Sichere Kurzmitteilungen auf dem Smartphone: Signal

15 October, 2015 — Platschi

Nachdem ich mit einer kleinen Einführung in den Datenschutz begonnen habe, möchte ich mit einer Empfehlung für Chat bzw. Kurzmitteilungsdienste auf dem Smartphone beginnen.


Wer es eilig hat: Ich empfehle Signal für die Kommunikation auf dem Handy!

Möglichkeiten, seine SMS und Chats zu verschlüsseln, gibt es viele. Die meisten Programme sind jedoch entweder nicht quelloffen - was bedeutet, dass niemand wirklich nachschauen kann, ob das Programm nicht doch irgendeine Hintertür hat - oder zu komplex, um dem gewöhnlichen Anwender nahezubringen. Zu denken wäre da in erster Linie an Jabber/XMPP, einem offenen Chatprotokoll, welches mit der wunderbaren OTR-Technologie ausgestattet werden kann. Allein schon eine Erläuterung der Funktionsweise, deren Installation bzw. der fehlerfreie Gebrauch dessen wären jedoch bereits zuviel, um es Mutti, meiner Frau oder selbst technisch versierteren Menschen aufzuerlegen.

Einfacher machen es da Chatprogramme wie Telegram, Threema, Surespot, usw., die ähnlich wie das wohl derzeit beliebte WhatsApp funktionieren, aber alle nur teilweise den Kommunikationsverkehr verschlüsseln, entweder gar nicht quelloffen sind (oder nur teilweise), oder nicht mehr weiterentwickelt werden. Wie bereits erwähnt, können bei nicht quelloffenen Programmen Sicherheitsexperten (und jeder andere Mensch, der mag) nicht vollständig in die Arbeitsweise solcher Programme schauen und den Code analysieren oder korrigieren - man kann diesen also grundsätzlich nicht vertrauen, ob nicht vielleicht doch irgendwo ein Dritter (Dienst) die verschlüsselten Daten abfängt und mitlesen kann, ob diese weiterverarbeitet oder analysiert werden, oder was sonst so mit den Mitteilungen und Fotos geschieht, die ich an Freunde und Bekannte sende. Oder, weniger paranoid gesehen, ob bekannte Fehler - die Einfallstore für Angreifer darstellen könnten - behoben wurden oder nicht. Bei WhatsApp z.B. wurden zwar die Programmierer des Programmes, welches ich nun empfehlen werde, beauftragt deren Verschlüsselung ebenfalls einzubauen, man hat aber schnell herausgefunden, dass diese leider weitgehend nutzlos ist. War wohl nur PR, aber was erwartet man auch bei einem Stück Software, das von Facebook gekauft wurde. Schlimmer noch ist es mit Telegramm, dass Sicherheit verkauft, dann aber die Nutzerkommunikation unverschlüsselt (plain text) auf seinem Server speichert. Geht's noch?

Signal

Unter dem Namen TextSecure gestartet, scheint momentan einzig Signal (Herunterladen für: Android | iOS) ein Lichtblick hinsichtlich sicherer Kommunikation auf Smartphonen zu sein.

Komplett quelloffen, kann jeder einsehen, wie Signal funktioniert - man kann den programmierern selbst beim Entwickeln zuschauen. 2014 wurde von Wissenschaftlern der Ruhr-Universität Bochum eine Analyse des TextSecure-Protokolls veröffentlicht, bei der Sie zu dem Ergebnis kamen, dass das Protokoll sicher ist.

Fazit: Weiterempfehlen und vor allem Nutzen!

Butter bei die Fische: Was kann Signal?

Als Nutzername fungiert bei TS/Signal die Handynummmer. Das Programm kann gleichzeitig SMS-Nachrichten verarbeiten, welche jedoch nicht verschlüsselt werden. Verschlüsselte Nachrichten können - logischerweise - nur zwischen Nutzern des Programmes versendet werden und sind kostenlos - WLAN oder anderweitige Internetverbindung vorausgesetzt. Verschlüsselte Nachrichten werden mit einem kleinen Schloss neben dem Zeitstempel versehen. Das Adressbuch innerhalb des Programmes listet, wenn man eine neue Mitteilung schreiben möchte direkt am Anfang alle Nutzer, die man bereits im Adressbuch hat und TextSecure/Signal benutzen. Verschlüsselung für den Otto-Normal-Verbraucher - ohne komplizierte Einstellungen, es läuft einfach so. Und so ist es auch gedacht.

Wer mir über Signal schreiben mag (oder es einfach nur testen möchte), kann mir gerne eine Email senden um meine Telefonnummer zu erfahren. Siehe hier.

Funktionen:

  • Nutzung als SMS Programm möglich (optional)
  • Verschlüsselte Nachrichten (Text, Fotos, Videos, Sprachaufzeichnungen, Kontakte) zwischen Nutzern senden
  • Gruppenchats natürlich möglich - selbstverständlich verschlüsselt.
  • Verschlüsselte, kostenlose Telefonate zwischen Nutzern (über Datenverbindung).
  • Identität durch gegenseitige Überprüfung der Fingerabdrücke (Verschlüsselung) möglich
  • Individuelle Klingeltöne und Farben per Kontakt
  • Verschlüsselt alle Mitteilungen exportieren
  • Programm kann passwortgeschützt werden
  • Uvm.

Also, worauf wartet ihr noch?

Links

  1. Open Whisper Systems Webseite
  2. Signal für Android
  3. Signal fürs iPhone

Tags: deutsch, datenschutz, internet