Reden Whistleblower wie Edward Snowden oder IT-Sicherheitsspezialisten wie Bruce Schneier über verschlüsselte Kommunikation, fallen schnell die Namen der Apps TextSecure und RedPhone von Open Whisper Systems. TextSecure ist eine freie und quelloffene Chat-App ähnlich wie Hangouts, WhatsApp und Co, die das Chatten über das Internet ermöglicht. Wie die proprietären Kandidaten unterstützt die freie Alternative TextSecure Chats mit Einzelpersonen oder Gruppen und bietet das Versenden von Bildern, Videos oder Audio-Schnippseln, allerdings findet die Kommunikation komplett von Ende-zu-Ende verschlüsselt statt. TextSecure als Betreiber des auch hier benötigten zentralen Servers, der Netzanbieter oder Fremde mit Zugang zur Kommunikation können die Inhalte der Nachrichten nicht einsehen.

Neben TextSecure hat Open Whisper Systems schon eine ganze Weile mit RedPhone auch eine VoIP-App im Programm, die verschlüsselte Telefonate über das Internet möglich macht. Mit Signal für Android vereint die Hacker-Gruppe nun beide Anwendungen zu einer App — so wie das bei der iOS-Version der Anwendung schon länger der Fall ist. Aus TextSecure wird Signal, der Link zum Eintrag Play Store bleibt daher erhalten, RedPhone wird jedoch nicht mehr als eigenständige Anwendung weiterentwickelt. Wer bisher TextSecure installiert hatte, der muss sich um nichts kümmern. Anwender mit RedPhone auf dem Handy werden den Hinweis erhalten doch bitte Signal zu installieren.

Signal (ehemals TextSecure) funktioniert ähnlich wie WhatsApp und Co., nur jedoch von Ende zu Ende verschlüsselt.
Signal (ehemals TextSecure) funktioniert ähnlich wie WhatsApp und Co., nur jedoch von Ende zu Ende verschlüsselt.
Die neue Android-Version von Signal integriert die von RedPhone bekannte verschlüsselte VoIP-Telefonie.
Die neue Android-Version von Signal integriert die von RedPhone bekannte verschlüsselte VoIP-Telefonie.

Der Quellcode von Signal, sowohl von den Clients wie aber auch von der Server-Komponente, liegt offen und das Programm wird von der Electronic Frontier Foundation für verschlüsselte Kommunikation und dem Schutz der Privatsphäre empfohlen. Das Programm hat schon einige Audits hinter sich, die dem Protokoll eine hohe Sicherheit attestieren. Allerdings gibt es durchaus auch Kritik, da Signal beispielsweise auf Google Cloud Messaging zurückgreift. Aufgrund der Verschlüsselung hat Google zwar keinen Zugriff auf die Inhalte der Nachrichten, Metadaten lassen sich dadurch allerdings recht einfach erheben.

Vorheriger ArtikelHeadless Server wie einen Raspberry Pi im Netz finden ohne die IP-Adresse zu kennen
Nächster ArtikelDebian Administrator’s Handbook für Debian 8 aka Jessie erschienen
Hallo, ich bin Christoph - Linux-User, Blogger und pragmatischer Fan freier Software. Wie ihr ohne Zweifel bemerkt haben solltet, schreibe ich hier über Linux im Allgemeinen, Ubuntu im Speziellen sowie Android und andere Internet-Themen. Wenn du Freude an meinen Artikel gefunden haben solltest, dann kannst du mir über Facebook, Twitter oder natürlich dem Blog folgen.

20 Kommentare

  1. Mein Problem mit Signal bzw. Textsecure ist nach wie vor, dass ein zeitgemäßer Instant Messenger m.E. einfach einen Desktop-Client braucht. Das hat ja selbst Whatsapp mit seiner (wenn auch halbherzigen) Webversion eingesehen. Dadurch bleibt Signal einfach schon in der Nutzbarkeit hinter den Konkurrenten zurück – vom bekannten Effekt, dass Leute nicht den besten Messenger nutzen, sondern den, den ihre Peergroup hat, noch ganz abgesehen.

    • Wie mein Vorposter schrieb, wird es eine Erweiterung für Chrome geben. Da diese mit Sicherheit auch wieder offenliegen wird, kann man gut drauf spekulieren, dass sich Firefox-Entwickler an das Thema machen werden. Zudem gibt es die ganze Verschlüsselungstechnik auch in Form von Bibliotheken für Java oder C (Stichwort libaxolotl), damit ließen sich dann auch recht einfach Desktopclients entwickeln… Will heißen: Kommt Zeit, kommt Desktop-Client für Signal.

