News Facebook-Messenger: Ende-zu-Ende-Verschlüsselung noch 2023

[Termy]

"They use our open source Signal Protocol libraries, and we’ve verified that the integration was done appropriately."

Hast du gelesen was ich geschrieben habe?
Selbst mit Audit (das übrigens auch immer nur auf eine spezielle Version durchgeführt wird und dem entsprechend für die aktuelle Version ziemlich wertlos ist) und korrekter Implementierung der eigentlichen E2E ist der Client immer noch closed source. Und wenn der Client die entschlüsselte Nachricht darstellen kann, dann kann er diese auch an FB oder sonstwen ausleiten.

 

[deadrom]

Wann haben sie zuerst behauptet, WA sei EEE und total supersicher? Vor 10 Jahren? Länger?
Threema (einmalig 5 EUR) oder Signal (bisschen schroff aber für lau).

 

[McMoneysack91]

Eine ganz ganz ganz kleine kurze Frage... Wer, dessen Geist noch halbwegs intakt ist, glaubt eigentlich diesen Verschlüsselungs-Quatsch?^^

 

[Ray Donovan]

Das ist pauschalisierender Blödsinn. Und das weißt du.

Nein, er hat völlig Recht. Es interessiert 3/4 der Leute schlichtweg nicht.

Es ist auch keine richtige Verschlüsselung, wenn der Anbieter es jederzeit entschlüsseln kann.

 

[pseudopseudonym]

Ok, dann schränken wir es noch mit "Oder ist komplett Inkonsequent" ein

Und was ist es dann, auf ComputerBase zu sein, wo wirklich jeder deine Posts lesen kann?
Da postest du Sachen, bei denen dir Privatsphäre nicht so wichtig ist, richtig? Warum kann das bei den von dir genannten Diensten nicht anders sein?

 

[Termy]

Warum kann das bei den von dir genannten Diensten nicht anders sein?

Kann es doch - aber wieso sollte dieser Dienst dann ein E2E-Feigenblatt einbauen?

 

[douggy]

@Termy

Darum geht es nicht.

Du hast folgendes gesagt:
"Eben, wenn man Facebook/Insta/Whatsapp nutzt, dann gehört man sowieso nicht zu einer Personengruppe, die Wert auf Privatsphäre und Vertraulichkeit legt."

Und wie @pseudopseudonym schon andeutet, kommt es darauf an, wie man einen Dienst nutzt.

 

[DieRenteEnte]

Natürlich kann man das überprüfen, bloß die Regeln dafür sind strenger. Dafür braucht's halt ein Audit. "They use our open source Signal Protocol libraries, and we’ve verified that the integration was done appropriately."

Wenn du denen nicht glaubst, ist Signal als Ganzes unglaubwürdig.

Der entscheidende Punkt ist nicht, ob ein Teil vom System sicher ist, sondern ob der sichere Teil durch andere Maßnahmen wieder unsicher gemacht wird.

Die gesamte Umsetzung ist wichtiger als deren libraries, die nur einen kleinen Bruchteil ausmachen.

Was bringt mir die sicherste Tür mit dem besten Schlüssel, wenn das Haus voll mit unsicheren Fenstern und Nebeneingängen ist?

Extremes Beispiel:
Pegasus interessiert es absolut null, ob dein Messenger verschlüsselt oder nicht.

 

[Pummeluff]

Nach dem Sterben von ICQ, MSN und letztlich auch Skype hatte Facebook die riesige Chance, den Facebook Messenger als Nachfolge-Monopol zu etablieren. Die Konten waren über Facebook, was damals auf dem Höhepunkt seiner Verbreitung war, vorhanden. Sie haben es damals nicht genutzt und stattdessen sowohl die Facebook-App als auch den Messenger aufgeblasen und extrem penetrant werden lassen.

Der Zug für den Messenger ist seit ca. 10 Jahren abgefahren.

 

[UrlaubMitStalin]

Diese Verschlüsselung ist in etwa so glaubwürdig wie die offizielle Unfallursache für den Abstutz vom Jet des Wagner-Chefs.

Ergänzung (24. August 2023)

und wieviele Updates hat dir Whatsapp in den Jahren seit dem Audit schon eingespielt?

Gefühlt machen die alle 12h ein Update... da könnte sonst was drin sein.
Ein Update reicht um eine Backdoor ein zu bauen.
Glaubwürdig ist eh nur OpenSource. Das haben eigentlich nur Telegram, Signal und neuerdings auch Threema.

 

[sebish]

Für mich gibt es bis heute keine gleichwertige Alternative zu Telegram. Ende zu Ende sehe ich da eher als hinderlich.

 

[paulemannsen]

Das dritte Ende bei Ende zu Ende Verschlüsselung ist immer die CIA/Mossad. Zumindest bei Facebook ist das absolut garantiert.

 

[rosenholz]

Das dritte Ende bei Ende zu Ende Verschlüsselung ist immer die CIA/Mossad. Zumindest bei Facebook ist das absolut garantiert.

Quelle: Trust me, bro!

