Ich eröffne mal ein weiteres Thema, ich habe zwar schon etwas dazu gefunden, aber es ist alles auf verschiedene Threads verteilt.
Darum hier einfach mal die simple Frage an euch, welcher Messenger ist am sichersten was Privacy betrifft, no Log, dezentraler Server, wo stehen die Server, wurde schon Daten an Behörden rausgegeben usw, wie sieht es mit Meta Daten aus, wie gut ist die Verschlüsselung, Man in the Middle (wenn sowas überhaupt ein Thema bei P2P Messengern ist) usw
Ich werfe mal die Messenger
Threema,Element, Session, Briar in die Runde
Ich bin sehr gespannt welchen ihr empfehlen würdet und vorallem warum.
@phone-company keine Sorge deine Lizenz ist nicht verschwendet
Daten dürften alle Anbieter bei berechtigten Behördenanfragen herausgeben (sie müssen sich schließlich an die geltenden Gesetze halten). Die Unterschiede liegen vor allem dann darin, was der jeweilige Anbieter herausgeben kann.
Welche Anbieter man favorisiert liegt dann sehr im Auge des jeweiligen Betrachters.
Ich persönlich lege Wert auf Ende-zu-Ende-Verschlüsselung der Kommunikationsinhalte und Meta-Datenvermeidung und dieses gepaart mit einfacher Nutzbarkeit für nicht technisch versierte Personen. Meine bevorzugten Messenger sind daher derzeit Signal und Threema die hier aus meiner Sicht die besten Kompromisse darstellen.
Genau aus diesen Gründen habe ich mich auch für Signal entschieden. Außerdem ist auch nicht so ganz unwichtig, wer von den Freunden und der Familie den gleichen Messenger nutzt. Daher habe ich Signal gewählt.
Die objektiv technisch beste Lösung ist derzeit SimpleXChat. Alle anderen Messenger haben einen oder mehrere Probleme (keine Post-Quantum-Verschlüsselung, Telefonnummer-Zwang, zentrale Serverinfrastruktur, keine Metadatenvermeidung). Ich selbst nutze aber auch kein SimpleXChat mangels Kontakten.
SimpleXChat ist allerdings von der usablility nicht unbedingt zu empfehlen. U.A. können in Gruppenchats wohl Nachrichten in einer random Reihenfolge angezeigt werden (Bug, kein Feature).
Auch bei mir hat SimpleX keine Gesprächpartner gehabt. Außerdem hatte ich das Gefühl, dass er ziemlich am Akku zieht. Es würde mich aber interessieren welche Erfahrungen Andere hinsichtlich der Akkunutzung haben.
Sagen wir Mal in 99,9% der Fälle. Nur wenn ich z.B. bei Signal bei jeder Benachrichtigung „Der Schlüssel hat sich geändert, vermutlich neues Telefon“ den neuen Schlüssel auf einem anderen vertrauenswürdigen Kanal prüfe, erreiche ich Vertraulichkeit. Nur wer hat denn einen anderen vertrauenswürdigen Kanal zu jedem? Ist doch (fast) alles angreifbar. Wie verabrede ich mich dann noch zum persönlichen Treffen?
Mir ist auch schon aufgefallen, dass z.B. Signal diese Möglichkeit bietet. (Ich weiß nicht, wie es bei anderen Messengern aussieht. Außer Signal nutze ich nur noch SMS als „Messenger“ — abgesehen von E-Mail. Aber ich vermute, dass Signal nicht allein ist.) Ich habe dies mal mit ein paar Leuten in meinem direkten Umfeld, d.h. räumlicher Nähe, ausprobiert. Unter dieser Bedingung ist das einfach und kein Aufwand. Anders natürlich, wenn der Kommunikationspartner weiter weg lebt — oder gar ganz ohne bekannten Ort…
Aber möglich ist das eigentlich auf alle Fälle. Die Frage ist nur, zu welchem Preis (i.e. Aufwand)? So ist das halt mit komplexen Problemen und multikriterieller Optimierung: alles gleichzeitig ins Optimum zu ziehen ist meist nicht möglich oder zumindest nicht effizient möglich.
Wenn Du einen anderen Kommunikationspartner hast, dann gibt es i.d.R. immer einen zweiten Kanal, zumindest um sich zu verabreden. Ob die Verabredung selbst vertrauenswürdig ist, kann im Zweifel tatsächlich eben nicht so sein… und würde sich dann bei einem konkreten persönlichen Treffen — gegebenenfalls unter Schaden…! — bemerkbar machen. Es ist aber an sich bloß eine Frage des Preises (i.e. Aufwands).
Mal ehrlich: wenn Du nicht tatsächlich und ganz konkret jemanden initial im Alltag persönlich kennenlernst und dann — zumindest am Anfang — direkt mit ihm kommunizierst, wie willst Du denn bei elektronischer Kommunikation i.A. überhaupt Vertraulichkeit herstellen. Irgendeiner Instanz (i.w.S.) musst Du i.d.R. immer vertrauen. Und dabei fand ich „damals“ bei PGP/GPG das WoT ganz interessant und nett. Aber die initiale Hürde ist immer gegeben. Aber wenn ich meinen PGP/GPG Schlüssel z.B. von heise (z.B. Messestand unter Sichtkontrolle meines Personalausweises) oder BSI, DFN o.ä. (per elektronischem Personalausweis) signiert hätte, hätte das sicherlich eine gewisse Relevanz (anders als von — möglicherweise austauschbaren — Freunden und Arbeitskollegen ——— damals in meiner Zeit als wissenschaftlicher Mitarbeiter hatte ich meinen Schlüssel z.B. von hochrangigem akademischen Personal mit nachweislich guter Reputation signiert…)
Aber ja: die Mühe der Verifikation bei Signal u.ä. wird sich kaum einer machen. Und im Normalfall wird dies nicht einmal schlimm sein. Bis auf die entsprechenden Ausnahmen…!
Das halte ich für spekulativ. Wenn Du Opfer z.B. staatlicher Überwachung bist, dann werden die nicht einen sondern alle bekannten Kanäle betreffen. Chancen hast Du dann vielleicht, wenn Du möglichst viele Pseudonyme verwendest - aber wer macht das?
Meinen aktuellen Auftraggeber kenne ich nur „elektronisch“, ein persönliches Treffen hat noch nicht stattgefunden. Allerdings bezahlt er meine Rechnungen, das stellt auch Vertrauen her.
Richtig. Das streift jetzt was andere als Digitale Souveränität bezeichnen. Zumindest sollte man diese Instanzen kennen und bewusst wählen. Weniger sind besser…
Also ich nutze Messenger ja zumeist mit mir bekannten Personen im Privatumfeld. Da habe ich zumeist weitere Kommunikationskanäle um den Schlüssel zu vergleichen.
Ja alles ist angreifbar auf technischer Ebene und vor allem auf der Menschlichen.
Die Frage ist nur was aus dieser Erkenntnis folgt?
Verzichten wir auf Kommunikation komplett?
Nutzen wir einfach unverschlüsselte Kommunikationen weil wir ja Verschlüsselung nicht perfekt hinbekommen?
Kommunizieren wir einfach nicht mehr mit den armen Idioten die zu blöd sind saubere Verschlüsselung hinzubekommen, oder ihre eigenen perfekten System zu entwickeln, aufzusetzen und auch noch selbst zu betreiben und die auf Anbieterlösungen setzen müssen?
Warum sollte ich Dir @Joachim als Mail-Anbieter vertrauen, wenn ich beispielsweise mit jemanden aus Deiner Familie vertraulich kommunizieren möchte, die vermutlich Ihre Postfächer auf Deinem Server haben? Vielleicht ist es für meine Kommunikation wichtiger ich kann Dich durch Nutzung eines Messengers ausschließen, anstatt dass ich das Risiko eingehe, dass Du in meinen verschickten E-Mails an Deine Lieben schnüffelst?
Am Ende drehe wir uns in akademischen Diskussionen über die Maßnahmen zur Erreichung der perfekten Welt und lassen dabei all diejenigen zurück die eben nicht alles selbst machen können. Für diese Personengruppen sind aus meiner Sicht Messenger mit Ende-zu-Ende-Verschlüsselung zumindest ein Baustein in dem Schutzwall gegen Massenüberwachung und deshalb nicht schlechter als der Verzicht auf diese. Es ist nur eben keine Garantie gegen gerichtete Angriffe auf die eigene Person oder den Kommunikationspartner.
P. S. Irgendjemand hier der lieber http-Verbindungen zu Webseiten nutzt, da ja die dutzenden an CAs, Browser- und Betriebsystemhersteller und damit die Zertifikate für den Einsatz von https-Verbindungen manipulierbar sind? Oder reist ihr zu jedem Anbieter um Euch persönlich vor Ort den Fingerprint des aktuellen öffentlichen Schlüssel geben zu lassen und wenn ja, wie identifiziert Ihr eigentlich den Übergebenden des Zertifikats, dass dieser Euch kein falsches unterschiebt?
Hier ist die Kernfrage, wer die Zielgruppe ist. Für -salopp gesagt - einen Nerd-Zirkel sind 2 bis 4 super. Für Lieschen Müller eher nicht, die könnte sich aber am Preis (und vielleicht an der ungewohnten, aber nötigen Backup-Vorsoge) von 1 stoßen. Ich bevorzuge 1.
Dann steigt halt der Preis (Aufwand) — eventuell ins Unermessliche. Aber potentiell möglich sollte es sein.
Außerdem „Pseudonyme“: eine gewisse Realidentifikation sollte schon gegeben sein… Wie willst Du denn bei Kommunikation ausschließlich mit Pseudonymen (insbesondere auf der anderen Seite — Dich selbst kennst Du ja!) Vertraulichkeit herstellen, wenn Du nicht initial die andere Seite persönlich — aber eventuell mit Pseudonym — kennenlernst? Ansonsten wärst Du massiv von einem gewissen WoT abhängig (das man eventuell anzweifeln könnte!)
Äh, Du hast Du noch kurz zuvor oben Gegner wie „staatliche Überwachung“ und die entsprechenden Auswirkungen genannt. In solch einem Falle würde ich der hier geschilderten Beziehung ebenfalls nicht mehr vertrauen! Ganz bestimmt nicht!
Allerdings!
Aber ist doch interessant und unterhaltsam. Und vielleicht sogar erkenntnisreich…
Allerdings! gut!
Eben!
In solchen Fällen (2-4) könnte man auch spezielle proprietäre Lösungen vom Kaliber EncroChat in Erwägung ziehen. Da muss es nicht zwingend OSS sein, wenn denn die eigentlichen Ziele und Kriterien bei der Entwicklung und Implementation des Systems stimmen.
