Messenger: Was es mit der Signal-PIN auf sich hat

Um eine neu eingeführte Funktion des Messengers Signal ist in den sozialen Medien Streit entbrannt.

Artikel von veröffentlicht am
Die Signal-PIN sollte nicht nur vier oder sechs Ziffern lang sein.
Die Signal-PIN sollte nicht nur vier oder sechs Ziffern lang sein. (Bild: Signal)

In den vergangenen Monaten hat der Messenger Signal etliche neue Features wie Sticker, verpixelte Gesichter oder eine Signal-PIN eingeführt. Um letztere ist eine Diskussion zwischen Signal-Entwickler Moxie Marlinspike und Personen aus der Sicherheitscommunity wie dem Kryptographen Matthew Green entstanden. Diese empfehlen Signal normalerweise als Messenger, weil er vergleichsweise wenig Kompromisse in Sachen Sicherheit macht. Doch was ist die Signal-PIN überhaupt und wo liegen ihre Probleme?

Die Telefonnummer ist das soziale Netzwerk von Signal ...

Inhalt:
  1. Messenger: Was es mit der Signal-PIN auf sich hat
  2. Die Signal-PIN sollte nicht zu kurz sein

Ein Messenger als soziales Netzwerk ist ohne Kontakte nichts. Signal setzte bisher auf Vorhandenes: Telefonnummern, die wir in unserem Adressbuch mit weiteren Kontaktdaten wie Namen abgelegt haben. Im Prinzip sind Telefonnummern und Adressbücher ein bestehendes soziales Netzwerk. Die Entscheidung von Signal, dies zu nutzen, macht es Nutzern leicht, ihre Kontakte im Messenger wiederzufinden. Und Signal muss sich weder um das soziale Netzwerk kümmern noch eines aufbauen.

Aus einer Privatsphäre-Perspektive wurde dies jedoch häufig kritisiert: Eine Telefonnummer ist eine weltweit eindeutige Nummer, die meist auf vielfältige Weise mit der Person, die sie verwendet, verbunden ist - beispielsweise beim Telekommunikationsanbieter abgelegte Bestandsdaten (Name, Adresse). Zudem wird sie von vielen anderen Personen im Adressbuch hinterlegt und mit Diensten wie Whatsapp, Facebook oder Google synchronisiert, die sie für ihre Datensammlungen nutzen. Ein häufig zu Recht kritisierter Zustand.

... das soll sich mit der Signal-PIN und Secure Value Recovery ändern

Um neben Telefonnummern auch Nutzernamen auf Signal zu ermöglichen, die nicht im Adressbuch gespeichert werden, benötigt Signal ein eigenes Soziales Netzwerk, das auch dann noch existieren soll, wenn das Smartphone verloren oder kaputt geht. Klassischerweise speichern soziale Netzwerke oder Messenger die Kontaktliste einfach im Klartext auf dem Server, was für einen Dienst, der möglichst wenig über seine Nutzer wissen will, keine Option ist.

Stellenmarkt
  1. Embedded Software Developer / Engineer (m/f/d)
    OTT Hydromet GmbH, Kempten
  2. Fulfillment Experte / Projektleiter Operations Prozesse/E-Commerce Warehouse (mobiles Arbeiten) ... (m/w/d)
    DPD Deutschland GmbH, Raum Frankfurt am Main, München, Dortmund (Home-Office)
Detailsuche

Mit der Signal-PIN und einer Technik, die Signal Secure Value Recovery (SVR) nennt, will der Dienst die Kontaktliste sicher verschlüsseln, aber bei einer Neuinstallation von Signal auch mit einer kurzen, vierstelligen PIN wiederherstellen können. Dazu nutzt SVR die Software Guard Extensions (SGX), ein abgetrennter und verschlüsselter Bereich in Intel-Prozessoren, auf den weder das Betriebssystem oder installierte Software noch das Server-Admin-Team zugreifen können sollen.

Die Technik setzt Signal bereits beim Contact-Discovery ein, bei dem der Nutzer die Hashes der Telefonnummern aus dem Adressbuch hochlädt, die in der SGX-Enklave mit den Hashes der Telefonnummern, die auf Signal registriert sind, abgeglichen wird. Die Technik soll sicherstellen, dass der Signal-Server nicht mitbekommt, welche Telefonnummern sich im Adressbuch des jeweiligen Smartphones befinden.

Bei SVR wird die SGX-Enklave hingegen zur Verwaltung der Schlüssel verwendet, mit der die Kontaktlisten verschlüsselt werden. Für jede Signal-Installation wird ein zufälliger 256-Bit-Schlüssel gemeinsam mit einem Hash-Wert der Signal-PIN hinterlegt. Der Schlüssel kann durch Vorweisen des Hashes der Signal-PIN aus der SGX-Enklave heruntergeladen werden. Gemeinsam mit der Signal-PIN wird dann der Schlüssel gebildet, mit der die Kontaktliste verschlüsselt wurde. So bleiben die Kontakte auch nach einem Verlust des Smartphones erhalten, sofern die Signal-PIN korrekt eingegeben wurde.

Gleichzeitig bietet die Technik einen Brute-Force-Schutz, da aus der Signal-PIN alleine nicht der Schlüssel reproduziert werden kann, weil der Schlüsselteil aus der SGX-Enklave fehlt. Diese wiederum lässt nicht beliebig viele Anfragen zu. Doch an dem System entzündete sich in den letzten Tagen Kritik.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Die Signal-PIN sollte nicht zu kurz sein 
  1. 1
  2. 2
  3.  


TrollNo1 16. Jul 2020

Nicht zu heikel, eher zu kompliziert.

TrollNo1 16. Jul 2020

Auseinander wäre nicht das Problem ;)

Vögelchen 16. Jul 2020

Hast du eine Zeitmaschine oder so etwas? Ich habe den blöden Hinweis nämlich immer noch...

Vögelchen 15. Jul 2020

Ich habe den Hinweis immer ignoriert, weil ich nicht wusste, was das soll und nicht...

DieterMieter 15. Jul 2020

Das beschriebene System eignet sich nicht für "Mal eben massenweise Daten wegdumpen". Da...



Aktuell auf der Startseite von Golem.de
Microsoft
Das nächste große Update für Windows 10 kommt im November

Die Version 21H2 wurde wohl auch wegen Windows 11 etwas nach hinten verschoben. Der Patch soll nun aber im November für Windows 10 kommen.

Microsoft: Das nächste große Update für Windows 10 kommt im November
Artikel
  1. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

  2. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

  3. Alexa, Siri, Google: Bericht listet von Sprachassistenten gesammelte Daten auf
    Alexa, Siri, Google
    Bericht listet von Sprachassistenten gesammelte Daten auf

    Fünf Sprachassistenten reagieren auf menschliche Kommandos, sammeln aber auch viele Daten über Personen und Geräte - etwa Browserverläufe.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AOC CQ32G2SE/BK 285,70€ • Dell Alienware AW2521H 360 Hz 499€ • Corsair Vengeance RGB PRO SL 64-GB-Kit 3600 253,64€ • DeepCool Castle 360EX 109,90€ • Phanteks Glacier One 240MP 105,89€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. Thermaltake Core P3 TG Snow Ed. 121,89€) [Werbung]
    •  /