Alles gut war auch das erste was ich gedacht hatte als ich das gelesen hatte.
Ende zu Ende verschlüsselt bedeutet das auf dem gegenüberliegenden Bereich gelesen werden kann. Wenn da nun also eine dementsprechende Software deine Chats mitliest dann hat man unter Umständen ein Problem. 
Ein Fork, der den Export der Bilder leicher macht, wäre aber echt mal praktisch. Nach dem Export sollte der Dateiname dem Empfangsdatum entsprechen oder ein „Aufnahmedatum“ in den Metadaten speichert sein.
Allerdings. Aber was will man von einem Messenger erwarten, der nur eine steinzeitliche Methode des Backups unterstützt.
Kann der Signal-Server eigentlich erkennen, ob der Client ein Fork ist?
Immerhin verweigert der Signal-Server ja die Zusammenarbeit mit (seiner Meinung nach) zu alten Clients. Könnte er auch die Zusammenarbeit mit Forks verweigern?
Ich mußte am 22.02.2024 einmal eine Mobilfunk Nummer angeben um mich bei Signal zu registrieren.
Privicacy sieht für mich anders aus und ist ein Grundpfeiler der Sicherheit.
Diese Instanz ist noch am selben Tag deinstalliert worden, die Nachrichten kommen heute noch an, auf der Matrix Brücke und beliebig vielen Geräten. Es gab kein Update, keine Trennung nichts.
Jetzt meine laienhafte Frage, was ist diese End zu End Verschlüsselung wert. Mein Vorgehen ist publik und dokumentiert, warum sollten Behörden nicht genau so handeln?
Ich schätze du hattest Signal installiert, um dann eine Matrix Brücke als „Gekoppeltes Gerät“ hinzuzufügen und dann ohne den Account zu löschen Signal deinstalliert? Die Funktion ist eigentlich für „Multi-Device“ Funktionalität gedacht, den Desktop Client z.B., und sollte von dir ausschließlich dafür verwendet werden.
Jedenfalls erhält so eine Brücke Zugriff auf (d)einen Signalaccount, Zugriff auf alle Chats in diesen Signalaccount und entschlüsselt durch das Schlüsselmaterial vom Koppelvorgang die Nachrichten, die für den Account eintrudeln.
Falls das anders ablief, könnte das ein Grund sein warum keine Trennung trotz inaktiver „Hauptapp“ erfolgt, wenn du einen Account vom Brückenbetreiber in einen Chat hinzugefügt hast?
Das deinstallieren der App selbst löscht ja nicht den Account. Die Software die noch mit dem Signalserver kommuniziert wird vom Betreiber der Matrix Brücke betrieben und wohl aktuell gehalten.
Das ist also keine Schwäche der Verschlüsselung, du musst das explizit erlauben, um sowas zu ermöglichen. Du fügst damit ein weiteres Ende zu deinem Ende der Ende-zu-Ende-Verschlüsselung hinzu. Genauso könntest du als Angreifer im Laufe der Schritte zum koppeln alle Chats abfotografieren oder per Backup mit dir mitnehmen.
Behören verwendeten diese Multi-Device Funktionalität tatsächlich schon in (anderen) Messengern um in Chats mitzulesen, indem sie unbemerkt das Gerät „entwendeten“, entsperrten und dann den Messenger ‚gekoppelt‘ haben.
Etwas sehr ähnliches ist bei Matrix ebenfalls möglich und teil des Protokolls.
Die Antwort auf deine Frage ist also: So viel, wie sie angepriesen wird. Die Verschlüsselung ist Stand der Technik für sichere Messenger.
Naja mit der Aussage Stand der Technik gebe ich mich nicht zufrieden, aber sicher liest du auch Nachrichten. Mach dir dein eigenes Bild.
Wenn jemand einen alternativen Client für Signal schreibt der explizit die Kommunikation unverschlüsselt und dann noch unsicher archiviert, dann entstehen die in der Presse beschriebenen Probleme.
Die Probleme haben dann nichts mit Signal und seiner Verschlüsselung zu tun.
Ist aber erschreckend wie diese Berichte dann eine Produkt wie Signal in Verruf bringen.
Naja, wie @Reklow schon erwähnt hat, geht’s in den Nachrichten um einen Signal-Fork (nicht um das Original): Unsicherer israelischer Signal-Klon TeleMessage
Ebenso wurde Signal schlecht geredet, weil jemand in eine vertraute Gruppe eine außenstehende Person eingeladen hat.
Da hieß es auch, „Signal ist wohl doch nicht so sicher“.
Sry was soll das bitte darstellen?
Weil jemand zu blöd ist beruflich und privat zu trennen ist doch Signal nicht schuld.
Ist schon sehr nervig wie schlechter Journalismus Dinge verdrehen kann und die Aufarbeiten dann aber keinen mehr interessiert.
Hauptsache die erste Schlagzeile hat Klicks generiert und Leute über nehmen dies dann, bis zum St. Nimmerleinstag.
Signal hat im Vergleich zu WhatsApp für mich keine wirklichen Vorteile …
Beide Systeme sind zentral und de facto geschlossene Systeme; der Firmensitz ist in den Vereinigten Staaten von Amerika (USA). Beide nutzen quasi die selbe Verschlüsselungstechnik und für die Registrierung wird ausschließlich die Telefonnummer verwendet. Auch nutzen beide IT-Infrastruktur in den USA, die Serversoftware ist nicht durchgängig einsehbar (nicht immer quelloffen), die Serversoftware kann unbemerkt vom Nutzer verändert werden (was bei Signal auch schon geschehen ist) und beide nutzen keine internationalen Standards, was einfache und echte Interoperabilität verhindert. Man ist sowohl bei WhatsApp als auch bei Signal von einer zentralen Stelle abhängig.
