Hallo, kennt sich hier jemand aus mit der sog. Signal App? Die ist zwar nicht für Computer sondern für Smartphones, aber ich stelle das jetzt trotzdem einfach mal hier ein. Mit Signal kann man ja verschlüsselte Textnachrichten schreiben und auch verschlüsselt telefonieren und das alles ist ja angeblich auch hoch sicher. Allerdings sehe ich da eine Schwachstelle, die die ganze Sicherheit ad absurdum führen könnte, oder aber ich sehe das einfach falsch. Wie auch immer: Man muß ja, um mit Signal arbeiten zu können, den anderen Signal-Kontakt vorher verifizieren - aber das wiederum geht nur an der Stelle in der App, wo der ganze Security-Schlüssel in voller Schönheit angezeigt wird. Sprich: Wenn es dann ein Hacker schafft, per Screenshot den Security-Schlüssel an sich zu ziehen, kann der doch dann die geführten Telefongespräche einfach mithören oder mitschneiden und dann später anhören, oder wie ist das? Oder ist die Technik doch ausgeklügelter als ich denke? Danke für Info.
Signal App wirklich sicher?
- Ersteller Baru
- Erstellt am
CptCupCake
Lt. Junior Grade
- Registriert
- Mai 2020
- Beiträge
- 314
Ich denke dieser Schlüssel ist wie bei Threema.
Wenn ein Hacker so nah an dich herankommt, ist ein Foto wahrscheinlich deine geringste Sorge.
Signal ist in den USA und die USA Gesetze verpflichten zur Auskunft / Herausgabe der Daten oder Zugriff für die Behörden. Grundsätzlich ist nichts sicher, was aus den USA kommt.
Ich glaube "geheime Chats" unter Telegram oder Threema allgemein sind sicherer als Signal, einfach weil es nicht in den USA ist.
Und wie ich gelernt habe:
Nur weil etwas verschlüsselt ist, ist es nicht sicher, solange der Betreiber wie Facebook einen Schlüssel oder Hintertür hat / haben muss.
Ganz nebenbei:
Wenn du mit deiner GBoard Tastatur auf Android schreibst und alle deine Eingaben an Google (USA) geschickt werden, damit die Rechtschreibkorrektur und so etwas funktionieren, bringt eine verschlüsselte Nachricht auch nichts mehr.
Unter F-Droid kannst du dir eine Offline-Tastatur ohne "Nachhause telefonieren" Feature von Google installieren.
Wenn ein Hacker so nah an dich herankommt, ist ein Foto wahrscheinlich deine geringste Sorge.
Signal ist in den USA und die USA Gesetze verpflichten zur Auskunft / Herausgabe der Daten oder Zugriff für die Behörden. Grundsätzlich ist nichts sicher, was aus den USA kommt.
Ich glaube "geheime Chats" unter Telegram oder Threema allgemein sind sicherer als Signal, einfach weil es nicht in den USA ist.
Und wie ich gelernt habe:
Nur weil etwas verschlüsselt ist, ist es nicht sicher, solange der Betreiber wie Facebook einen Schlüssel oder Hintertür hat / haben muss.
Ganz nebenbei:
Wenn du mit deiner GBoard Tastatur auf Android schreibst und alle deine Eingaben an Google (USA) geschickt werden, damit die Rechtschreibkorrektur und so etwas funktionieren, bringt eine verschlüsselte Nachricht auch nichts mehr.
Unter F-Droid kannst du dir eine Offline-Tastatur ohne "Nachhause telefonieren" Feature von Google installieren.
Zuletzt bearbeitet:
Muss man das? Hmm, ich habe vor ein paar Tagen einem Kollegen Signal nahegelegt, da ich kein Bock auf WA und FB habe. Er hat das installiert und schon konnten wir uns Nachrichten senden, verschlüsselt. Es gibt auch die Möglichkeit den Schlüssel zu erneuern.Baru schrieb:
Wenn es ein "Hacker" schafft, physischen Zugriff auf dein Smartphone zu erlangen, ist sowieso jede Verschlüsselung für den Arsch. Also nix neues.Baru schrieb:
- Registriert
- Juni 2007
- Beiträge
- 7.322
Die gibt es auch für Windows, Linux und MAC OS. Siehe dessen Downloadseite.Baru schrieb:
Marco01_809
Commander
- Registriert
- Mai 2011
- Beiträge
- 2.078
Signal gilt als eine der sichersten Implementationen der Ende-zu-Ende-Verschlüsselung, diese kann mit unserem aktuellen Stand der Technik nicht überwunden werden. Die Gedankengänge von @CptCupCake sind Unfug, auch der Betreiber der App oder der Netzbetreiber kann die Nachrichten nicht lesen geschweige denn herausgeben bei staatlichen Anfragen. U.a. auch Edward Snowden empfiehlt die App. Die "geheimen" Chats bei den anderen Messengern sind in der Tat auch E2E-verschlüsselt, die haben es lediglich versäumt, dies zum Standard zu machen. Das ist schon recht traurig wenn man bedenkt das selbst WhatsApp mittlerweile immer E2E-Chats benutzt.
Der Verifizierungsschlüssel der in der App angezeigt wird ist nicht der Verschlüsselungskey. Die Technik ist deutlich ausgefeilter und jede Nachricht wird mit einem anderen Key verschlüsselt. Als ersten Schritt könntest du dich zum Thema asymmetrische Kryptographie informieren. Hier wird mit einem Schlüssel (public key) verschlüsselt und nur der Empfänger kann mit seinem geheimen Schlüssel (private key) diese wieder entschlüsseln.
Die Verifizierung des Schlüssels ist nicht notwendig, ist aber die einzige Möglichkeit sicher zu gehen, dass während der ersten Kontaktaufnahme die Verbindung nicht man-in-the-middled wurde und ein Angreifer seine eigenen Schlüssel eingeschmuggelt hat. Auch bei WhatsApp kann man die Schlüssel verifizieren, aber da das nicht mit casual usern kompatibel ist wird hier nicht explizit darauf hingewiesen und der Schlüsseltausch ist ohne Interaktion möglich (da kommen dann diese kleinen grauen Banner im Chat dass sich der Schlüssel des Teilnehmers X geändert hat).
Der Verifizierungsschlüssel der in der App angezeigt wird ist nicht der Verschlüsselungskey. Die Technik ist deutlich ausgefeilter und jede Nachricht wird mit einem anderen Key verschlüsselt. Als ersten Schritt könntest du dich zum Thema asymmetrische Kryptographie informieren. Hier wird mit einem Schlüssel (public key) verschlüsselt und nur der Empfänger kann mit seinem geheimen Schlüssel (private key) diese wieder entschlüsseln.
Die Verifizierung des Schlüssels ist nicht notwendig, ist aber die einzige Möglichkeit sicher zu gehen, dass während der ersten Kontaktaufnahme die Verbindung nicht man-in-the-middled wurde und ein Angreifer seine eigenen Schlüssel eingeschmuggelt hat. Auch bei WhatsApp kann man die Schlüssel verifizieren, aber da das nicht mit casual usern kompatibel ist wird hier nicht explizit darauf hingewiesen und der Schlüsseltausch ist ohne Interaktion möglich (da kommen dann diese kleinen grauen Banner im Chat dass sich der Schlüssel des Teilnehmers X geändert hat).
Sun_set_1
Commodore
- Registriert
- Sep. 2008
- Beiträge
- 4.175
Nein, dazu gehört noch der geheime Schlüssel von Dir und der anderen Person.
Stell Dir vor es gibt vier Mischfarben
Du hast Rot (öffentlich) und Grün (geheim)
Gegenüber Grün (öffentlich) und Rot (geheim)
Nun mischt Du und der andere eure Nachrichten mit
Rot + Blau = Gelb (und beide erhalten die Farbe Gelb.)
Nun mischt jeweils jeder die Farbe Gelb mit seiner geheimen Farbe
Du.(Gelb + Grün = Blau)
Ggü: (Gelb + Rot = Orange)
und schickt diese dem jeweils anderen.
Nun mischt,
Du: Orange + Grün = Dunkel-Gold.
Gegenüber: Blau + Rot = Dunkel Gold.
Ihr habt also nun ein gemeinsamen geheimen Schlüssel. Zu jedem Zeitpunkt des Austausches fehlt aber einem "Mann in der Mitte" mindestens immer eine nötige Komponente um die Mischungsfarben bestimmen zu können.
Quelle: Wikipedia, auf Deutsch übersetzt by myself
https://de.wikipedia.org/wiki/Diffie-Hellman-Schlüsselaustausch
Oder mit Zahlen,
Dein öffentlicher Schlüssel: 25
Dein Geheimnis ist der Operand (/2)
Gegenüber Öffentlich: 43
Gegenüber geheim: (/4)
1. Schritt 25+43 = 68 /2 = 34
1. Schritt: 43+25 = 68 /4 = 17
Du schickst an Gegenüber: 34
Gegenüber an dich: 17
2. Schritt: 17 /2 = 8,5
2. Schritt 34 /4 = 8,5
Ein Mann in der Mitte könnte nicht zu 100% auf die Operanden "durch 2 und durch 4" schließen, da ihr ja z.B. auch die Operanden -34 und -51 haben könntet, (als ihr die Zahlen 34 und 17 austauscht) und somit wäre auch ein ganz anderes gemeinsames Ergebnis im 2. Schritt denkbar.
Das ist natürlich unheimlich vereinfacht. Aber wenn Du das ganze mit 256 Stellen langen Zeichen-Zahlenkombinationen und maximal komplizierten Berechnungen machst, sollte klar sein wieso es für jemanden in der Mitte relativ schwer wird was abzufischen.
Stell Dir vor es gibt vier Mischfarben
Du hast Rot (öffentlich) und Grün (geheim)
Gegenüber Grün (öffentlich) und Rot (geheim)
Nun mischt Du und der andere eure Nachrichten mit
Rot + Blau = Gelb (und beide erhalten die Farbe Gelb.)
Nun mischt jeweils jeder die Farbe Gelb mit seiner geheimen Farbe
Du.(Gelb + Grün = Blau)
Ggü: (Gelb + Rot = Orange)
und schickt diese dem jeweils anderen.
Nun mischt,
Du: Orange + Grün = Dunkel-Gold.
Gegenüber: Blau + Rot = Dunkel Gold.
Ihr habt also nun ein gemeinsamen geheimen Schlüssel. Zu jedem Zeitpunkt des Austausches fehlt aber einem "Mann in der Mitte" mindestens immer eine nötige Komponente um die Mischungsfarben bestimmen zu können.
Quelle: Wikipedia, auf Deutsch übersetzt by myself
https://de.wikipedia.org/wiki/Diffie-Hellman-Schlüsselaustausch
Oder mit Zahlen,
Dein öffentlicher Schlüssel: 25
Dein Geheimnis ist der Operand (/2)
Gegenüber Öffentlich: 43
Gegenüber geheim: (/4)
1. Schritt 25+43 = 68 /2 = 34
1. Schritt: 43+25 = 68 /4 = 17
Du schickst an Gegenüber: 34
Gegenüber an dich: 17
2. Schritt: 17 /2 = 8,5
2. Schritt 34 /4 = 8,5
Ein Mann in der Mitte könnte nicht zu 100% auf die Operanden "durch 2 und durch 4" schließen, da ihr ja z.B. auch die Operanden -34 und -51 haben könntet, (als ihr die Zahlen 34 und 17 austauscht) und somit wäre auch ein ganz anderes gemeinsames Ergebnis im 2. Schritt denkbar.
Das ist natürlich unheimlich vereinfacht. Aber wenn Du das ganze mit 256 Stellen langen Zeichen-Zahlenkombinationen und maximal komplizierten Berechnungen machst, sollte klar sein wieso es für jemanden in der Mitte relativ schwer wird was abzufischen.
Zuletzt bearbeitet:
Und wie immer: Mag die Verschlüsselung so sicher sein wie sie will, es werden in unregelmäßigen Abständen Sicherheitslücken entdeckt, mit denen man eben doch mitlesen kann. Ja, die werden, sobald sie bekannt werden, behoben - aber wer sagt, dass der ein oder andere Geheimdienst nicht doch noch ein paar unentdeckte Lücken in der Hinterhand hat?
Und ja, Quelloffen ist sicherlich gut und schön. Ich sehe aber, dass jeder den Quellcode ansehen, analysieren und nach Lücken Ausschau halten kann. Und natürlich eine gefakte Version in Umlauf bringen mit eingebauter Lücke.
Und wozu führt das ganze? Das sieht man bei Telegram, sicher, verschlüsselt usw. Leider so gut, dass das der Messenger für Pädophile geworden ist. Und Terroristen.
Und ja, Quelloffen ist sicherlich gut und schön. Ich sehe aber, dass jeder den Quellcode ansehen, analysieren und nach Lücken Ausschau halten kann. Und natürlich eine gefakte Version in Umlauf bringen mit eingebauter Lücke.
Und wozu führt das ganze? Das sieht man bei Telegram, sicher, verschlüsselt usw. Leider so gut, dass das der Messenger für Pädophile geworden ist. Und Terroristen.
- Registriert
- Juni 2007
- Beiträge
- 7.322
@schiz0
So gesehen ja. Aber das ist bei vielen Clients so und viele meinen mit für den PC, dass es Clients dafür gibt, unabhängig, ob die Software auf dem Handy laufen muss oder nicht. Ist bei WhatsApp ja nicht anders. Hier muss man ja mit WhatsApp den QR Code scannen. Bei Telegram ist es indirekt auch so. Man bekommt den Code ans Telegram des Handys geschickt. Wobei ich gerade nicht weiß, ob es ohne installierten Telegram nicht dann eine SMS / iMessage wäre, anstatt eine Nachricht in Telegram.
So gesehen ja. Aber das ist bei vielen Clients so und viele meinen mit für den PC, dass es Clients dafür gibt, unabhängig, ob die Software auf dem Handy laufen muss oder nicht. Ist bei WhatsApp ja nicht anders. Hier muss man ja mit WhatsApp den QR Code scannen. Bei Telegram ist es indirekt auch so. Man bekommt den Code ans Telegram des Handys geschickt. Wobei ich gerade nicht weiß, ob es ohne installierten Telegram nicht dann eine SMS / iMessage wäre, anstatt eine Nachricht in Telegram.
@BrollyLSSJ
Für mich persönlich sind das einfach nur "GUIs" um die App am PC zu bedienen. Wenn es die App auch für andere Systeme (ausser Smartphones) geben würde, bräuchte ich keine Smartphone dafür. Ich weiß aber was du meinst.
Für mich persönlich sind das einfach nur "GUIs" um die App am PC zu bedienen. Wenn es die App auch für andere Systeme (ausser Smartphones) geben würde, bräuchte ich keine Smartphone dafür. Ich weiß aber was du meinst.
CptCupCake
Lt. Junior Grade
- Registriert
- Mai 2020
- Beiträge
- 314
Marco01_809 schrieb:
Als Unfug wurde auch die systematische Überwachung der USA bezeichnet, bis alles durch den von dir genannten Snowden bestätigt wurde.
Leider ist man erst hinterher schlauer und bis dahin verschließt man die Augen.
Ob meine Gedankengänge Unfug sind oder nicht, werden wir vielleicht erst in 2 Jahren, 10 Jahren oder noch später erfahren. Dann fängt alles wieder von vorne an und Leute wie du werden aktuelle Versprechen glauben, bis irgendwann wieder das Gegenteil bewiesen wird.
Bei WhatsApp denke ich mir:
Die Chats werden vollständig von Facebook auf Google Drive gespeichert. Mal angenommen die einzelnen Nachrichten werden verschlüsselt übertragen, aber sind die auch für alle unleserlich auf den Servern gespeichert?
Gibt es nicht weitere Programme wie beispielsweise GBoard oder nicht deinstallierbare Dienste im Hintergrund, die Nachrichten schon vor dem Versand speichern können, wenn es die NSA oder sonst wer möchte?
Das ist richtig, dass es nur Gedankengänge sind. Du kannst aber nicht einfach behaupten, dass das alles Unfug ist, wenn du es nicht 100% wissen kannst. Das kann können wohl nur sehr wenige Menschen bei Facebook oder Geheimdienste wissen und die werden mit Sicherheit nicht die Wahrheit sagen. "Zum Schutz der nationalen Sicherheit."
Leute mit Aussagen wie deinen wurden schon sehr oft durch Beweise wiederlegt, auch wenn es mehrere Jahre gebraucht hat.
Und ganz davon abgesehen: Wer kann garantieren, dass nicht irgendwann durch irgendein Update plötzlich alle Backups ausgelesen werden können. Für einen kurzen Zeitraum... vielleicht nur so kurz, dass es gerade mal ausreicht diese mit einem Supercomputer herunterzuladen?
Gegen die Wahrheit werden wir kleine Bürger nichts unternehmen können.
- Registriert
- Jan. 2005
- Beiträge
- 4.651
Vor allem nicht, wenn du die “Wahrheit” mit Mythen anreicherst und herumschwurbelst.
