Metadaten: Signal-Messenger verbirgt Absender

Die Entwickler des Signal-Messengers wollen die Metadaten reduzieren, auf die der Server bei der Nachrichtenübertragung Zugriff hat. Signal-Entwickler Joshua Lund erklärt in einem Blog-Post, wie man künftig Nachrichten ermöglichen will, die ohne sichtbaren Absender verschickt werden.

Stellenmarkt

1. IT-Systemadministrator Linux (m/w/d)
   Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München, Bayreuth
2. Systemmanager (m/w/d) SAP BW
   Flughafen Köln/Bonn GmbH, Köln

Detailsuche

Lund vergleicht die Signal-Nachrichten mit einem Brief. Auf dem Brief stehen üblicherweise eine Empfängeradresse und ein Absender, allerdings ist Letztere nicht nötig. Der Brief kann auch ohne Absender korrekt zugestellt werden.

Bisher kennt der Server den Absender

Bisher muss sich ein Client beim Signal-Server anmelden, um eine Nachricht zum Versand einzuliefern. Das erfolgt laut Lund aus zwei Gründen: Zum einen kann so mittels Ratelimiting verhindert werden, dass ein Nutzer massenhaft Nachrichten verschickt, zum anderen findet so eine Authentifizierung des Absenders statt.

Um Letzteres künftig zu erreichen, kann ein Client vom Server ein temporäres Senderzertifikat abrufen. Dieses Zertifikat kann der Absender dann an seine Nachricht anfügen - allerdings verschlüsselt. Die Prüfung findet auf Seiten des Empfängers statt. Somit kann der Server dieses Senderzertifikat nicht sehen.

Golem Karrierewelt

1. Masterclass Data Science mit Pandas & Python: virtueller Zwei-Tage-Workshop
   13./14.03.2023, Virtuell
2. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
   05.-07.12.2022, Virtuell

Weitere IT-Trainings

Weiterhin muss ein Client für absenderlose Nachrichten einen Token mitschicken, den er aus dem Profil des Empfängers erhalten kann. Wichtig dabei: Die Profile bei Signal werden ebenfalls als verschlüsselte Nachrichten verteilt. Sie sind nur für die Kontakte eines Nutzers und für Personen und Gruppen, denen man explizit Zugriff darauf gewährt, sichtbar. Der Server kennt die Profile nicht.

Die Idee dabei: Die neue Funktion kann nur von bereits bestehenden Kontakten genutzt werden. Das Rate-Limiting greift hier nicht, aber die Wahrscheinlichkeit, dass jemand von seinen persönlichen Kontakten massenhaft Nachrichten oder Spam erhält, ist deutlich geringer.

"Sealed Sender" in Betaversion verfügbar

Alternativ bietet Signal auch eine Option, generell von allen Absendern solche neuen Nachrichten zu akzeptieren - was aber dann beispielsweise auch von Spammern missbraucht werden könnte.

Die neue Option, die von Signal als Sealed Sender bezeichnet wird, soll in den nächsten Tagen in einer Betaversion zur Verfügung gestellt werden.