 

[Blutschlumpf]

Es sollte schon die Grundannahme sein davon auszugehen, dass Geheimdienste das tun wofür sie geschaffen wurden, sprich Informationen über alles und jeden zu sammeln, im Zweifel auch gegen jegliche Gesetze anderer Länder.
Alles andere wäre ziemlich naiv.
Dass auch alliierte Länder und Industrien ausspioniert werden ist ja seit mindestens 20 Jahren nichtmal mehr offiziell ein Geheimnis.
https://de.wikipedia.org/wiki/Echelon

Die USA haben letztes Jahr übrigens fast 90 Mrd Dollar für Ihre Geheimdeinste ausgegeben (https://irp.fas.org/budget/index.html).
Anders formuliert haben fast 2/3 der Länder auf dieser Erde ein geringeres BIP als die USA alleine für Spionage ausgeben.

Aber du kannst natürlich gerne warten bis die CIA auf Ihrer Homepage veröffentlicht, dass die den FB-Messenger anzapfen und bis dahin jeden Tag 2 Packungen rote Pillen nehmen um die Illusion aufrecht zu erhalten, dass der FB Messenger sicher vor dem Geheimdienst des Landes ist, unter dessen Gesetze Facebook fällt.

 

[KitKat::new()]

Das haben eigentlich nur Telegram, Signal und neuerdings auch Threema.

Mir fällt aus dem Stegreif noch Element, Cinny, Simplex, NeoChat und FluffyChat ein.

 

[Wölkchen]

Das dritte Ende bei Ende zu Ende Verschlüsselung ist immer die CIA/Mossad.

Quelle: Deine antisemitischen Freunde

Ergänzung (26. August 2023)

Hast du gelesen was ich geschrieben habe?
Selbst mit Audit (das übrigens auch immer nur auf eine spezielle Version durchgeführt wird und dem entsprechend für die aktuelle Version ziemlich wertlos ist) und korrekter Implementierung der eigentlichen E2E ist der Client immer noch closed source. Und wenn der Client die entschlüsselte Nachricht darstellen kann, dann kann er diese auch an FB oder sonstwen ausleiten.

Ich glaube eher den Fachleuten von Signal, die auch eine angebliche Backdoor in WhatsApp widerlegen konnten, als einem dahergelaufenen Termy im Forum.

 

[KitKat::new()]

Ich glaube eher den Fachleuten von Signal, die auch eine angebliche Backdoor in WhatsApp widerlegen konnten, als einem dahergelaufenen Termy im Forum.

Dein Problem ist, dass du nichteinmal verstehst warum der Artikel von Signal und Termys Aussagen sich nicht widersprechen

 

[Wölkchen]

Könntest es ja besser erklären.

 

[Blutschlumpf]

Es ist doch recht simpel:
Meta hat die Möglichkeit den Client durch ne neue Version auszutauschen.

Selbst wenn die aktuelle Version perfekt implementiert und komplett sicher ist und keine Sauereien macht, hindert das Meta ja nicht daran, dass die im nächsten Update eine Funktion einbauen, die die Daten unverschlüsselt wonder hin schickt (CIA, Mossad, den Papst, egal).
Egal was wer da auditiert: Es ist im besten Fall eine Momentaufnahme.
Du müsstest also bei jedem Update vor dem Update darauf warten, dass das Programm neu auditiert wird, was total realitätsfern ist.

Das Problem ist bei E2E immer, dass es reicht, dass man Zugriff auf den Client oder den Schlüssel hat um die Nachrichten zu entschlüsseln.
Meta hat beides.
E2E ist immer nur dann sicher wenn du sicher sein kannst, dann niemand deinen Key hat, niemand Zugriff auf den Client hat und das System auf dem der Client läuft hat auch nicht kompromitiert ist oder so sicher gestaltet, dass andere Software nicht Eingaben oder Ausgabe mitlesen können.
Im Grunde würde es also nur dann sicher(er) werden wenn man einen anderen (von Meta unabhängigen) Client (von einer Quelle der man vertraut, nächstes Problem) nutzt und seinen Key nur lokal speichert.

Gerade letzteres macht die Aktion in der Praxis nicht umsetzbar, selbst wenn Meta es wollte (wozu es von denen aus keinen Anlass geben dürfte).

 

[Termy]

Könntest es ja besser erklären.

Wie viel simpler soll man es denn noch erklären?
Der Signal-Artikel bezieht sich nur auf die Verschlüsselung. Und selbst das hat Signal nicht selbst geprüft, sondern vertraut den Aussagen, die Meta selbst in einem Whitepaper veröffentlich hat. Natürlich nicht überprüfbar, da closed source.

Zusätzlich kann bei einem closed source Client niemand ausschließen, dass dieser die Nachrichten ggf. auch (nach der Entschlüsselung) an Meta/NSA/sonstwen ausleitet, selbst wenn die eigentliche Verschlüsselung tatsächlich korrekt implementiert ist.

Was genau verstehst du daran nun nicht? (gezielter erklären ist vielleicht zielführender als die gleiche generelle Erklärung wieder und wieder zu wiederholen, nur um dann ein "nö glaub ich nicht" als Antwort zu bekommen )