(wird im o.g. Artikel „Warum nicht Signal“ noch so ergänzt)
Welchen empfiehlst bzw nutzt du?
Es gibt aber einen ganz großen Unterschied der beiden Systeme
Signal implementiert eine Vielzahl an Funktionen um Metadaten der Kommunikation nicht anfallen zu lassen
WhatsApp muss hingegen den Kaufpreis amortisieren, sodass Meta mit Sicherheit die Metadaten der Kommunikationen und Beziehungen untereinander erhebt und auswertet.
Insofern nutze ich da doch lieber Signal als WhatsApp. Für alles weitere gibt es Mikes Messenger Matrix mit einem guten Überblick.
Conversations, Quicksy, Gajim … also den internationalen Chatstandard (XMPP). Nur da bekomme ich tatsächliche Freiheit/Unabhängigkeit und Interoperabilität.
Das stimmt nicht.
Ich denke es gibt noch mehr große Unterschiede als die unsichtbaren Metadaten. z.B:
Bei WhatsApp bekommt man jetzt Werbung - bei Signal nicht.
… aber das ändert nichts an den aufgeführten Parallelen.
Leider fehlt der Punkt Unabhängigkeit in vielen techniklastigen/ausschließlich auf „Sicherheit“ ausgelegten Messengervergleichen, wie der von Mike. Deshalb die Übersicht der Messengervergleiche, um sich nicht nur auf einen festzufahren.
Gerade in den heutigen Zeiten verstehe ich nicht, dass in allen Bereichen „Unabhängigkeit“ wichtig ist, nur bei Messengern wird das nicht erkannt. Denn technische Sicherheit ist lediglich ein Teil von Zukunftssicherheit.
Wie möchtest Du diesen Punkt denn definieren? Unabhängigkeit von was? Solange man nicht seinen eigenen Server beteibt, ist man immer abhängig vom Serverbetreiber, egal welches Sytem man nutzt. Und ich persönlich bin lieber von den Signal-Betreibern abhängig als von irgendwem, der einen XMPP-Server aufsetzt. 2x ausprobiert, beide Server gab es schon nach kurzer Zeit nicht mehr. Schöne Unabhängigkeit. Da ist es auch völlig egal, ob XMPP ein internationaler Standard ist oder nicht. Unabhängigkeit ist für den Normalnutzer überhaupt kein Kriterium.
Inzwischen betreibe ich mit anderen einen Server und es ist Matrix geworden. Selbst wenn wir den mal einstellen, können alle Nutzer problemlos woanders hin umziehen. Das könnte man unabhängig nennen.
Aber für technisch unbedarfte Leute ist immer noch Signal die erste Wahl.
Zumal man bei eigens gehosteten Server immer den Admin vertrauen muss.
Wer weiß was der damit anstellt.
Gerade auch im Bezug auf Metadaten.
Und wenn man bedenkt wie schwierig es ist Leute von WA auf ein anderen Messenger zu bringen, da sehe ich bei Lösungen wie Matrix und Co. noch mehr Probleme als bei Signal und Threema.
In Bezug auf Signal wie oben schon formuliert:
In erster Linie unabhängig von einem zentralen Anbieter. Und da gibt es zwischen Signal und WhatsApp keinen Unterschied.
Wenn man mit fremden XMPP-Dienstleistern nicht zufrieden ist, warum dann keinen eigenen XMPP- betreiben? Zudem gibt es mit ejabberd eine Server-Software, bei der Matrix gleich mit verbaut ist. Auch Signal kann man selbst hosten.
Selbst wenn man einen eigenen Server betreibt, so ist dieser für Gastnutzer dann immer noch ein Fremdserver mit dem selben Risiko der Fremdbestimmtheit. Das kann das Abschalten von Teilkomponenten betreffen, die für bestimmte Funktionen wichtig sind - oder auch des kompletten Diensts.
Das Abschalten von einzelnen Servern ist außerdem kein exklusiv-Merkmal von XMPP sondern betrifft in der Praxis genauso auch Matrix und E-Mail-Server. Das jeweils dezentrale System funktioniert dann trotzdem weiter.
Daß Signal schon über Monate den Servercode nicht veröffentlichte zeigt eindrücklich, wie sehr man bei einem geschlossenen System von den Entscheidungen der zentralen Stelle abhängig ist und „vertrauen“ muss.
Das ist halt für 99,999% der Bevölkerung eine völlig unrealistische Option.
Und auch ich, der ich vielleicht dazu in der Lage wäre, habe nicht die Zeit dafür, mich mit dem dauerhaft sicheren Betrieb einer so zentralen Komponente der Kommunikation zu beschäftigen. Vermutlich würde ich irgendeinen Fehler machen und der Server wäre angreifbar.
Der theoretische Vorteil des Selbermachens ist in der Praxis keiner.
Edit: Zum Signal-Servercode möchte ich auf https://github.com/signalapp/Signal-Server/commits/main/ verweisen. Aktueller geht es wohl nicht.
Danke! Genau!
Wir leben mittlerweile nun mal in einer stark arbeitsteiligen Gesellschaft und genutzte Produkte sind oft komplex!