Mike Kuketz
19. Januar 2021 | 10:04 Uhr

Signal: Jegliche Kommunikation erfolgt über Tech-Giganten wie Amazon, Microsoft, Google und Cloudflare

Update 02.12.2021

Auf diesen Beitrag wird oft verlinkt und mit falschen/nicht korrekten Aussagen verknüpft. Daher bitte den vorliegenden Beitrag aufmerksam lesen. Kein zentralisierter Messenger setzt das Zero-Knowledge-Prinzip besser um, als Signal. Weder FBI, NSA noch andere Geheimdienste können einfach Nachrichten ausleiten oder mitlesen.

Leider ist das Internet voller Trolle und Messenger-Fanboys, die Fake-News/verzerrte Informationen verbreiten.

Bei Signal erfolgt jegliche Kommunikation über verschiedene Tech-Giganten wie Amazon, Microsoft, Google und Cloudflare. Aufgesplittet nach Domains ergibt sich das folgende Bild:

  • Amazon: textsecure-service.whispersystems.org, cdn.signal.org, sfu.voip.signal.org
  • Google: storage.signal.org, contentproxy.signal.org
  • Microsoft: api.directory.signal.org, api.backup.signal.org
  • Cloudflare: cdn2.signal.org

Der Nachrichtenaustausch (textsecure-service.whispersystems.org) erfolgt bspw. über Amazon AWS, während die Google Data Server (storage.signal.org) für die Erstellung und Verwaltung der Gruppen zuständig sind. Das bedeutet: Jegliche Kommunikation wird über zentrale Server der Tech-Giganten abgwickelt. Gerade datenschutzsensible Nutzer mag das abschrecken, was ich nachvollziehen kann. Zumindest aus der IT-Sicherheitspersektive halte ich die Verwendung der angemieteten Server allerdings für vernachlässigbar, da Signal mit dem Zero-Knowledge-Prinzip arbeitet. Sicherlich wäre es wünschenswert, wenn die Signal Foundation die Server selbst hosten würde. Einen Sicherheitsgewinn würde dies allerdings nicht zwangsläufig bedeuten. Dennoch ist das ein Kritikpunkt, da dies natürlich auch Geld in die Kassen der Tech-Datenkraken spült.

Insgesamt erreicht Signal durch das Zero-Knowledge-Prinzip eine hohe Form der Datensparsamkeit:

  • Private-Contact-Discovery: Das Telefonbuch des Smartphones wird nicht im Klartext auf die Signal-Server geladen, sondern Telefonnummern werden vor der Übertragung gehasht und anschließend in einer SGX-Enklave abgeglichen. Dieser Ansatz ist zwar nicht perfekt, soll aber sicherstellen, dass der Signal-Server (oder Dritte) nicht mitbekommen, welche Telefonnummern bzw. Kontakte sich im Adressbuch des jeweiligen Smartphones befinden. Details zu diesem Verfahren siehe Ziffer 5 Identifier.
  • Sealed-Sender: Getreu dem Motto »Briefe können auch ohne Absender zugestellt werden«, ermöglicht Sealed-Sender das Versenden von Nachrichten, ohne dass der Server weiß, von wem die Nachricht eigentlich stammt. Wer der Absender tatsächlich ist, sieht nur der Empfänger. Vereinfacht ausgedrückt wird dies durch ein temporäres Senderzertifikat erreicht, das der Absender an seine Nachrichten verschlüsselt anfügt und nur lokal beim Empfänger wieder entschlüsselt wird. Der Server kann das Senderzertifikat nicht einsehen und hat folglich keine Kenntnis darüber, wer mit wem kommuniziert.
  • Verschlüsselte Nutzerprofile: Die Nutzerprofile werden bei Signal unter den Teilnehmern als verschlüsselte Nachricht verteilt. Damit sind die Kontakte bzw. das Profil nur für Personen sichtbar, denen man den Zugriff darauf gewährt hat. Der Server bzw. Betreiber kann die Nutzerprofile, bestehend aus Name und Foto, nicht einsehen.

Insgesamt reduziert das die Metadaten zwar nicht, aber die dargestellten Maßnahmen machen es eben schwierig bis unmöglich Metadaten in irgendeiner Form sinnvoll zu verwerten. Der Ansatz lässt sich vielleicht auch so umschreiben:

Was ich nicht weiß, macht mich nicht heiß

Insgesamt bedeutet das: Die Signal-Server transportieren nur verschlüsselte Nachrichten und Statusinformationen, ohne die Absender zu kennen. Außer der Messenger Briar (der einen dezentralen Ansatz verfolgt) gibt es aktuell keinen Messenger, der das Zero-Knowledge-Prinzip konsequenter umsetzt.

Signals Anstrengung die Metadaten bestmöglich zu vermeiden hat allerdings auch seine Grenze: Zumindest die IP-Adresse der Signal-Nutzer ist für die Tech-Giganten (Amazon, Google etc.) einsehbar. Fraglich ist allerdings, ob bspw. Amazon aus den vorhandenen Informationen (bspw. via IP-Korrelation) feststellen kann, welche zwei IP-Adressen bzw. Teilnehmer miteinander kommunizieren. Davor schützt das Zero-Knowledge-Prinzip bzw. der Sealed-Sender-Ansatz nämlich nicht. Ohne Einblick lässt sich das schwierig beurteilen und ist ein grundsätzliches Problem von zentralisierten Lösungen.

Was am Ende bleibt ist ein Makel: Im Gegensatz zu Threema setzt Signal eben auf Server-Dienstleister, die insbesondere bei datenschutzbewussten Nutzern keinen guten Ruf genießen. Das zeigt auch ein Dilemma, in dem wir uns aktuell befinden. Sind nur noch Amazon, Google und Co. in der Lage ausreichend Serverkapazitäten bereitzustellen? Eine bedenkenswerte Entwicklung.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡
Ähnliche Beiträge
Signal
8. Dezember 2020

Signal: Hohe Sicherheit und Zero-Knowledge-Prinzip – Messenger Teil9

Signals Verschlüsselung gilt als »Goldstandard« in der Kryptoszene. Mit immer neuen Technologien setzt sich der Messenger weiter von Mitbewerbern ab.
WhatsApp-Alternativen
4. Mai 2021

Datenschutzfreundliche und sichere WhatsApp-Alternativen

Es gibt Messenger-Alternativen, die WhatsApp hinsichtlich Komfort und Benutzerfreundlichkeit in nichts nachstehen und gleichzeitig deutlich datenschutzfreundlicher, transparenter und sicherer sind.
Welt der Messenger
27. Januar 2020

Die verrückte Welt der Messenger – Messenger Teil1

Die Artikelserie »Messenger« wird insgesamt acht Messenger vorstellen und diese aus der Perspektive IT-Sicherheit und Datenschutz bewerten.
Microblog
21. Januar 2021

Signal: Welche Metadaten hinterlässt der Messenger bei Amazon und Co.?

In einem Beitrag hatte ich aufgezeigt, dass sämtliche Kommunikation von Signal über Tech-Giganten wie Amazon, Microsoft, Google und Cloudflare erfolgt.…
XMPP
16. November 2018

Messenger: XMPP ist nicht der Heilsbringer – aber eine Lösung

XMPP kann für bestimmte Zielgruppen, mit hohem Autonomiebedürfnis, eine Lösung zu geschlossenen Plattformen wie WhatsApp darstellen.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.