Wenn der Signal-Server nichts vom sozialen Netzwerk weiß

Ein Messenger ohne Kontakte ist nichts. Daher baute Signal bisher auf einem bereits vorhandenen sozialen Netzwerk auf: Telefonnummern, die wir in unserem Adressbuch mit weiteren Kontaktdaten wie Namen abgelegt haben. Die Kontaktdatenbank ist also schon auf unserem Smartphone - und kann auch erst mal dort verbleiben.

Stellenmarkt
  1. Referentin bzw. Referent (m/w/d) für IT und Digitalisierung
    Behörde für Justiz und Verbraucherschutz, Hamburg
  2. Softwareentwickler (m/w/d) Frontend / Backend / Fullstack
    AUSY Technologies Germany AG, verschiedene Standorte
Detailsuche

Um festzustellen, welche Telefonnummern des Adressbuches bei Signal registriert sind (Contact Discovery), leitet der Messenger aus den Nummern Hashwerte ab. Diese werden mit den Hashes der bereits registrieren Telefonnummern in einem abgetrennten und verschlüsselten Bereich der Intel-Prozessoren auf den Servern - der SGX-Enklave - abgeglichen, auf den theoretisch weder das Betriebssystem oder installierte Software noch das Server-Admin-Team zugreifen können.

Dass Signal nur mit Telefonnummern und damit beispielsweise nur schwer anonym nutzbar ist, wurde in der Vergangenheit immer wieder kritisiert. Damit der Messenger in Zukunft auch ohne Telefonnummer und Adressbuch genutzt werden kann, hat Signal begonnen, das soziale Netzwerk auf dem Server zu speichern. Natürlich nicht im Klartext, sondern sicher verschlüsselt. Hier kommen die im letzten Jahr eingeführte Signal-Pin und eine Technik zum Einsatz, die Signal Secure Value Recovery (SVR) nennt.

Auch hier wird wieder die bereits erwähnte SGX-Enklave verwendet, in welcher für jede Signal-Installation ein Schlüssel sowie der Hashwert der Signal-PIN hinterlegt werden. Der Schlüssel kann durch Vorweisen des Hashes der Signal-PIN aus der SGX-Enklave heruntergeladen werden. Gemeinsam mit der Signal-PIN wird dann der Schlüssel gebildet, mit dem die Kontaktliste verschlüsselt wurde. So bleiben die Kontakte auch nach einem Verlust des Smartphones erhalten, sofern die Signal-PIN korrekt eingegeben wurde.

Messenger-Server wissen, wer in der Gruppe ist

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
Weitere IT-Trainings

Im Unterschied zu Signal gleichen die meisten Messenger das Adressbuch direkt auf dem Server ab und hinterlegen nicht selten auch die Kontaktliste auf dem Server - unverschlüsselt. Ein ähnliches Problem gibt es auch bei Gruppen: Wer in einer Gruppe ist und wie diese heißt, wird üblicherweise im Klartext auf dem Server gespeichert, auch wenn die ausgetauschten Nachrichten selbst Ende-zu-Ende-verschlüsselt sind.

Aus diesem Grund gab es bei Signal lange genau genommen gar keine Gruppen, sondern nur ganz normale Nachrichten, die an mehrere Personen geschickt wurden. In diesen stand - natürlich verschlüsselt -, dass es sich um eine Nachricht an eine Gruppe handelte. Das hatte den Vorteil, dass der Server nur Nachrichten verteilen, sich aber nicht mit den Metadaten einer Gruppe auseinandersetzen musste.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Mittlerweile hat Signal mit einem Forschungsteam von Microsoft ein System entwickelt, bei dem die Metadaten verschlüsselt auf dem Signal-Server abgelegt werden und nur von den Gruppenmitgliedern eingesehen werden können. Neben Gruppenanrufen und -administration ermöglichen diese erst kürzlich eingeführten Gruppen, auch einzelne Mitglieder über sogenannte @mentions direkt anzusprechen oder Einladungslinks zu verschicken.

Verschlüsselung für die Massen

Trotz all der ausgefeilten Sicherheits- und Datenschutztechnik, die normalerweise dazu führt, dass nur noch eine Handvoll Nerds die Technik bedienen kann, erfüllt Signal auch sein oberstes Ziel: Verschlüsselung für die Massen (Encryption for the Masses). Das bedeutet aber auch, dass Signal nicht kompromisslos auf Datenschutz und Sicherheit achtet, sondern diese immer mit der Benutzerfreundlichkeit in Einklang bringt. Das hat bisher erstaunlich gut geklappt, befriedigt aber auch nicht (sofort) jeden exotischen Wunsch der Sicherheits- oder Datenschutzcommunity.

Trotz der hohen Benutzerfreundlichkeit - letztlich können alle, die Whatsapp bedienen können, auch mit Signal umgehen - schafft es der Anbieter, derzeit einer der sichersten und datenschutzfreundlichsten Messenger auf dem Markt zu sein. Auf einem höheren Niveau dürfte sich nur Briar bewegen, der auch die anonyme und internetlose Kommunikation in Krisengebieten unterstützt, beispielsweise von Journalisten mit ihren Quellen. Messenger wie Telegram, Whatsapp oder Wire, aber auch Matrix/Element sind wegen der Metadatenproblematik weit abgeschlagen. Was einigen Datenschützern aber trotzdem Sorge bereitet: Signal sitzt in den USA. Muss ein sicherer Messenger nicht aus Europa kommen?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Wer hat uns verraten? Metadaten!Signal: Ein sicherer Messenger aus NSA-Land? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Intermotto12 17. Feb 2021

War bei mir am Anfang auch so. Man muss ja selbst aktiv werden - die App selbst hat...

mtr (golem.de) 01. Feb 2021

Hallo ahkluge, Danke für das Lob :-) Das steht letztlich in der Telekommunikations...

Keep The Focus 01. Feb 2021

selbst Signal, Matrix und Wire hat das

chefin 01. Feb 2021

Ein Hashwert kann aber auch mehrer Telefonummmern repräsentieren. Der Nummernschlüssel...

chefin 01. Feb 2021

Was bedeutet Schwachstelle? Nehmen wir mal an, die machen es clever. Dann werden alle...



Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. Wochenrückblick: Moderne Lösungen
    Wochenrückblick
    Moderne Lösungen

    Golem.de-Wochenrückblick Eine Anzeige gegen einen Programmierer und eine neue Switch: die Woche im Video.

  2. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

  3. NFTs: Valve verbannt Blockchain-Spiele und NFTs auf Steam
    NFTs
    Valve verbannt Blockchain-Spiele und NFTs auf Steam

    Nach einer Regeländerung sind Blockchain-Spiele nicht mehr auf Steam erlaubt. Konkurrent Epic will dies aber offenbar erlauben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 40€ Rabatt auf Samsung-SSDs • ADATA XPG Spectrix D55 16-GB-Kit 3200 56,61€ • Crucial P5 Plus 1 TB 129,99€ • Kingston NV1 500 GB 35,99€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /