• IT-Karriere:
  • Services:

Die Signal-PIN sollte nicht zu kurz sein

Ein Problem an dem System von Signal dürfte sein, dass es nicht einfach zu verstehen ist: So wird in den sozialen Medien immer wieder das Hochladen der Kontaktliste in die Cloud kritisiert und Messenger wie Riot/Matrix empfohlen, welche die Kontakte ohnehin auf dem Server speichern - im Unterschied zu Signal allerdings nicht verschlüsselt, sondern im Klartext.

Stellenmarkt
  1. Hays AG, Berlin
  2. Bank of Scotland, Berlin Mitte

Doch es gibt durchaus zwei kritische Punkte an dem Konzept der Kontaktlistenverschlüsselung von Signal: Das Konzept steht und fällt mit dem Vertrauen in Intels SGX und der Länge der Signal-PIN. In den letzten Jahren wurden unzählige schwerwiegende Sicherheitslücken in Intel-Prozessoren aufgedeckt, von diesen war auch immer wieder SGX betroffen. Erst im Juni präsentierte eine Arbeitsgruppe an der Michigan Universität mit SGAxe einen Angriff auf Intels SGX. Das Team konnte manipulierte SGX-Enklaven mit gefälschten Zertifikaten als echte, vertrauenswürde Enklaven ausgeben. Das wird nicht die letzte Sicherheitslücke sein, die in Intels SGX-Technik entdeckt werden wird.

Ohne SGX bietet eine vierstellige PIN keinen Schutz - eine lange Passphrase schon

Doch was würde passieren, wenn Eindringlinge an die Schlüsselhälfte in der SGX-Enklave gelangen könnten? Damit allein könnten sie zwar noch nichts anfangen, weil ihr die zweite Schlüsselhälfte fehlt, allerdings ist diese nur noch so sicher wie die gewählte Signal-PIN. Hat diese nur die Mindestlänge von vier Ziffern, dürfte sich der zweite Schlüsselteil in kürzester Zeit berechnen lassen.

Eine derlei kurze Mindestlänge von vier Ziffern kann also keinerlei kryptografischen Schutz bieten, wenn die SGX-Enklave kompromittiert ist. Doch gegen eine lange Passphrase ist auch ein Brut-Force-Angriff machtlos, beispielsweise eine BIP39-Passphrase wie stuff plastic young air easy husband exact install web stick hurt embody. Genau diese Passphrase sollte natürlich nicht als Signal-PIN verwendet werden. Letztlich kommt es also auf die Länge der PIN oder besser: Passphrase an - ist sie lang, ist die Verschlüsselung unabhängig von der SGX-Enklave sicher.

Opt-in oder Opt-out?

Golem Akademie
  1. Masterclass: Data Science mit Pandas & Python
    22./23. April 2021, online
  2. Terraform mit AWS
    4./5. Mai 2021, online
Weitere IT-Trainings

Ebenfalls vielfach kritisiert wurde die Art und Weise, wie die Signal-PIN eingeführt wurde: Vor einigen Wochen poppte in der App ein Hinweis auf, der dazu aufforderte, eine Signal-PIN einzurichten. Aus dem Hinweis ging nicht hervor, dass mit der Signal-PIN die Kontaktliste verschlüsselt und auf Signal-Servern abgelegt würde. Zudem standen nur die Optionen Einrichten oder Später zur Verfügung - bis Mitte Juli musste die PIN eingerichtet werden. Ein Opt-out war nicht vorgesehen. Nach anhaltender Kritik kündigte Marlinspike an, dass die nächste Signal-Version einen Opt-out nachliefern werde, bei einem Gerätewechsel könnten die Nutzer dann nicht mehr auf die verschlüsselte Kontaktliste zugreifen.

Andere Nachteile gebe es weder beim Opt-out noch beim Vergessen der Signal-Pin nicht, betonte Marlinspike. Das gelte jedoch nur, wenn nicht gleichzeitig die Registrierungssperre eingerichtet worden sei. Diese verlangt die Signal-PIN, sofern die App neu installiert werden soll. Damit man sich nicht dauerhaft aussperren kann, kann eine Telefonnummer nach einer Woche ohne Signal-Nutzung auch ohne PIN neu registriert werden.

Der Kryptograph Matthew Green äußerte nun die Befürchtung, dass Signal auch ein Backup der Nachrichten auf den Signal-Servern, ebenfalls ohne ein Opt-in, einführen könnte. Doch Marlinspike versprach ihm, dass Signal niemals Datensicherungen von Nachrichten ermöglichen werde, ohne den Benutzern die Wahl zu lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Messenger: Was es mit der Signal-PIN auf sich hat
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (u. a. PS5 + HD Kamera für 549,99€)

TrollNo1 16. Jul 2020

Nicht zu heikel, eher zu kompliziert.

TrollNo1 16. Jul 2020

Auseinander wäre nicht das Problem ;)

Vögelchen 16. Jul 2020

Hast du eine Zeitmaschine oder so etwas? Ich habe den blöden Hinweis nämlich immer noch...

Vögelchen 15. Jul 2020

Ich habe den Hinweis immer ignoriert, weil ich nicht wusste, was das soll und nicht...

DieterMieter 15. Jul 2020

Das beschriebene System eignet sich nicht für "Mal eben massenweise Daten wegdumpen". Da...


Folgen Sie uns
       


Fotos kolorieren mit einem Klick per KI - Tutorial

Wir zeigen, wie sich ein altes Bild schnell kolorieren lässt - ganz ohne Photoshop.

Fotos kolorieren mit einem Klick per KI - Tutorial Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /