• IT-Karriere:
  • Services:

Messenger: Was es mit der Signal-PIN auf sich hat

Um eine neu eingeführte Funktion des Messengers Signal ist in den sozialen Medien Streit entbrannt.

Artikel von veröffentlicht am
Die Signal-PIN sollte nicht nur vier oder sechs Ziffern lang sein.
Die Signal-PIN sollte nicht nur vier oder sechs Ziffern lang sein. (Bild: Signal)

In den vergangenen Monaten hat der Messenger Signal etliche neue Features wie Sticker, verpixelte Gesichter oder eine Signal-PIN eingeführt. Um letztere ist eine Diskussion zwischen Signal-Entwickler Moxie Marlinspike und Personen aus der Sicherheitscommunity wie dem Kryptographen Matthew Green entstanden. Diese empfehlen Signal normalerweise als Messenger, weil er vergleichsweise wenig Kompromisse in Sachen Sicherheit macht. Doch was ist die Signal-PIN überhaupt und wo liegen ihre Probleme?

Die Telefonnummer ist das soziale Netzwerk von Signal ...

Inhalt:
  1. Messenger: Was es mit der Signal-PIN auf sich hat
  2. Die Signal-PIN sollte nicht zu kurz sein

Ein Messenger als soziales Netzwerk ist ohne Kontakte nichts. Signal setzte bisher auf Vorhandenes: Telefonnummern, die wir in unserem Adressbuch mit weiteren Kontaktdaten wie Namen abgelegt haben. Im Prinzip sind Telefonnummern und Adressbücher ein bestehendes soziales Netzwerk. Die Entscheidung von Signal, dies zu nutzen, macht es Nutzern leicht, ihre Kontakte im Messenger wiederzufinden. Und Signal muss sich weder um das soziale Netzwerk kümmern noch eines aufbauen.

Aus einer Privatsphäre-Perspektive wurde dies jedoch häufig kritisiert: Eine Telefonnummer ist eine weltweit eindeutige Nummer, die meist auf vielfältige Weise mit der Person, die sie verwendet, verbunden ist - beispielsweise beim Telekommunikationsanbieter abgelegte Bestandsdaten (Name, Adresse). Zudem wird sie von vielen anderen Personen im Adressbuch hinterlegt und mit Diensten wie Whatsapp, Facebook oder Google synchronisiert, die sie für ihre Datensammlungen nutzen. Ein häufig zu Recht kritisierter Zustand.

... das soll sich mit der Signal-PIN und Secure Value Recovery ändern

Um neben Telefonnummern auch Nutzernamen auf Signal zu ermöglichen, die nicht im Adressbuch gespeichert werden, benötigt Signal ein eigenes Soziales Netzwerk, das auch dann noch existieren soll, wenn das Smartphone verloren oder kaputt geht. Klassischerweise speichern soziale Netzwerke oder Messenger die Kontaktliste einfach im Klartext auf dem Server, was für einen Dienst, der möglichst wenig über seine Nutzer wissen will, keine Option ist.

Stellenmarkt
  1. TAG Immobilien AG, Gera
  2. Rentschler Biopharma SE, Laupheim

Mit der Signal-PIN und einer Technik, die Signal Secure Value Recovery (SVR) nennt, will der Dienst die Kontaktliste sicher verschlüsseln, aber bei einer Neuinstallation von Signal auch mit einer kurzen, vierstelligen PIN wiederherstellen können. Dazu nutzt SVR die Software Guard Extensions (SGX), ein abgetrennter und verschlüsselter Bereich in Intel-Prozessoren, auf den weder das Betriebssystem oder installierte Software noch das Server-Admin-Team zugreifen können sollen.

Die Technik setzt Signal bereits beim Contact-Discovery ein, bei dem der Nutzer die Hashes der Telefonnummern aus dem Adressbuch hochlädt, die in der SGX-Enklave mit den Hashes der Telefonnummern, die auf Signal registriert sind, abgeglichen wird. Die Technik soll sicherstellen, dass der Signal-Server nicht mitbekommt, welche Telefonnummern sich im Adressbuch des jeweiligen Smartphones befinden.

Bei SVR wird die SGX-Enklave hingegen zur Verwaltung der Schlüssel verwendet, mit der die Kontaktlisten verschlüsselt werden. Für jede Signal-Installation wird ein zufälliger 256-Bit-Schlüssel gemeinsam mit einem Hash-Wert der Signal-PIN hinterlegt. Der Schlüssel kann durch Vorweisen des Hashes der Signal-PIN aus der SGX-Enklave heruntergeladen werden. Gemeinsam mit der Signal-PIN wird dann der Schlüssel gebildet, mit der die Kontaktliste verschlüsselt wurde. So bleiben die Kontakte auch nach einem Verlust des Smartphones erhalten, sofern die Signal-PIN korrekt eingegeben wurde.

Gleichzeitig bietet die Technik einen Brute-Force-Schutz, da aus der Signal-PIN alleine nicht der Schlüssel reproduziert werden kann, weil der Schlüsselteil aus der SGX-Enklave fehlt. Diese wiederum lässt nicht beliebig viele Anfragen zu. Doch an dem System entzündete sich in den letzten Tagen Kritik.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Die Signal-PIN sollte nicht zu kurz sein 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. ASUS TUF Gaming VG32VQ1B WQHD/165 Hz für 330,45€ statt 389€ im Vergleich und Tastaturen...
  2. 8€
  3. (u. a. The Crew 2 für 8,49€, Doom Eternal für 21,99€, Two Point Hospital für 8,29€, The...
  4. (u. a. Terminator: Dark Fate, Jumanji: The Next Level (auch in 4K), 21 Bridges, Cats (auch in 4K...

TrollNo1 16. Jul 2020 / Themenstart

Nicht zu heikel, eher zu kompliziert.

TrollNo1 16. Jul 2020 / Themenstart

Auseinander wäre nicht das Problem ;)

Vögelchen 16. Jul 2020 / Themenstart

Hast du eine Zeitmaschine oder so etwas? Ich habe den blöden Hinweis nämlich immer noch...

Vögelchen 15. Jul 2020 / Themenstart

Ich habe den Hinweis immer ignoriert, weil ich nicht wusste, was das soll und nicht...

DieterMieter 15. Jul 2020 / Themenstart

Das beschriebene System eignet sich nicht für "Mal eben massenweise Daten wegdumpen". Da...

Kommentieren


Folgen Sie uns
       


Macbook Air (2020) - Test

Endlich streicht Apple die fehlerhafte Butterfly auch beim Macbook Air. Im Test sind allerdings einige andere Mängel noch vorhanden.

Macbook Air (2020) - Test Video aufrufen
Ryzen Pro 4750G/4650G im Test: Die mit Abstand besten Desktop-APUs
Ryzen Pro 4750G/4650G im Test
Die mit Abstand besten Desktop-APUs

Acht CPU-Kerne und flotte integrierte Grafik: AMDs Renoir verbindet Zen und Vega überzeugend in einem Chip.
Ein Test von Marc Sauter

  1. AMD Ryzen Threadripper Pro unterstützen 2 TByte RAM
  2. Ryzen 3000XT im Test Schneller dank Xtra Transistoren
  3. Ryzen 4000 (Vermeer) "Zen 3 erscheint wie geplant 2020"

Sysadmin Day 2020: Du kannst doch Computer ...
Sysadmin Day 2020
Du kannst doch Computer ...

Das mit den Computern könne er vergessen, sagte ihm das Arbeitsamt nach dem Schulabschluss. Am Ende wurde Michael Fischer aber doch noch Sysadmin, zur allerbesten Sysadmin-Zeit.
Ein Porträt von Boris Mayer


    Mars 2020: Was ist neu am Marsrover Perseverance?
    Mars 2020
    Was ist neu am Marsrover Perseverance?

    Er hat 2,5 Milliarden US-Dollar gekostet und sieht genauso aus wie Curiosity. Einiges ist dennoch neu, manches auch nur Spielzeug.
    Von Frank Wunderlich-Pfeiffer


        •  /