1. Foren
  2. Kommentare
  3. OpenSource-Forum
  4. Alle Kommentare zum Artikel
  5. › Krypto-Messenger: Signal…

Ist Signal eigentlich mittlerweile wieder vertrauenswürdig?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Ist Signal eigentlich mittlerweile wieder vertrauenswürdig?

    Autor: TurbinenBewunderer 11.08.21 - 13:30

    Die hatten doch mal ihre Server Software close sources gemacht oder? Ich kann mir das nur damit erklären, dass da irgend jemand an Metadaten interessiert ist.

  2. Re: Ist Signal eigentlich mittlerweile wieder vertrauenswürdig?

    Autor: honk 11.08.21 - 13:47

    Ob Du Signal vertraust, musst Du schon selber entscheiden, bei einem zentralen Server kann man nie wissen, was da wirklich läuft, und ob es dem veröffentlichten Quellcode entspricht.

    Der Servercode ist aber öffentlich: [gnulinux.ch]

    Ich persönlich finde die Signal Stiftung relativ vertrauenswürdig, das gute ist aber, das Verschlüsselung und Übertragungsprotokoll bei Signal offen sind, und nur sehr wenig Metadaten überhaupt anfallen. Insofern ist es auch nicht so viel Vertrauen in den Server nötig, da der Informationsgehalt von logs doch sehr begrenzt ist.

  3. Re: Ist Signal eigentlich mittlerweile wieder vertrauenswürdig?

    Autor: stuempel 11.08.21 - 14:14

    honk schrieb:
    --------------------------------------------------------------------------------
    > Ob Du Signal vertraust, musst Du schon selber entscheiden, bei einem
    > zentralen Server kann man nie wissen, was da wirklich läuft, und ob es dem
    > veröffentlichten Quellcode entspricht.

    Genau. Und deswegen ist die Kritik diesbezüglich an Telegram auch lächerlich. Zumal ich als Nutzer:in bei Signal gezwungen bin, deren App zu nutzen, bei der ich nicht weiß, ob sie mit dem veröffentlichten Quellcode kompiliert wurde. Und jene App gibt es nicht einmal im F-Droid-Store.

    > Der Servercode ist aber öffentlich: gnulinux.ch

    Es war aber tatsächlich so, dass man sich über Monate trotz lautstarker Kritik geweigert hat, den aktuellen Quellcode bereitzustellen.

  4. Re: Ist Signal eigentlich mittlerweile wieder vertrauenswürdig?

    Autor: _BJ_ 11.08.21 - 14:27

    Die apk builds sind reproducible:
    https://signal.org/blog/reproducible-android/

    Telegram gibt es ganz andere Kritipunkte aber das ist ein anderes Thema.

  5. Re: Ist Signal eigentlich mittlerweile wieder vertrauenswürdig?

    Autor: TurbinenBewunderer 11.08.21 - 14:43

    honk schrieb:
    --------------------------------------------------------------------------------
    > Der Servercode ist aber öffentlich: gnulinux.ch

    Oh, also haben sie den wieder veröffentlicht? Der war eine Zeit lang an den Pranger gestellt worden, da er wohl nicht mehr aktualisiert wurde.

  6. Re: Ist Signal eigentlich mittlerweile wieder vertrauenswürdig?

    Autor: TurbinenBewunderer 11.08.21 - 14:49

    PS: Irgend eine lustige Frau meinte, ich rede Signal hier einfach schlecht und bin Geheimagent für Whatsapp oder sowas lächerliches.

    Tatsächlich spende ich 3 Euro pro Monat an die Signal Foundation. Siehe hier:

    https://imgur.com/wnWNT2z

    Ich nutze hauptsächlich Signal, neben Whatsapp und hoffe, das es sich weiter verbreitet. Aber die Meldung mit dem Closed Source Server hat mich stutzig gemacht. Keine Frage, dass Amerika auf die Thematik ein grosses Auge drauf hat.

    PS: Ja ich gebe zu, das war eine verdammt faule Frage. Sollte aber auch Diskussionen anregen.



    1 mal bearbeitet, zuletzt am 11.08.21 14:50 durch TurbinenBewunderer.

  7. Re: Ist Signal eigentlich mittlerweile wieder vertrauenswürdig?

    Autor: honk 11.08.21 - 16:43

    stuempel schrieb:
    --------------------------------------------------------------------------------
    > honk schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ob Du Signal vertraust, musst Du schon selber entscheiden, bei einem
    > > zentralen Server kann man nie wissen, was da wirklich läuft, und ob es
    > dem
    > > veröffentlichten Quellcode entspricht.
    >
    > Genau. Und deswegen ist die Kritik diesbezüglich an Telegram auch
    > lächerlich.
    Nein, weil es bei Signal nicht entscheiden ist, dass dem Server vertraut werden kann. Telegram hat, was den Datenschutz angeht, ganz andere Baustellen.
    >Zumal ich als Nutzer:in bei Signal gezwungen bin, deren App zu
    > nutzen, bei der ich nicht weiß, ob sie mit dem veröffentlichten Quellcode
    > kompiliert wurde. Und jene App gibt es nicht einmal im F-Droid-Store.
    Wie schon _BJ_ geschrieben hat, sind die builds reproducible, das heißt das sichergestellt werden kann, das sie dem veröffentlichen Quellcode entsprechen. Das eine Verbreitung über den F-Droid store unterbunden wird, finde ich auch ärgerlich, auch wenn ich die Gründe für die restriktive Vorgehensweise ansatzweise nachvollziehen kann, ist aber kein Sicherheitsrisiko. Immerhin ist man jetzt nicht mehr auf den Playstore angewiesen, da man das akp auch direkt herunterladen kann.
    > > Der Servercode ist aber öffentlich: gnulinux.ch
    >
    > Es war aber tatsächlich so, dass man sich über Monate trotz lautstarker
    > Kritik geweigert hat, den aktuellen Quellcode bereitzustellen.
    Ja, das wird in der genannten Quelle ja auch bemängelt und von Seiten Signals wurde dazu inzwischen Stellung genommen und Besserung gelobt.

    Ich will Signal auch nicht in den Himmel loben, mich stört der Zwang zur Telefonnummer und es beleibt trotz offen Quellcode ein geschlossenes Ökosystem. Föderative System wie Matrix sind mir vom Grundsatz her sympathischer, haben aber dafür wieder Probleme mit den anfallenden Metadaten. Und vor allem sind sie komplizierter für den Endnutzer.

    Signal funktioniert so einfach wie Whatsapp, ich finde sofort meine Kontakte (wegen dem Rufnummernzwang) und ist der einige alternative Messenger, den ich wirklich in der Praxis nutzen kann, weil Signal inzwischen ein kritische Nutzerzahl erreicht hat. Und was den Datenschutz angeht, liegt Signal Meilen vor Whatsapp oder Telegram.

  8. Re: Ist Signal eigentlich mittlerweile wieder vertrauenswürdig?

    Autor: chithanh 12.08.21 - 08:38

    honk schrieb:
    --------------------------------------------------------------------------------
    > Der Servercode ist aber öffentlich: gnulinux.ch

    Nein, normalerweise nicht. Signal-Gründer Moxie Marlinspike hat im ensprechenden Bug-Report zugegeben, dass der Server-Code in deren Produktionssystemen regelmäßig nicht mit dem öffentlichen auf GitHub übereinstimmt. Als Grund wird angegeben, dass sie ihre Anti-Spam-Maßnahmen nicht verraten wollen.

    https://github.com/signalapp/Signal-Android/issues/11101#issuecomment-815400676

  9. Re: Ist Signal eigentlich mittlerweile wieder vertrauenswürdig?

    Autor: Keep The Focus 12.08.21 - 09:29

    > Ich nutze hauptsächlich Signal, neben Whatsapp und hoffe, das es sich weiter verbreitet.

    Bitte nicht, wir brauchen nicht noch einen Walled Garden, der das Teilen von Telefonnummern, und das Benutzen einer bestimmten App und Server erzwingt.

  10. Re: Ist Signal eigentlich mittlerweile wieder vertrauenswürdig?

    Autor: Kein Kostverächter 12.08.21 - 16:31

    Bei Signal werden keine Telefonnummern geteilt. Es werden nur Hashes verwendet. Die sind nicht wieder zurückrechenbar. Der Signalserver kennt nur die Benutzernamen und die Hashes der Nummern. Der Client kennt die Nummern aus dem Adressbuch zwar, schickt aber nur die Hashes an den Server. Anhand derer kann er Zuordnen, ob es zu der Nummer einen Signal-User gibt oder nicht - und zwar ohne die Nummer zu kennen.
    Mir wäre auch lieber, wenn Signal noch einen Tacken mehr offen wäre, es ist aber vom Konzept her das beste, was wir zur Zeit haben: Es wird von den Whatsapp-verwöhnten Normalusern akzeptiert, hat ein Metadaten-armes Prinzip, dank der reproduzierbaren Builds ist der Client vertrauenswürdig (daher weiß man, dass der Client die Telefonnummern nicht nach Hause schickt). Klar mag ich auch Matrix lieber, aber Anna und Otto Normaluser werden den nicht benutzen wollen.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    We provide AI Blockchain Cloud (ABC) enabled applications bringing Enterprise level synergies to vertically integrated business processes.

  11. Re: Ist Signal eigentlich mittlerweile wieder vertrauenswürdig?

    Autor: Keep The Focus 12.08.21 - 16:47

    > Bei Signal werden keine Telefonnummern geteilt.

    Falsch: jeder, der in irgendeiner Gruppe mit dir ist, bekommt sie


    > Es werden nur Hashes verwendet.
    > Der Signalserver kennt nur die Benutzernamen und die Hashes der Nummern.

    Hashes sind Telefonnummern, da man sie aus den Hashes berechnen kann


    > hat ein Metadaten-armes Prinzip,

    Ein Mythos, da alle Nachrichten über einen zentralen Server laufen und dadurch jederzeit entnommen werden kann wer mit wem kommuniziert.

    > Klar mag ich auch Matrix lieber, aber Anna und Otto Normaluser werden den nicht benutzen wollen.

    Wo kann man das nachlesen?

  12. Re: Ist Signal eigentlich mittlerweile wieder vertrauenswürdig?

    Autor: stuempel 12.08.21 - 17:00

    _BJ_ schrieb:
    --------------------------------------------------------------------------------
    > Die apk builds sind reproducible:
    > signal.org

    Danke für den Hinweis!

  13. Re: Ist Signal eigentlich mittlerweile wieder vertrauenswürdig?

    Autor: honk 12.08.21 - 18:16

    Kein Kostverächter schrieb:
    --------------------------------------------------------------------------------
    > Bei Signal werden keine Telefonnummern geteilt. Es werden nur Hashes
    > verwendet. Die sind nicht wieder zurückrechenbar.
    Das stimmt nicht ganz. Telefonnumern sind zu kurz und zu einfach (nur zahlen), die sind aus Hashes relativ leicht zurück zurechnen. Das weiß man auch bei Signal, und im netzt findet man auch ein Konzept, wie man das möglichst verhindern kann, ob das aber funktioniert und umgesetzt wurde, weiß ich nicht. Ist aber allemal besser, als die Nummern und den sonstigen Inhalt des Adressbuch im Klartext zu übertragen, wie es Whatsapp macht.

    > Klar mag ich auch Matrix lieber, aber Anna und Otto Normaluser
    > werden den nicht benutzen wollen.
    Was wohl auch daran liegt, das Signal den ein oder anderen Kompromiss zugunsten der Nutzerfreundlichkeit eingeht, wobei signal beiden Metadaten klar besser ist als Matrix.

  14. Re: Ist Signal eigentlich mittlerweile wieder vertrauenswürdig?

    Autor: honk 12.08.21 - 18:51

    Keep The Focus schrieb:
    --------------------------------------------------------------------------------
    > > Bei Signal werden keine Telefonnummern geteilt.
    >
    > Falsch: jeder, der in irgendeiner Gruppe mit dir ist, bekommt sie
    Das Stimmt, zumindest bei den neuen echten Gruppen, und das finde ich auch ungünstig. Allerdings ist es dadurch, das die Rufnummer auch verwendet wird, um Kontakte zu finden, ohnehin nicht sehr komfortable über Signal mit Menschen zu kommunizieren, denen man die eigene Rufnummer nicht geben will. Für mich ist das kein Problem, aber ich sehe auch, das es Fälle gibt wo das problematisch ist.

    > > Es werden nur Hashes verwendet.
    > > Der Signalserver kennt nur die Benutzernamen und die Hashes der Nummern.
    Nein, den Benutzernamen kennt der Signalserver meines Wissens nach nicht, der wird verschlüsselt übertragen.

    > Hashes sind Telefonnummern, da man sie aus den Hashes berechnen kann
    >
    > > hat ein Metadaten-armes Prinzip,
    >
    > Ein Mythos, da alle Nachrichten über einen zentralen Server laufen und
    > dadurch jederzeit entnommen werden kann wer mit wem kommuniziert.
    Nein, das ist kein Mythos. Der Server weiß nur, wer die Nachricht bekommen soll, aber nicht wer sie verschickt hat. Komplette Kommunikationsnetze lassen sich so nicht erfassen. Als einer der wenigen Messenger biete Signal glaubhafte Abstreitbarkeit (plausible deniability), d.h. es ist nicht möglich, eine versendete Nachricht einem bestimmten Benutzer zuzuordnen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. (Senior) Software-Entwickler Frontend / Design (w/m/d)
    con|energy AG, Essen
  2. Architect Data Center & Cloud (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
  3. Referatsleitung (w/m/d)
    Statistisches Bundesamt, Wiesbaden
  4. Datenbankconsultant
    TEAM GmbH, Paderborn

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. 3 Games kaufen, nur 2 bezahlen, LG OLED65C17LB 65 Zoll OLED + Xbox Series S für 1.699€)
  2. (u. a. XMAS Deals Woche 3: Tales of Arse für 39,99€, Warhammer Vermintide für 5,99€, Watch...
  3. 349,99€ Neonrot/Neonblau (lieferbar ab 14.12.), 359,99€ Weiß (ab Lager)


Haben wir etwas übersehen?

E-Mail an news@golem.de