Signal (Anwendung)

Aus Metapedia
Wechseln zu: Navigation, Suche
Pfeil 1 start metapedia.png Für die Metalcoregruppe, siehe Thrima

Signal

Signal.png
Verweis Offizielle Weltnetzseite
Wahlspruch „Datenschutz, der in deine Tasche passt.“
Registrierung Notwendig
Urheber Signal Foundation
Erschienen 29. Juli 2014[1]

Signal (vormals TextSecure) ist eine von Open Whisper Systems entwickelte, quelloffene Anwendung für Funktelefone zur verschlüsselten Kommunikation. Dafür nutzt Signal das eigens entwickelte Signal-Protokoll für eine angeblich starke Ende-zu-Ende-Verschlüsselung. Neben verschlüsselten Textnachrichten können bei aktivierter Weltnetzverbindung auch verschlüsselte Telefongespräche geführt werden. Zusätzlich kann Signal die Nachrichtendatenbank am Gerät verschlüsseln, so daß Nachrichten erst nach einer Paßworteingabe gelesen werden können.

Für vertrauliche Kommunikation ist Signal ungeeignet, da zur Nutzung über das Mobiltelefon Telefonnummern ausgetauscht werden müssen, welche an die in den VSA stehenden Server übertragen werden. Dadurch können bei entsprechendem Behördeninteresse Rückschlüsse auf persönliche Verbindungen gezogen werden. Überlegen ist möglicherweise statt dessen die Anwendung Conversations, welche das auf dem Signal-Protokoll basierende OMEMO-Protokoll[2] verwendet.

Kritik

Im Juli 2019 wurde bekannt, daß die Verschlüsselung von Signal bei einer Infizierung des Mobiltelefons mit dem Geheimdienst-TrojanerFinSpy“ durch Modifizierung des Betriebssystems von selbigem umgangen werden kann.

In heftige Kritik geriet Signal, als Sicherheitsexperten wie Mike Kuketz, der Betreiber des größten deutschen Sicherheitsblogs, des Kuketz IT-Security Blog,[3] herausfanden, daß Signal trotz seiner vermeintlichen Quelloffenheit[4] unfreie Google-Bibiotheken verwendete. Nutzer von Telefonen mit alternativem Betriebssystem ohne Google-Abhängigkeiten, wie z. B. Cyanogenmod, konnten durch die zwingende Bindung von Signal an Google die Anwendung nicht installieren und nutzen. Durch diesen Umstand war die öffentliche Twitter-Empfehlung[5] von Signal durch Edward Snowden für viele Sicherheitsforscher eine unakzeptable Befremdlichkeit. Auf GitHub baten unzählige Nutzer – vor allen jene mit alternativen Android-Betriebssystemen –, die genannten Abhängigkeiten zu entfernen und eine alternative Installationsquelle anzubieten, damit Signal auch ohne GooglePlay genutzt werden kann.[6]

Moxie Marlinspike, Hauptentwickler von Signal, weigerte sich und bestand trotz viel öffentlicher Kritik durch eine Vielzahl von Nutzern weiterhin auf dem Einsatz von unfreiem Google-Quellcode, welcher keiner öffentlichen Sicherheitsprüfung unterzogen werden kann.[7]

Libre Signal

Aufgrund der Uneinsichtigkeit des Hauptentwicklers von Signal, Moxie Marlinspike, die angeprangerten Google-Bibliotheken zu entfernen und Signal von den benötigten GooglePlay-Abhängigkeiten zu befreien, wurde der Quellcode von Signal auf GitHub rechtmäßig kopiert und LibreSignal[8] ins Leben gerufen, um eben jene Probleme zu beheben. Nach voranschreitender Entwicklung blockierte Moxie Marlinspike das neue Projekt und sprach diesem trotz der quelloffenen GPLv3-Lizenz ein Verbot für die Nutzung von Grafiken, Serverressourcen und dem Wort „Signal“ im Namen „LibreSignal“ aus.[9] Dies war faktisch ein öffentlicher Bruch der eigentlichen Ursprungslizenz und eigentlich ein triftiger Klagegrund für LibreSignal. Doch Moxie erreichte sein Ziel: das Absterben von LibreSignal.

Stand 2017

Da die Stimmen zur Befreiung von der Knebelung mit unfreien Google-Bibliotheken immer lauter wurden und nicht nur durch LibreSignal versucht wurde, diese zu beseitigen, arbeiten die Entwickler nun an einer offiziellen Version ohne Abhängigkeiten von Google. Zwischenzeitlich sind weitere Kopien von Signal ohne die Abhängigkeit von Google Cloud Management wie die Anwendung Noise[10] entstanden.

Mike Kuketz empfielt trotz Fortenwicklung von Signal, sich von dieser Anwendung vollständig zu lösen, da sie trotz Verbesserungen weiterhin die Telefonnummer als Identifikationsmerkmal benötigt und die Nutzer an die zentralisierte Infrakstruktur von Open Whisper Systems bindet. Außerdem hat er festgestellt, daß die Anwendung trotz der Befreiung von GCM nach wie vor nicht-freie Google Bibliotheken einsetzt.[11] Weitere aktuelle Nachrichten zu Signal können auf dem Kuketz IT-Security Blog eingesehen werden.[12]

Mike Kuketz bekräftigte im Dezember 2016 erneut seinen Standpunkt zu Signal:

„Nochmal in aller Deutlichkeit: Wir müssen weg von (proprietären) Messengern mit zentralisierten Servern hin zu Federation über freie, offene Protokolle wie zum Beispiel XMPP. Walled Gardens, Gated Communities und Co. verfolgen langfristig nur die egoistischen, wirtschaftlichen Interessen von Unternehmen und ihren Stakeholdern – und ihr seid ihrem Wohlwollen ausgeliefert.“[13]

Alternativen

Für die Verschlüsselung der Kommunikation von normalen SMS ohne Weltnetzanbindung kann die Anwendung Silence in Betracht gezogen werden. Ansonsten verspricht Conversations eine zukunftsweisende Technologie mit Weltnetzanbindung.

Siehe auch

Literatur

  • Kevin D. Mitnick: Die Kunst der Anonymität im Internet: So schützen Sie Ihre Identität und Ihre Daten, mitp, Auflage 2018, ISBN 978-3958456358 [320 S.] – empfiehlt in der engl. Originalausgabe 2015 (dt. 2018) Signal (S. 72)

Verweise

Fußnoten