Ist es wahr, dass dezentrale Messenger sicherer sind als zentrale Messenger, die E2EE-Nachrichtendienste wie Signal oder WhatsApp bieten?
Ich habe nach Alternativen zu WhatsApp gesucht, da ich Bedenken hinsichtlich der Privatsphäre habe. Ein Freund von mir, der sich mit Hacken auskennt, meinte, dass dezentrale Messenger im Allgemeinen sicherer sind als diejenigen, die nur behaupten, E2EE-Nachrichtendienste zu bieten. Kürzlich bin ich auf WireMin gestoßen, das scheinbar eine Kombination aus einem privaten Messenger und einem dezentralen sozialen Netzwerk ist. Es scheint, als ob die Dezentralisierung in Bezug auf die Privatsphäre mehrere Vorteile bietet:
Keine Zensur
Kein Risiko von Sperrungen
Nicht nachverfolgbare IP-Adressen
E2EE-Nachrichtenübermittlung innerhalb eines P2P-Netzwerks
Am überzeugendsten ist, dass es keinen zentralen Server gibt, auf dem Chatverläufe, Bilder, Dateien usw. gespeichert werden. Ohne einen zentralen Server scheint es keinen zentralen Angriffspunkt für Hacker zu geben.
Ich bin mir nicht ganz sicher und suche eine Klärung von Experten.
Von den von dir genannten Punkte ist dezentral sicherlich besser. Bleibt aber noch zu klären, wie die Administration, Backup&Recovery, Zugriff auf Daten (Admin, 4 Augenprinzip), Qualifizierung usw. geregelt ist und vor allem auch permanent durchgehalten wird.
Zentral ist per se nur im ersten Blick vorteilhaft.
Messenger, die nur behaupten, eine sichere E2E Verschlüsselung zu bieten ohne Protokolle usw. zu beschreiben, offenzulegen und evaluieren zu lassen (wie WireMin) sind aus meiner Sicht erstmal unsicherer als Messenger, die ihre Protokolle und Implementierungen der Kryptografie offenlegen und durch Dritte evaluieren wurden (wie Signal oder Threema). Warten wir mal ab, was Dritte zur Sicherheit von WireMin sagen, die sich nicht nur durch Werbeaussagen blenden lassen sondern genauer hinschauen.
Du bist sicher ein guten Server Admin, aber …
Meine Daten haben beim Messenger bei mir und beim Empfänger zu liegen, nicht auf dem Server!
Für sicheres Messaging ist dezentral besser, z.B. XMPP, Matrix oder mein Liebling Delta.Chat über e-mail.
Und ohne E2EE welches als Open Source vorliegt geht für mich gar nichts.
Das sehe ich anders.
Je mehr Parteien an einer Kommunikation beteiligt sind, desto mehr Angriffsvektoren gibt es.
Dann darfst du nur Peer2Peer Messsenger verwenden.
Die allermeisten Messenger speichern Daten auf der Serverseite. Einige (Threema. Signal) zwar nur für die Zeit der Übermittlung. Das kann aber schon reichen.
Bei diesen Messengern werden auch bereits gelesene Nachrichten serverseitig gespeichert*.
Ist es wahr, dass dezentrale Messenger sicherer sind als zentrale Messenger
Die Fragestellung kann meiner Meinung nach ohne Konkretisierung nicht beantwortet werden, denn:
Was versteht du konkret unter „sicher“? Verschlüsselung? Ausfallsicherheit? Rechtssicherheit? Übertragungssicherheit? Zukunftssicherheit? …?
Vor was willst du dich schützen / was ist das „Angriffsszenario“?
Da E2E-Verschlüsselung in der Frage erwähnt wurde für mich wichtige Punkte:
Sicherheit und Verschlüsselung dürfen nicht gleichgesetzt werden!
Jeder kann etwas anderes unter Sicherheit verstehen!
Verschlüsselung ist nur ein Teil von Sicherheit!
Und darüber hinaus: Spielen neben „Sicherheit“ (je nach individueller Definition) evtl. auch noch andere Kriterien wie Anbieterunabhängigkeit, Freiheit oder Privatsphäre eine Rolle, damit man sich „sicher“ fühlt?