• IT-Karriere:
  • Services:

Wer hat uns verraten? Metadaten!

Mit Hilfe von Metadaten kann unter anderem ermittelt werden, wer mit wem kommuniziert. Natürlich auch, wie oft, zu welchen Zeiten und wie lange. Im Unterschied zu den Inhalten können diese Metadaten zudem leicht und in Massen von Maschinen ausgewertet werden. Auf diese Weise lassen sich mit den Daten nicht nur das soziale Netzwerk abbilden und soziale Beziehungen erkennen (Beziehungspartner, Affäre, Kollegen), sondern auch Rückschlüsse auf die Inhalte ziehen. Nicht umsonst sind Metadaten bei Überwachungsgeheimdiensten wie NSA oder GCHQ beliebt.

Stellenmarkt
  1. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck
  2. Proximity Technology GmbH, Düsseldorf

Dem versucht Signal mit dem Konzept des Sealed Sender entgegenzuwirken. Die Macher von Signal vergleichen dazu eine Ende-zu-Ende-Verschlüsselung mit Briefumschlägen samt Empfänger und Absender und dem darin verborgenen Brief. Sinnvollerweise sollte der Absender aber nicht notwendig sein, um die Nachricht zuzustellen - wie bei echter Post eben.

Analog dazu übermittelt auch Signal die Nachrichten ohne Absender, zumindest zwischen bereits bekannten Kontakten. Damit die Empfänger jedoch trotzdem wissen, von wem eine Nachricht stammt, fügen die Absender der Nachricht ein temporäres Senderzertifikat hinzu und verschlüsseln beides - als wäre eine Visitenkarte des Absenders mit in den Briefumschlag gesteckt worden. Das Zertifikat kann der Empfänger über den Profilschlüssel des Senders authentifizieren. Auf diesen haben jedoch nur bereits bekannte Kontakte Zugriff, um Missbrauch vorzubeugen.

Gifs und Link-Vorschau ohne Metadaten

Ein weiteres Problem in Bezug auf die Metadaten ist die Integration moderner Techniken, die mittlerweile zum Standard vieler Messenger gehören: beispielsweise die Gif-Suche. Denn der Gif-Anbieter Giphy erhält damit ohne weiteres Zutun Zugriff auf die Metadaten der Nutzer, die die Gifs anfragen.

Um dies zu verhindern, fungieren die Signalserver als Proxy und leiten die Anfragen an Giphy weiter, so dass der Anbieter nur den Signal-Server, nicht jedoch die IP-Adresse des Signal-Clients zu sehen bekommt. Da die Verbindung zwischen Signal-Client und Giphy-Server TLS-verschlüsselt ist, kann der Signal-Server trotzdem nicht auf die Inhalte der Abfragen schließen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Auf ähnliche Weise hatte Signal auch die Link-Vorschauen umgesetzt, die der Messenger seit rund zwei Jahren unterstützt. Auch hier sollte mit einem Proxy die IP-Adresse verschleiert werden. Das Team bekam dabei wegen der vielen Zugriffe jedoch Probleme mit Youtube und Instagram. Darüber hinaus mache es auch wenig Sinn, die IP-Adresse zu verschleiern, da die URL sowieso sehr wahrscheinlich vorher vom gleichen Gerät aus besucht worden ist. Der Signal-Client fragt die Server deshalb inzwischen direkt an, um die Link-Vorschauen zu erzeugen. Die Funktion kann aber auch deaktiviert werden.

Eines kann jedoch auch Signal nicht lösen: Bei der Kommunikation über das Internet per TCP/IP fallen beim Serverbetreiber prinzipienbedingt die IP-Adressen der Nutzer an - die im Falle von Signal bei den großen Cloud-Hostern liegen. Selbst wenn Signal eigene Server betreiben würde, änderte das nichts an dem eigentlichen Problem. Einziger Ausweg ist hier die Nutzung von Anonymisierungsdiensten wie Tor. Doch neben IP-Adressen gibt es auch noch die Telefonnummern der Kontakte, um die sich Signal wiederum selbst kümmert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Whatsapp-Alternative: Warum es okay ist, dass Signal Google-Server nutztWenn der Signal-Server nichts vom sozialen Netzwerk weiß 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote
  1. (u. a. Anno 2205 für 8,88€, Loop Hero für 12,74€, Lovecraft's Untold Stories für 3,50€)
  2. (u. a. Turtle Beach Stealth 600 Gen 2 Gaming-Headset für 84,99€)
  3. (u. a. Digitus HDMI-Switch 4K UHD 3x HDMI > 1x HDMI für 23,99€, Emtec C410 Color Mix 2.0...

Intermotto12 17. Feb 2021 / Themenstart

War bei mir am Anfang auch so. Man muss ja selbst aktiv werden - die App selbst hat...

mtr (golem.de) 01. Feb 2021 / Themenstart

Hallo ahkluge, Danke für das Lob :-) Das steht letztlich in der Telekommunikations...

Keep The Focus 01. Feb 2021 / Themenstart

selbst Signal, Matrix und Wire hat das

chefin 01. Feb 2021 / Themenstart

Ein Hashwert kann aber auch mehrer Telefonummmern repräsentieren. Der Nummernschlüssel...

chefin 01. Feb 2021 / Themenstart

Was bedeutet Schwachstelle? Nehmen wir mal an, die machen es clever. Dann werden alle...

Kommentieren


Folgen Sie uns
       


Gopro Hero 9 Black - Test

Ist eine Kamera mit zwei Displays auch doppelt so gut?

Gopro Hero 9 Black - Test Video aufrufen
    •  /