• IT-Karriere:
  • Services:

Wenn der Signal-Server nichts vom sozialen Netzwerk weiß

Ein Messenger ohne Kontakte ist nichts. Daher baute Signal bisher auf einem bereits vorhandenen sozialen Netzwerk auf: Telefonnummern, die wir in unserem Adressbuch mit weiteren Kontaktdaten wie Namen abgelegt haben. Die Kontaktdatenbank ist also schon auf unserem Smartphone - und konnte auch erst mal dort verbleiben.

Stellenmarkt
  1. Statistisches Bundesamt, Wiesbaden
  2. Universität Passau, Passau

Um festzustellen, welche Telefonnummern des Adressbuches ebenfalls bei Signal registriert sind (Contact Discovery), leitet der Messenger aus den Nummern Hashwerte ab. Diese werden mit den Hashes der bereits registrieren Telefonnummern in einem abgetrennten und verschlüsselten Bereich der Intel-Prozessoren auf den Servern - der SGX-Enklave - abgeglichen, auf den theoretisch weder das Betriebssystem oder installierte Software noch das Server-Admin-Team zugreifen können sollen.

Um in Zukunft auch eine ID neben der Telefonnummer zu ermöglichen, hat Signal begonnen, dieses so ermittelte soziale Netzwerk auf dem Server zu speichern. Natürlich nicht im Klartext, sondern sicher verschlüsselt. Hier kommen die im letzten Jahr eingeführte Signal-Pin und eine Technik zum Einsatz, die Signal Secure Value Recovery (SVR) nennt.

Auch hier wird wieder die bereits erwähnte SGX-Enklave verwendet, in welcher für jede Signal-Installation ein Schlüssel sowie der Hashwert der Signal-PIN hinterlegt werden. Der Schlüssel kann durch Vorweisen des Hashes der Signal-PIN aus der SGX-Enklave heruntergeladen werden. Gemeinsam mit der Signal-PIN wird dann der Schlüssel gebildet, mit der die Kontaktliste verschlüsselt wurde. So bleiben die Kontakte auch nach einem Verlust des Smartphones erhalten, sofern die Signal-PIN korrekt eingegeben wurde.

Messenger-Server wissen, wer in der Gruppe ist

Im Unterschied zu Signal gleichen die meisten Messenger das Adressbuch direkt auf dem Server ab und hinterlegen nicht selten auch die Kontaktliste auf dem Server - unverschlüsselt. Ein ähnliches Problem gibt es auch bei Gruppen: Wer in einer Gruppe ist und wie diese heißt, wird üblicherweise im Klartext auf dem Server gespeichert - auch wenn die ausgetauschten Nachrichten selbst Ende-zu-Ende-verschlüsselt sind.

Aus diesem Grund gab es bei Signal lange genau genommen gar keine Gruppen, sondern nur ganz normale Nachrichten, die an mehrere Personen geschickt wurden. In diesen stand - natürlich verschlüsselt -, dass es sich um eine Nachricht an eine Gruppe handelte. Das hatte den Vorteil, dass der Server nur Nachrichten verteilen, sich aber nicht mit den Metadaten einer Gruppe auseinandersetzen musste.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Signal hat mit einem Forschungsteam von Microsoft ein System entwickelt, bei dem die Metadaten verschlüsselt auf dem Signal-Server abgelegt werden und nur von den Gruppenmitgliedern eingesehen werden können. Neben Gruppenanrufen und -administration ermöglichen diese erst kürzlich eingeführten Gruppen, auch einzelne Mitglieder über sogenannte @mentions direkt anzusprechen oder Einladungslinks zu verschicken.

Verschlüsselung für die Massen

Trotz all der ausgefeilten Sicherheits- und Datenschutztechnik, die normalerweise dazu führt, dass nur noch eine Handvoll Nerds die Technik bedienen kann, erfüllt Signal auch sein oberstes Ziel: Verschlüsselung für die Massen (Encryption for the Masses). Das bedeutet aber auch, dass Signal nicht kompromisslos auf Datenschutz und Sicherheit achtet, sondern diese immer mit der Benutzerfreundlichkeit in Einklang bringt. Das hat bisher erstaunlich gut geklappt, befriedigt aber auch nicht (sofort) jeden exotischen Wunsch der Sicherheits- oder Datenschutzcommunity.