  2. Telegram zum Beispiel hat einen Webclient (u.a.), das Problem ist nur das man keinen Ende-zu-Ende Chat in mehreren Clients anzeigen lassen kann.

    So kann man zum Beispiel aus dem Telegram-Webclient chatten aber nur die Chats sehen welche nicht Ende-zu-Ende sind.

    Wenn du also den Webclient nutzt kannst du auch direkt Whatsapp nutzen, einen besonderen Mehrwert bringt Textsecure dann nicht.

  3. Unter den Desktop Clienten von Telegram gibt es durchaus einige mit Ende zu Ende Verschlüsselung.

    Musst eben 2 Chats öffnen, einen zum Mobile und einen zum Desktop.

  4. Ich nutze Signal schon länger. Hab nur einen beschränkten Bekanntenkreis, der Whatsapp und so auch nicht so gerne nutzt. Von daher hab ich kein Problem mit allen über Signal zu chatten, mit den ich kommunizieren möchte.

  5. Bei Firefox kann man mit Hello chatten usw also von Mozilla gibts auch sowas, jetzt habe ich ne Frage kann jenes Funktion nur für Firefox nutzen oder kann ich auch mit Usern außerhalb von Mozilla nutzen oder kann ich nur mit Mozilla-Usern chatten, den bei Hangouts wird außerhalb von Google schwierig mit den Chat, denn ich hatte mal von Hangouts aus jemand von yahoo zum chatten einladen wollen das ging nicht!???

  6. Bei Firefox kann man mit Hello chatten usw also von Mozilla gibts auch sowas, jetzt habe ich ne Frage kann jenes Funktion nur für Firefox nutzen oder kann ich auch mit Usern außerhalb von Mozilla nutzen oder kann ich nur mit Mozilla-Usern chatten, den bei Hangouts wird außerhalb von Google schwierig mit den Chat, denn ich hatte mal von Hangouts aus jemand von yahoo zum chatten einladen wollen das ging nicht!???

    • Firefox Hello basiert meines Wissens auf WebRTC, wäre also offen für andere Anwendungen. Ob es die gibt und ob die dann auch jemand nutzt, ist eine andere Frage. Bei allen ernsthaft verbreiteten Messagingdiensten ist man ja ins Netzwerk des Anbieters eingesperrt.

      • Hi Wabbel, das liegt wohl auch daran weil jeder Anbieter sein eigenes Süppchen kocht und niemand Fremdes eines Fremdanbieter in sein soziales Netz rein läßt und was daran global sein soll,ist mir eh schleierhaft und es gibts wenig Anbieter die global offen sind bis jetzt ist nur die Emailfunktion mit @ senden die global zu andern Prowiderteilnehmern auch die Videotelefonie ist noch eingeschränkt und ausbaufähig aber für Handynutzer in der Praxis nur beschränkt möglich bis die Highspeedbremse kommt das ist kommunikativ für viele die kein LTE und keinen teuren Mobilfunkvertrag habn ein Rückschritt weil neben den Netzausbau gleichzeitig die Highspeeddrossel gezogen wird das ist Betrug am User der brav die Flaterate bezahlen die ja auch nicht mehr billiger werden, sondern schleichend wieder teurer werden schau dir einfach die Tarife alleine von Prepaidanbieter an bei Prepaidwiki zum Beispiel und jetzt zur Zeit was die Deutsche Telekom vorhat den Festnetzkunden ne Geschwindigbremse für Billigflaterates aufzubügeln und nur noch Firmen den Vortritt zu laßen gegen ordentlich Zaster dann braucht Niemand mehr die Netze ausbauen es ist ein Widerspruch an sich und ne Verarschung an uns Internetnutzer das einzige was der Festnetzer für Chancen hat vom Rücktrittsrecht gebrauch zu machen weil ihm seine Leistungen gekürzt werden und den Prepaidnutzern rate ich das Guthaben zu lerren und nicht mehr aufzuladen und den Anbieter zu wechseln wobei ja die Konditionen sooft gewechselt werden wie die Unterhosen und Transparenz kannste vergessen sieh dir nur das Kleingedrucktes was schon wegen kleinen Schriftgröße und dem widersprüchlichen Formulierungen schon eine geistige, streßige Schwerst-Atletik im geistigen, wie juristischem Sinne ist und kaum ein User mag sich damit vertiefen!

      • @Wabble

        Das ist nicht nur das einzige Problem, zum Beispie Whatsapp sag mal wie willst du die volle Funktion an Message nutzen wenn dein Mobilfunkanbieter deine Verbindung drosselt dh von den Message kann ich nur die Mails versenden an alle Anbieter und auch bei Highspeedlimit im Anhang bis 1 MB versenden und Datenschutz kannste knicken schau die Playstore an wenn du Punkte gibts und du per Google+ deine Freunde im in deinen Kreis setzt ist deren Name fast öffentlich das finde ich von Google auch nicht gut und schon alleine der Anmeldezwang bei Playstore um nur alleine Android-Apps zu installieren bräuchte nicht sein, es geht bei manchen Linuxdesktopsysteme anders dort gehe ich im Programmmanger oder bei Ubuntu zu Synaptics und lade und installiere die Programme ohne Account und Passwort und für Android gibts ja noch F-Droid wo ich meine Apk-Apps lade und installiere auch anmeldefrei und mein Internet bricht nicht zusammen und gibts keine aufdringliche Werbeapps dh Apps mit Werbung oder Bewertungsbutton, ich habe gerade deshalh Playstore ins Spiel gebracht weil das Thema Datenschutz im Artikel gefallen ist, aber was ist schon sicher das uralte Thema Emailsaccounts werden gehackt und jemand meldet sich mit deinen Passwort bei deinen Emailanbieter an und ließt deine Post da ist ja das Postgeheimniß in Gefahr und schreibt mit deinen Namen @ hefftig oder? Und mache Android-Apps erlauben sich deine Telefongespräche aufzeichnen und biste dir 100 % sicher das dein Emailanbieter das nicht tut, um dein Nutzerprofil zu erfahren und dich mit Spams zu zuscheißen Web.de ist so ein Kandidat das läßt sich nicht mal abstellen, bei mir kommt das automatisch im Spameimer somit trenne ich die Spreu vom Weizen und wer selten seine Email weitergibt der bekommt seltener Werbung!

  7. Soeben runtergeladen — und sogleich auch wieder gelöscht. Die App will meine Rufnummer, ohne diese Angabe kann man sie nicht nutzen. Ist ja wie bei WhatsApp?! Da bleib‘ ich auf jeden Fall bei Threema!

  8. „Allerdings gibt es durchaus auch Kritik, da Signal beispielsweise auf Google Cloud Messaging zurückgreift. Aufgrund der Verschlüsselung hat Google zwar keinen Zugriff auf die Inhalte der Nachrichten, Metadaten lassen sich dadurch allerdings recht einfach erheben.“

    Das stimmt so nicht. GCM wird ausschließlich zum Aufwecken des Empfangsgeräts genutzt.

    Der Fluss geht so:
    A schickt die Ende-zu-Ende-verschlüsselte Nachricht direkt an den Signal-Server. Dieser schickt eine GCM-Push-Nachricht ohne Inhalt an das Gerät von B. Dieses wacht daraufhin aus seinem Schlafzustand auf und fragt beim Signal-Server nach, ob es neue Nachrichten gibt. Ist das der Fall, werden diese runtergeladen, entschlüsselt und angezeigt.
    Sämtliche Kommunikation mit dem Signal-Server findet transportverschlüsselt über TLS statt, das Serverzertifikat ist fest in den Apps hinterlegt.
    Die Nachrichten sind nochmals verschlüsselt und die einzigen Metadaten die Google sieht sind die Uhrzeit und den Fakt, dass ein Nutzer irgendeine Signal-Nachricht (Inhaltsgröße nicht erkennbar) bekommen hat.

    Um beispielsweise herauszufinden, wer wann mit wem welche Art von Daten (Text, Bilder, Audio, Video) verschickt, muss man entweder die Signal-Server hacken, oder eine passive Mithörmöglichkeit des Internettraffics des Signal-Servers mit langer Speicherung haben, über die man dann statistische Analysen fahren kann, welche Nutzer zur gleichen Zeit aktiv sind und wie groß die Nachrichten sind, die vom Signal-Server herunter- bzw hochgeladen werden. Akkumuliert man diese Ergebnisse über eine längere Zeit, kann man den sozialen Graphen der Nutzer enttarnen.

    Das kann man üblicherweise aber viel einfacher dank Facebook, WhatsApp, und den riesigen Metadatenmengen, die Emails im Netz verteilen.

    tl;dr: Besser als Signal kann man Metadaten nur schützen, wenn man ein Anonymisierungsnetzwerk wie Tor, I2P oder Gnunet dazwischen schaltet. Das ist momentan auf Mobilgeräten aber nicht praktikabel ohne den Akku sehr schnell zu entleeren.

  9. Da Signal bedauerlicherweise nicht ohne Google-Services bzw. die GCM-Funktion (Google Cloud Messaging) auskommt und seitens des Maintainers Diskussionen dazu geblockt werden (näheres unter https://www.kuketz-blog.de/android-signal-ohne-google-cloud-messaging ) , haben sich einige die Mühe gemacht, Signal zu forken, welches hingegen auf WebSocket basiert und nicht auf GCM: LibreSignal ( https://github.com/LibreSignal/LibreSignal demnächst auch in der offiziellen F-droid-repo vorzufinden). Das schöne daran: es lassen sich auch „normale“ Signal-Benutzer erreichen.
    Zwar nicht ganz so schön wie Conversations (XMPP/ „jabber“) aber um vieles annehmbarer als Signal )mehr als Threema oder whatsapp allemal)

    • Da kann man nur gratulieren, einen Messenger wie Signal, den (leider) eh schon niemand nutzt, auch noch zu forken.
      Ich weiß ja nicht, in welcher Welt andere Leute leben, z.B. Leute, die solche Sätze schreiben:

      Viele fortgeschrittene und kritische Android-Anwender möchten ihr mobiles Endgerät ohne proprietäre Google Software betreiben.

      Aber in der Welt hier kennt und nutzt keiner Signal (wie gesagt: leider), noch kann die Rede sein von „vielen“ Androidanwendern, die Android ohne Googleservices nutzen wollen. Insofern finde ich es sehr bedauerlich, dass ein Dienst wie Signal, der Verschlüsselung ganz explizit für die User bereitstellen soll, die real existieren, und nicht für solche, die erst noch erzogen werden müssen, dann wieder aus dem „IT-Security“-Lager angegriffen wird.

      • Ich kann nachvollziehen was Du meinst, doch solltest Du nie die eigene „Bubble“ ignorieren, in der jeder von uns unterwegs ist, vor allem wenn Du schreibst „Ich weiß ja nicht, in welcher Welt andere Leute leben …Aber in der Welt hier kennt und nutzt keiner Signal“.

        Es ist völlig unerheblich, zumindest für mich, ob oder wieviele Signal oder gar den Fork LibreSignal verwenden. Bisher hat es noch jeder geschafft, der mit mir brabbelloggen wollte, sich Signal oder den Fork zu installieren. Und das hat bisher, mit einer kurzen Erklärung über warum und wieso, mehr zur Sensibilisierung der Thematik beigetragen, als irgendein idealistisches oder „weltfremdes“ Missionieren.

        Bitte nicht falsch verstehen. Signal oder LibreSignal sind nicht das gelbe vom Ei. Wirklich guten gewissens kann man letztendlich nichts empfehlen und sei es drum, weil man die toolchains zur Kompilierung nicht selber geschrieben hat ;-).Doch wenn man schon etwas benutzen „muss“, wählt wählt man doch das mit dem grössten Nutzen und dem kleineren übel.

        Natürlich ist eine Äusserung wie „Viele fortgeschrittene und kritische Android-Anwender möchten ihr mobiles Endgerät ohne proprietäre Google Software betreiben.“ sehr idealistisch und aus Deiner Bubble aus gesehen weltfremd, doch weisst Du nicht, wie in seiner Bubble fortgeschrittene/kritische Android-Anwender definiert werden und zumindest der Versuch, dass ganze auf ein Minimum zu reduzieren, aus meiner Sicht, lobenswert ist.

        Was Du jedoch hingegen als „bedauerlich“ bezeichnest ist einer der fundamentalen Grundgedanken von FOSS oder GNU/LINUX und da wird auch niemand „angegriffen“. Diversität heisst hier das Zauberwort. OpenWhisperSys haben ein „Feature“ implementiert, welches für einige ein NoGo ist. Auch das beharren der Entwickler auf dieses „Feature“ ohne Optionen sollte zumindest hellhörig machen.Und FOSS ist letztendlich kein Produkt, wie in diesem Fall z.B. Threema, die in konkurrenz stehen, sondern vielmehr „Code der allgemein gültigen Vereinbarungen unterliegt“. Und deshalb wurde er auch geforkt: Weil es jemand wollte, durfte und es auch konnte ;-).

        • Oh, ich will niemandem verbieten, Signal zu forken. Ich halte es nur nicht für sinnvoll. Und: Signal wird durchaus angegriffen. Die FOSS-Community in allen Ehren, aber zu behaupten, da ginge es nur um friedliche Diversität und nicht auch ganz erheblich um ideologische, persönliche und feindselig geführte Grabenkämpfe, ist m.E. eine starke Beschönigung. Was innerhalb von FOSS-Mailinglisten an Gift und Galle gespuckt wird, meine Güte (Debian!). Bereichernde Diversität ergibt sich im Glücksfall, ja. Ebenso real sind aber Lähmung und Redundanz.

          Aber gut, eine Debatte ist hier ziemlich akademisch: Die Milliarden von Whatsapp-Installationen gegenüber einer vergleichsweise winzigen Signal-Nutzerbasis ist eben nicht nur eine „Bubble“ gegenüber einer anderen, sondern bildet eine gesellschaftliche Realität ab. Wenn man Massenüberwachung behindern will (wie die Signal-Entwickler), geht das nicht auf der Basis von „ich chatte nur mit Leute, die sich dafür extra meine Software installieren“. Insofern hat das Signal-Protokoll in Whatsapp (fürchterlich für echte FOSS-Ideologen) jetzt wohl mehr Fortschritt gebracht als 100 Jahre Signal-Entwicklung.

      • Ich kann nachvollziehen was Du meinst, doch solltest Du nie die eigene „Bubble“ ignorieren, in der jeder von uns unterwegs ist, vor allem wenn Du schreibst „Ich weiß ja nicht, in welcher Welt andere Leute leben …Aber in der Welt hier kennt und nutzt keiner Signal“.
        Es ist völlig unerheblich, zumindest für mich, ob oder wieviele Signal oder gar den Fork LibreSignal verwenden. Bisher hat es noch jeder geschafft, der mit mir brabbelloggen wollte, sich Signal oder den Fork zu installieren. Und das hat bisher, mit einer kurzen Erklärung über warum und wieso, mehr zur Sensibilisierung der Thematik beigetragen, als irgendein idealistisches oder „weltfremdes“ Missionieren.
        Bitte nicht falsch verstehen. Signal oder LibreSignal sind nicht das gelbe vom Ei. Wirklich guten gewissens kann man letztendlich nichts empfehlen und sei es drum, weil man die toolchains zur Kompilierung nicht selber geschrieben hat ;-).Doch wenn man schon etwas benutzen „muss“, wählt man doch das mit dem grössten Nutzen und kleinstem übel.

        Natürlich ist eine Äusserung wie „Viele fortgeschrittene und kritische Android-Anwender möchten ihr mobiles Endgerät ohne proprietäre Google Software betreiben.“ sehr idealistisch und aus Deiner Bubble aus gesehen weltfremd, doch weisst Du nicht, wie in seiner Bubble fortgeschrittene/kritische Android-Anwender definiert werden und zumindest der Versuch, dass ganze auf ein Minimum zu reduzieren, aus meiner Sicht, lobenswert ist.
        Was Du jedoch hingegen als „bedauerlich“ bezeichnest ist einer der fundamentalen Grundgedanken von FOSS oder GNU/LINUX und da wird auch niemand „angegriffen“. Diversität ist hier das Zauberwort. OpenWhisperSys haben ein „Feature“ implementiert, welches für einige ein NoGo ist. Auch das beharren der Entwickler auf dieses „Feature“ ohne Optionen sollte zumindest hellhörig machen.Und FOSS ist letztendlich kein Produkt, wie in diesem Fall z.B. Threema, die in konkurrenz stehen, sondern vielmehr „Code der allgemein gültigen Vereinbarungen unterliegt“. Und deshalb wurde er auch geforkt: Weil es jemand wollte, durfte und es konnte ;-).

        • Inzwischen wurde in Signal übrigens das Websocket-Fallback integriert, sodass auch die Originalversion ohne GCM funktioniert und man nicht mehr auf einen Fork angewiesen ist.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein