Signal (Anwendung)
Verweis | Offizielle Weltnetzseite |
---|---|
Wahlspruch | „Datenschutz, der in deine Tasche passt.“ |
Registrierung | Notwendig |
Urheber | Signal Foundation |
Erschienen | 29. Juli 2014[1] |
Signal (vormals TextSecure) ist eine von Open Whisper Systems entwickelte, quelloffene Anwendung für Funktelefone zur verschlüsselten Kommunikation. Dafür nutzt Signal das eigens entwickelte Signal-Protokoll für eine angeblich starke Ende-zu-Ende-Verschlüsselung. Neben verschlüsselten Textnachrichten können bei aktivierter Weltnetzverbindung auch verschlüsselte Telefongespräche geführt werden. Zusätzlich kann Signal die Nachrichtendatenbank am Gerät verschlüsseln, so daß Nachrichten erst nach einer Paßworteingabe gelesen werden können.
Für vertrauliche Kommunikation ist Signal ungeeignet, da zur Nutzung über das Mobiltelefon Telefonnummern ausgetauscht werden müssen, welche an die in den USA stehenden Server übertragen werden. Dadurch können bei entsprechendem Behördeninteresse Rückschlüsse auf persönliche Verbindungen gezogen werden. Überlegen ist möglicherweise statt dessen die Anwendung Conversations, welche das auf dem Signal-Protokoll basierende OMEMO-Protokoll[2] verwendet.
Inhaltsverzeichnis
Kritik
Im Juli 2019 wurde bekannt, daß die Verschlüsselung von Signal bei einer Infizierung des Mobiltelefons mit dem Geheimdienst-Trojaner „FinSpy“ durch Modifizierung des Betriebssystems von selbigem umgangen werden kann.
In heftige Kritik geriet Signal, als Sicherheitsexperten wie Mike Kuketz, der Betreiber des größten deutschen Sicherheitsblogs, des Kuketz IT-Security Blog,[3] herausfanden, daß Signal trotz seiner vermeintlichen Quelloffenheit[4] unfreie Google-Bibiotheken verwendete. Nutzer von Telefonen mit alternativem Betriebssystem ohne Google-Abhängigkeiten, wie z. B. Cyanogenmod, konnten durch die zwingende Bindung von Signal an Google die Anwendung nicht installieren und nutzen. Durch diesen Umstand war die öffentliche Twitter-Empfehlung[5] von Signal durch Edward Snowden für viele Sicherheitsforscher eine unakzeptable Befremdlichkeit. Auf GitHub baten unzählige Nutzer – vor allen jene mit alternativen Android-Betriebssystemen –, die genannten Abhängigkeiten zu entfernen und eine alternative Installationsquelle anzubieten, damit Signal auch ohne GooglePlay genutzt werden kann.[6]
Moxie Marlinspike, Hauptentwickler von Signal, weigerte sich und bestand trotz viel öffentlicher Kritik durch eine Vielzahl von Nutzern weiterhin auf dem Einsatz von unfreiem Google-Quellcode, welcher keiner öffentlichen Sicherheitsprüfung unterzogen werden kann.[7]
Libre Signal
Aufgrund der Uneinsichtigkeit des Hauptentwicklers von Signal, Moxie Marlinspike, die angeprangerten Google-Bibliotheken zu entfernen und Signal von den benötigten GooglePlay-Abhängigkeiten zu befreien, wurde der Quellcode von Signal auf GitHub rechtmäßig kopiert und LibreSignal[8] ins Leben gerufen, um eben jene Probleme zu beheben. Nach voranschreitender Entwicklung blockierte Moxie Marlinspike das neue Projekt und sprach diesem trotz der quelloffenen GPLv3-Lizenz ein Verbot für die Nutzung von Grafiken, Serverressourcen und dem Wort „Signal“ im Namen „LibreSignal“ aus.[9] Dies war faktisch ein öffentlicher Bruch der eigentlichen Ursprungslizenz und eigentlich ein triftiger Klagegrund für LibreSignal. Doch Moxie erreichte sein Ziel: das Absterben von LibreSignal.
Stand 2017
Da die Stimmen zur Befreiung von der Knebelung mit unfreien Google-Bibliotheken immer lauter wurden und nicht nur durch LibreSignal versucht wurde, diese zu beseitigen, arbeiten die Entwickler nun an einer offiziellen Version ohne Abhängigkeiten von Google. Zwischenzeitlich sind weitere Kopien von Signal ohne die Abhängigkeit von Google Cloud Management wie die Anwendung Noise[10] entstanden.
Mike Kuketz empfiehlt trotz Fortenwicklung von Signal, sich von dieser Anwendung vollständig zu lösen, da sie trotz Verbesserungen weiterhin die Telefonnummer als Identifikationsmerkmal benötigt und die Nutzer an die zentralisierte Infrakstruktur von Open Whisper Systems bindet. Außerdem hat er festgestellt, daß die Anwendung trotz der Befreiung von GCM nach wie vor nicht-freie Google Bibliotheken einsetzt.[11] Weitere aktuelle Nachrichten zu Signal können auf dem Kuketz IT-Security Blog eingesehen werden.[12]
Mike Kuketz bekräftigte im Dezember 2016 erneut seinen Standpunkt zu Signal:
„Nochmal in aller Deutlichkeit: Wir müssen weg von (proprietären) Messengern mit zentralisierten Servern hin zu Federation über freie, offene Protokolle wie zum Beispiel XMPP. Walled Gardens, Gated Communities und Co. verfolgen langfristig nur die egoistischen, wirtschaftlichen Interessen von Unternehmen und ihren Stakeholdern – und ihr seid ihrem Wohlwollen ausgeliefert.“[13]
Alternativen
Für die Verschlüsselung der Kommunikation von normalen SMS ohne Weltnetzanbindung kann die Anwendung Silence in Betracht gezogen werden. Ansonsten verspricht Conversations eine fortschrittliche Technologie mit Weltnetzanbindung.
Siehe auch
Literatur
- Kevin David Mitnick✡: Die Kunst der Anonymität im Internet: So schützen Sie Ihre Identität und Ihre Daten, mitp, Auflage 2018, ISBN 978-3958456358 [320 S.] – empfiehlt in der engl. Originalausgabe 2015 (dt. 2018) Signal (S. 72)
Verweise
- Offizielle Weltnetzseite
- BKA will mächtigeren Staatstrojaner angeblich noch 2017 einsatzbereit haben, heise.de, 21. Juli 2017 – Signal wird angesprochen
- CrypViser: Ein Messenger-Dienst zur richtigen Zeit, btc-echo.de, 28. Juni 2017 [Vorhaben eines kryptographisch gesicherten Messengerdienstes aus Düsseldorf]
- Englischsprachig
- xx messenger – 2022 herausgekommenes Programm zur schriftlichen Sofortkommunikation mit Privatsphäre
- Session – Sofortkommunikation mit Sicherheitsanspruch (verlangt keinerlei Benutzerdaten)
- Shane Trejo: Court Docs Show FBI Can Intercept Encrypted Messages From ‘Signal’ App, Zerohedge, 12. Februar 2021
- Douglas Crawford: Secure Privacy Email Options 2018, bestvpn.com, 6. März 2017 – behandelt auch Signal
Filmbeiträge
- Rob Braxman: What's Wrong with Signal, Whatsapp, Telegram, Protonmail, Tutanota?, Youtube-Video, veröffentlicht am 24. September 2020, Dauer: 16:52 Min. (engl.)