Abo
  • IT-Karriere:

Metadaten: Signal-Messenger verbirgt Absender

Der verschlüsselte Messenger Signal unterstützt in der Betaversion ein Feature, bei dem Nachrichten so verschickt werden, dass der Server nicht weiß, von wem die Nachricht stammt. Wer der Absender ist, sieht nur der Empfänger.

Artikel veröffentlicht am , Hanno Böck
Ein Brief kommt auch ohne Absenderadresse an, der Empfänger genügt. Das soll bald auch beim Kryptomessenger Signal möglich sein.
Ein Brief kommt auch ohne Absenderadresse an, der Empfänger genügt. Das soll bald auch beim Kryptomessenger Signal möglich sein. (Bild: Wikimedia Commons)

Die Entwickler des Signal-Messengers wollen die Metadaten reduzieren, auf die der Server bei der Nachrichtenübertragung Zugriff hat. Signal-Entwickler Joshua Lund erklärt in einem Blog-Post, wie man künftig Nachrichten ermöglichen will, die ohne sichtbaren Absender verschickt werden.

Stellenmarkt
  1. ITERGO Informationstechnologie GmbH, Hamburg
  2. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf

Lund vergleicht die Signal-Nachrichten mit einem Brief. Auf dem Brief stehen üblicherweise eine Empfängeradresse und ein Absender, allerdings ist Letztere nicht nötig. Der Brief kann auch ohne Absender korrekt zugestellt werden.

Bisher kennt der Server den Absender

Bisher muss sich ein Client beim Signal-Server anmelden, um eine Nachricht zum Versand einzuliefern. Das erfolgt laut Lund aus zwei Gründen: Zum einen kann so mittels Ratelimiting verhindert werden, dass ein Nutzer massenhaft Nachrichten verschickt, zum anderen findet so eine Authentifizierung des Absenders statt.

Um Letzteres künftig zu erreichen, kann ein Client vom Server ein temporäres Senderzertifikat abrufen. Dieses Zertifikat kann der Absender dann an seine Nachricht anfügen - allerdings verschlüsselt. Die Prüfung findet auf Seiten des Empfängers statt. Somit kann der Server dieses Senderzertifikat nicht sehen.

Weiterhin muss ein Client für absenderlose Nachrichten einen Token mitschicken, den er aus dem Profil des Empfängers erhalten kann. Wichtig dabei: Die Profile bei Signal werden ebenfalls als verschlüsselte Nachrichten verteilt. Sie sind nur für die Kontakte eines Nutzers und für Personen und Gruppen, denen man explizit Zugriff darauf gewährt, sichtbar. Der Server kennt die Profile nicht.

Die Idee dabei: Die neue Funktion kann nur von bereits bestehenden Kontakten genutzt werden. Das Rate-Limiting greift hier nicht, aber die Wahrscheinlichkeit, dass jemand von seinen persönlichen Kontakten massenhaft Nachrichten oder Spam erhält, ist deutlich geringer.

"Sealed Sender" in Betaversion verfügbar

Alternativ bietet Signal auch eine Option, generell von allen Absendern solche neuen Nachrichten zu akzeptieren - was aber dann beispielsweise auch von Spammern missbraucht werden könnte.

Die neue Option, die von Signal als Sealed Sender bezeichnet wird, soll in den nächsten Tagen in einer Betaversion zur Verfügung gestellt werden.



Anzeige
Hardware-Angebote
  1. 349,00€
  2. täglich neue Deals bei Alternate.de
  3. 127,99€ (Bestpreis!)

MasterKeule 30. Okt 2018

... sollte ja nach wie vor möglich sein, insofern scheint mir das keine brauchbare Lösung...

buntspexxt 30. Okt 2018

Mehr dazu im Artikel von arstechnica hier: -> https://arstechnica.com/information...

TrollNo1 30. Okt 2018

Nur solche Menschen nutzen so fiese Versteckmechanismen und das gehört generell verboten...


Folgen Sie uns
       


Red Magic 3 - Test

Das Red Magic 3 richtet sich an Gamer - dank der Topausstattung und eines Preises von nur 480 Euro ist das Smartphone aber generell lohnenswert.

Red Magic 3 - Test Video aufrufen
Google Maps in Berlin: Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird
Google Maps in Berlin
Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird

Kartendienste sind für Touristen wie auch Ortskundige längst eine willkommene Hilfe. Doch manchmal gibt es größere Fehler. In Berlin werden beispielsweise einige Kleinprofil-Linien falsch gerendert. Dabei werden betriebliche Besonderheiten dargestellt.
Von Andreas Sebayang

  1. Maps Duckduckgo mit Kartendienst von Apple
  2. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich
  3. Kartendienst Qwant startet Tracking-freie Alternative zu Google Maps

FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.


      •  /