standard, wenn du Encryption wählst (provider based key, provider key vault etc). Und ja, SSL gilt als Verschlüsselung – denn was du mit Verschlüsselung meinst hängt ja von deinem definierten Angriffsvektor ab. Sind es Dritte oder der Anbieter?
Ich halte deinen Beitrag für eine Taktik, ein wichtiges Konzept gezielt mit irreführenden Scheinfragen zu zerreden.
Der Kontext ist hier allen klar. Es geht um private Direktnachrichten.
Wenn hier jemand in diesem Kontext von Ende zu Ende Verschlüsselung spricht ist mit den Enden natürlich ein oder mehrere Geräte gemeint, die vom Nutzer, nicht vom Betreiber kontrolliert werden.
Jemand der mit Ende zu Ende Verschlüsselung wirbt, aber dann einfach selbst das Ende ist, der lügt einfach in der Hoffnung, dass man ihn nicht erwischt. … oft wird dann ein apologetisches Narrativ um angeblich nicht anders implementierbare Backups, etc. aus dem Hut gezaubert.
> … also legt man den Schlüssel beim Anbieter ab, und er definiert sich als Ende …
Das ist so wie wenn eine Naschkatze gefragt wird, ob der Cookie aus der Küche verschwunden ist und die Naschkatze definiert daraufhin den eigenen Magen als „in der Küche“.
Es geht bei Ende zu Ende Verschlüsselung in unserem Kontext darum, dass Dritte (also der Dienstleister oder auch Behörden) nicht mitlesen können.
Bei unternehmenseigener Überwachung gibt es, wie du richtig schreibst, unter Umständen keine vom Nutzer kontrollierten Geräte. Das ändert allerdings überhaupt nichts am Konzept.
> Und ja, SSL gilt als Verschlüsselung – denn was du mit Verschlüsselung meinst hängt ja von deinem definierten Angriffsvektor ab. Sind es Dritte oder der Anbieter?
Natürlich sind Anbieter auch Dritte. Wenn du dich mit einem Freund auf einem Acker unterhältst ist der Bauer, der den Acker gepachtet hat auch ein Dritter. Schau in die Liste der Gesprächsteilnehmer. Wer dort nicht aufgezählt ist, ist ein Dritter.
Wir dürfen nicht aus den Augen verlieren: Wir wissen ganz genau worum es hier geht. Es wäre echt ein klassischer Musk, wenn er verschlüsselte PNs angekündigt hätte und dann einen Tweet raus haut „hohoo, ssl ist auch verschlüsselung. feature delivered!“. 😀
Naja, die Frage nach E2E ist schon relevant. Denn als Nutzer sehe ich den Schlüssel nicht und verwalte ihn auch nicht von Hand. D.h. es gibt irgendeine Form von Abstraktion.
Ist es wie bei WhatsApp und der Schlüssel hängt am Gerät und ich kann auf ein neues Gerät wechseln, erhalte aber dann entsprechende Info im Chat, dass das Endgerät geändert wurde? Oder wird der Schlüssel einfach nur mit dem Login-Passwort verschlüsselt, welches je nach Implementierung relativ leicht abgreifbar für die Serverbetreiber sein kann? Oder verwaltet Twitter gar den Schlüssel der E2E-Session für mich?
Ohne Whitepaper zur Implementierung ist E2E nichts wert.
Ich hab ja nicht behauptet, jede beliebige Implementation einer E2E Verschlüsselung sei gleich geeignet – das wär ja albern.
Mein Punkt war nur, dass das grundsätzliche Prinzip verschlüsselter Kommunikation überhaupt nicht strittig ist. .. und auch ganz sicher nicht inhaltlich beliebig. Wenn jemand mit verschlüsselter Kommunikation wirbt, ist bekannt, welche Erwartung damit erzeugt wird.
Nein, wenn dem so wäre, dann wären die ganzen Modelle wie HYOK, BYOC, Cutomer-key, Provider key-vault ja nicht da.