WhatsApp adé: Signal und Threema überzeugen als sichere Alternativen

Signal kann in der Zwischenzeit Multi-Client-Betrieb. Ich nutze Signal auf dem iPhone, iPad und macOS und konnte bisher in allen Clientarten meine Kommunikation einsehen und weiterführen. Ich gehe davon aus, dass dieses auch unter Android, Linux und Windows funktionieren müsste.

Telegram scheint aufgrund diesen Aspekts nicht mehr notwendig zu sein.

Bei Threema hat der Multi-Client-Betrieb noch Beta Status und funktioniert bei mir zwischen iPhone und Mac aber bei mir bisher problemlos. Der iPad Client scheint sich jedoch ausschließlich als eigenständiger Account anmelden zu lassen und nicht als weitere Client eines bereits auf einem anderen Gerät angemeldeten Account nutzen zu lassen. Mal schauen ob sich das ändert, wenn die Beta-Phase vorbei ist.

Funktioniert.

Habe Signal im Muti-Client Betrieb problemlos auf einem Android, einem iPad und einem Linuxrechner.

Ich nutze hauptsächlich SimpleX Chat. Ich mag die fehlende Identifikation, obwohl es manchmal ein Nachteil sein kann. Was Signal betrifft, so finde ich es sehr gut, dass es eine Telefonnummer hat, denn wenn jemand Zugang zu Signal Chever erhält, dann kann er beim Zugriff auf die Telefonnummerndaten die Passdetails herausfinden.

Dieser Satz ist mir unklar. Was ist ein Signal Chever und was sind Passdetails? Was meinst du mit Telefonnummerdaten außer der Telefonnummer selbst?
Und warum soll man darüber etwas herausbekommen, wenn man Zugriff (in welcher Art und Weise?) auf die Telefonnummerndaten hat.

Wie sieht das bei dir mit dem Akkuverbrauch aus?

Tippe mal auf Signal Server.
Und eben der Tatsache, dass der Kontakt in Signal angezeigt wird wenn die Telefonnummer erkannt wurde, was es hilft sofort seine Kontakte darüber zu erreichen.

Hallo,
könnten Sie Herr Kuketz oder jemand aus der Community auf die Thematik IPv6 und Metadaten bzgl. Signal eingehen?

Ist damit eine Deannonymisierung möglich? Wenn ich das richtig verstanden habe ist es aufgrund des größeren Pools an IPv6 Adressen häufiger der Fall, dass ein spezifisches Gerät seine IP behält im Gegensatz zu v4 wo man sich eine öffentliche IP mit vielen anderen Nutzern eines Providers teilt.

Das ist doch eher eine Frage für den Umgang des Betriebssystems mit IPv6. Zumindest Apple hat sich dazu Gedanken gemacht.

Naja, es ist auch eine Frage des Umgangs des Zugangsproviders mit IP-Adressen. Wenn ein Nutzer über einen längeren Zeitpunkt das gleiche Präfix zugewiesen bekommt, ist dieser Nutzer darüber identifizierbar - auch Privacy Extensions helfen da nicht..

Das ist aber eigentlich kein spezifisches Problem von IPv6. Es gibt Zugangsprovider mit echtem Dual Stack, die einem Nutzer auch nach Trennen und Wiederaufbau der Verbindung die gleiche IPv4-Adresse wie zuvor zuweisen.

IPv6-spezifisch und betriebssystemabhängig ist hingegen das Problem, dass bei der Wahl der IPv6-Adresse ohne Privacy Extensions die MAC-Adresse des Geräts in die IPv6-Adresse eingebaut wird. Dadurch wird der Nutzer anhand dieses Teils der IPv6-Adresse unabhängig vom Präfix identifizierbar.

Auf wen beziehst Du Dich hinsichtlich einer möglichen Deanonymisierung durch IPv6?

• Signal als Betreiber?
• Behörden die berechtigte Anfragen an Signal stellen können?
• Kommunikationspartner die Dich bisher nicht persönlich kennen?

Oder nachgelagert eventuell auch

• DNS- und Netzwerk-Provider
• Apple / Google als die typischen Smartphone-Betriebssystem-Hersteller und Push-Service-Betreiber?
• Werbenetzwerke?

Für eine sinnvolle Antwort müsste man die von Dir als relevant angesehene Personengruppe kennen.

P. S. Signal betreibt IMHO Meta-Daten-Vermeidung indem Sie Informationen wo es geht verschlüsseln und nicht protokollieren. IP-Adressen gehören meiner Ansicht zu der Vielzahl nicht protokollierten Informationen. Soweit ich weiß, kann Signal auf Anfrage von Behörden nur zwei Informationen herausgeben:

• Registrierungs-Telefonnummer zu einem Signal-Benutzer
• Zeitpunkt des letzten Client-Zugriffs

Danke für deine Antwort, genau das ist die Frage. Ich bin kein Netzwerkexperte und erst recht keiner für IPv6 aber wie von dir geschildert und z. B. Hier geschrieben https://www.heise.de/news/Trotz-Privacy-Extensions-IPv6-Adressen-fuer-andauerndes-Tracking-nutzbar-7186203.html wäre das ja quasi eine fester Identifikator pro Gerät. Natürlich kein Problem von Signal. Und natürlich bei Dual Stack auch, vollkommen klar!

In erster Linie Signal als Betreiber oder jemand der egal ob rechtmäßig oder nicht bei denen an die Metadaten kommt.

Nach meinem Verständnis/Wissensstand ist RS so wie du schreibst: Signal hat nur Telefonnummer und letzten Zugriff.

Also kann man als Kombination von „Deannonymisierung durch IPv4 / IPv6“ und das kontinuierliche Monitoring der beiden Metadaten lediglich rausfinden, dass ein Gerät (mehrfach nacheinander) zu bestimmten Zeitpunkten Kontakt mit Signal hatte.
Mit wem man kommuniziert hat kann nicht aufgedeckt werden.

Ist sowas wie eine Korrelation zwischen Kommunikation/letztem Kontakt zum Signal Server zwischen mehreren Clients möglich oder gibt es gewisse Delays, die das verhindern? Also sozusagen Client A hat um 12:00:40 mit dem Server kommuniziert („Nachricht gesendet“ auch wenn man wegen fehlender Metadaten nicht wissen kann, dass hier eine Nachricht gesendet wurde) und Client B um 12:00:41 („Nachricht empfangen“, kann man natürlich auch nicht wissen) mit fiktiver 1s Verarbeitungszeit.
Wurde so ähnlich nicht eine Deannonymisierung bei Tor gemacht?

Signal wird meiner Einschätzung nach nicht versuchen die Kommunikationsbeziehungen von Signal-Nutzern „auszumessen“. Dafür investieren sie zu viel in die Vermeidung von Meta-Daten, was ein Ausmessen massiv für den Anbieter verkompliziert.

Aber klar, es ist ein Vertrauen in den Anbieter und keine technisch nachweisbare Aussage.

IPv6 mit und ohne Privacy Externsion macht für den Signal-Anbieter wenn die Meta-Daten-Vermeidung wirklich umgesetzt ist keinen Unterschied.

1. In den USA gilt für US-Bürger 'lawful access", d.h. rechtmäßiger Zugriff des Staates MUSS immer gewährleistet sein.

Die Five Eyes drängen seit langem auch die EU dazu, keine seriöse Verschlüsselung zuzulassen.

Wie soll das aber funktionieren, wenn es stimmen würde, was Signal an angeblichen technischen Raffinessen eingebaut hat?

Im Rahmen der Kritik Snowdens an der Globalen Überwachung durch die NSA (die sich längst und ständig dramatisiert hat), musste der Emailprovider Lavabit dichtmachen, weil er zur Offenlegung von Emails nicht bereit war.

Wer glaubt denn nun mit welcher Begründung, dass Signal ANDERS behandelt würde?

Für US-Bürger ist Signal durchaus erwägenswert, denn immerhin kann 'lawful access" ja in einem Rechtsstaat eine wirksame Selbstbeschränkung des Staates darstellen.
Für uns Ausländer sieht es dagegen eher mau aus.
Ich jedenfalls kenne nur ein - in den USA weitgehend unbekannten und lästigen völkerrechtlichen Vertrag, der eine Beschränkung darstellen könnte. Und der verlangt schlicht nur „einen Grund“ für den Zugriff auf personenbezogene Daten.
Das ist mehr eine Aufforderung zur Verletzung des Datenschutzes, wie ich umfänglich erläutern könnte.
Es gibt Nachweise von 2013, dass sogar Merkel begriffen hatte, dass das ein böser Witz und kein Ersatz für ein Datenschutzrecht ist.

2. Die US-Verfassung nimmt US-Ausländer vom Recht auf Privatheit aus.

Also muss es auch gar kein Eingriffsgesetz geben, d.h. eines, was den Grundrechtsschutz rechtmäßig aushebelt.
In den AGB Signals wird, wie üblich, stehen: "Geben Daten an Dritte nur a) … b) … c) bei rechtmäßigem Verlangen durch ein Gericht oder eine Behörde … ".
Wann ist ein solches Verlangen rechtmäßig, wenn es gar kein US-Gesetz zum Schutz gibt, weil du ein US-Ausländer bist?

Das Data Privacy Framework könnte ja US-Gesetzes-Charakter haben, ich glaub es nicht, aber das ist auch egal, denn Signal ist dem gar nicht beigetreten, sondern verlässt sich auf „Standardverträge“.
Verträge sind eben grad KEINE Gesetze.
Kurz: Es gibt wohl gar KEIN US-Gesetz, was eine US-Behörde am Zugriff hindern könnte.

Und wie ernst Signal das EU-Recht nimmt, lese ich hier:

Signal hat gegenüber Behörden keinen Vertreter für Datenschutz benannt, wie dies nach EU-Recht notwendig ist. Kontaktversuche seitens Behörden bleiben unbeantwortet.

Q: https://de.wikipedia.org/wiki/Signal_(Messenger)#Kritik

Gibt es irgendwelche Belege oder Hinweise, dass Signal nicht das tut, was die Verantwortlichen sagen? Wie passt zu deinen wilden Vermutungen, dass Signal regelmäßig androht, einen Markt zu verlassen, wenn auf dem so etwas wie „Chat-Kontolle“ verpflichtend würde?

Ich gebe @kuketzblog recht, das dezentrale Messengerdienste auch eine gewisses Unbehagen hervorrufen. Dennoch finde ich, dass eine gewisse Interoperabilität doch wünschenswert ist.

Der Kommentar berücksichtigt nicht die Sicherheit, sondern soll nur die Visibility beleuchten.
Was nützt mir es, wenn ich gefühlt 1000 Apps bedienen muss, damit ich mit allen in Kontakt bleiben kann?

Ich liefere ja dann auch bei all den Apps meine Daten ab. Ob dem Datenschutz damit ein Gefallen getan wird, weiß ich auch nicht.