Trotz der hohen Benutzerfreundlichkeit - letztlich können alle, die Whatsapp bedienen können, auch mit Signal umgehen - schafft es der Anbieter, derzeit einer der sichersten und datenschutzfreundlichsten Messenger auf dem Markt zu sein. Auf einem höheren Niveau dürfte sich nur Briar bewegen, der auch die anonyme und internetlose Kommunikation in Krisengebieten unterstützt, beispielsweise von Journalisten mit ihren Quellen. Messenger wie Telegram, Whatsapp oder Wire, aber auch Matrix/Element sind wegen der Metadatenproblematik weit abgeschlagen. Doch muss ein sicherer Messenger nicht aus Europa kommen?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Wer hat uns verraten? Metadaten!Signal: Ein sicherer Messenger aus NSA-Land? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Spiele-Angebote
  1. (u. a. Code Vein - Deluxe Edition für 23,99€, Railway Empire - Complete Collection für 23...
  2. 9,29€
  3. 28,99€

Intermotto12 17. Feb 2021 / Themenstart

War bei mir am Anfang auch so. Man muss ja selbst aktiv werden - die App selbst hat...

mtr (golem.de) 01. Feb 2021 / Themenstart

Hallo ahkluge, Danke für das Lob :-) Das steht letztlich in der Telekommunikations...

Keep The Focus 01. Feb 2021 / Themenstart

selbst Signal, Matrix und Wire hat das

chefin 01. Feb 2021 / Themenstart

Ein Hashwert kann aber auch mehrer Telefonummmern repräsentieren. Der Nummernschlüssel...

chefin 01. Feb 2021 / Themenstart

Was bedeutet Schwachstelle? Nehmen wir mal an, die machen es clever. Dann werden alle...

Kommentieren


Folgen Sie uns
       


Librem Mini - Fazit

Der Librem Mini punktet mit guter Linux-Unterstützung, freier Firmware und einem abgesicherten Bootprozess.

Librem Mini - Fazit Video aufrufen
IT-Unternehmen: Die richtige Software für ein Projekt finden
IT-Unternehmen
Die richtige Software für ein Projekt finden

Am Beginn vieler Projekte steht die Auswahl der passenden Softwarelösung. Das kann man intuitiv machen oder mit endlosen Pro-und-Contra-Listen, optimal ist beides nicht. Ein Praxisbeispiel mit einem Ticketsystem.
Von Markus Kammermeier

  1. Anzeige Was ITler tun können, wenn sich jobmäßig nichts (mehr) tut
  2. IT-Jobs Lohnt sich ein Master in Informatik überhaupt?
  3. Quereinsteiger Mit dem Master in die IT

Surface Duo im Test: Microsoft, bitte bring ein Surface Duo 2!
Surface Duo im Test
Microsoft, bitte bring ein Surface Duo 2!

Microsofts neuer Ausflug in die Smartphone-Welt ist gewagt - das Konzept stimmt aber. Nicht stimmig hingegen sind Software, Hardware und Preis.
Ein Test von Tobias Költzsch

  1. Error 1016 Windows-Händler Lizengo ist online nicht mehr erreichbar
  2. Kubernetes Microsofts einfache Cloud-Laufzeitumgebung Dapr wird stabil
  3. Microsoft Surface Duo kostet in Deutschland ab 1.550 Euro

Videokonferenzen: Bessere Webcams, bitte!
Videokonferenzen
Bessere Webcams, bitte!

Warum sehen in Videokonferenzen immer alle schlecht aus? Die Webcam-Hersteller sind (oft) schuld.
Ein IMHO von Martin Wolf

  1. Webcam im Eigenbau Mit wenigen Handgriffen wird die Pi HQ Cam zur USB-Kamera

    •  /