Signal ist sicherlich das Flaggschiff unter den sicheren Messengern, da Signal sowohl Sicherheit als auch eine große Reichweite garantiert. Betrieb und Weiterentwicklung werden durch Spenden und andere Einnahmen der Signal Foundation finanziert. Einige Großspender der letzten Jahre sind namentlich bekannt, andere bleiben anonym.
Signal hat nicht den Anspruch, der sicherste Messenger zu sein, aber die Entwickler von Signal wollen einen idealen Kompromiss zwischen Benutzerfreundlichkeit, Verbreitung und Sicherheit bieten. Signal ist daher eine der besten Alternativen unter den populären Messengern, wenn es um Datenschutz und Sicherheit für die breite Masse geht, aber Messenger wie Briar, die kompromisslos auf Sicherheit ausgerichtet sind, schneiden hier besser ab; dafür fehlen aber auch viele Funktionen.
Verschlüsselung
Das Signal-Protokoll für die Verschlüsselung (früher als „Axolotl-Protokoll“ bezeichnet) gilt als absolut sicher. Die Sicherheit wurde in zwei Untersuchungen geprüft und bestätigt (2016 und 2017). Im Gegensatz zu früheren Ende-zu-Ende-Verschlüsselungen setzt das Signal-Protokoll nicht voraus, dass alle Kommunikationspartner gleichzeitig online sind.
Die Kombination aus Ende-zu-Ende-Verschlüsselung, Perfect Forward Secrecy und und glaubhafter Abstreitbarkeit ist faktisch ein Quasi-Standard für einen guten und sicheren Messenger. Diese Sicherheitsstandards gelten nicht nur für normale Chats zwischen zwei Personen, sondern auch für Gruppenchats und Telefonie zwischen Einzelpersonen und Gruppen.
Verifizierung
Die Nutzer können entweder über eine Mobiltelefonnummer oder eine Kennung kontaktiert werden. Zusätzlich können Kontakte über einen QR-Code oder eine Zeichenfolge verifiziert werden. Dies setzt einen persönlichen Abgleich voraus. Entsprechend überprüfte Kontakte werden anschließend als verifiziert angezeigt und bei Änderungen wird der Nutzer benachrichtigt.
Infrastruktur
Signal betreibt keine eigene Serverinfrastruktur. Alle Kommunikation wird über die Infrastruktur von Amazon, Google, Microsoft oder Cloudflare abgewickelt. Durch die konsequente Verschlüsselung ist das unproblematisch.
Problematisch ist auch das Verhältnis zu Open Source Software. Die App und der Server sind zwar Open Source, aber die Signal Foundation hat in der Vergangenheit teilweise die Aktualisierung des verfügbaren Quellcodes vernachlässigt, so dass der verwendete Code massiv von der frei zugänglichen Variante abweicht. Die Apps sind zwar Open-Source-Software, integrieren aber proprietäre Komponenten.
Darüber hinaus ist Signal ein zentralisiertes System. Obwohl es theoretisch möglich ist, parallele Netzwerke aufzubauen, läuft das gesamte Signal-Netzwerk de facto über die zentralen Signal-Server. Was genau dort passiert und ob es dem offen einsehbaren Quellcode entspricht, ist von außen nicht überprüfbar.
Ein wesentliches Unterscheidungsmerkmal ist, dass Signal immer proaktiv versucht, die Sicherheit zu verbessern und nicht nur auf den nächsten Skandal wartet. Auf der anderen Seite versucht Signal seit langem, die anfallenden Metadaten und Informationen für den Kontaktabgleich zu minimieren. Der Zugriff auf das Adressbuch ist ohnehin optional. Verschlüsselung ist hier kein Placebo für besorgte Nutzer.
Apps stehen für iOS und Android in den jeweiligen App Stores zur Verfügung. Zusätzlich gibt es eine inoffizielle App ohne Bibliotheken von Google mit separater F-Droid-Paketquelle. Es gibt Desktop-Clients für alle verbreiteten Betriebssysteme. Diese müssen jedoch an ein Smartphone gekoppelt werden.
Vorteile:
- Geprüfte und standardmäßig aktive Verschlüsselung
- Verschlüsselung für Einzelchats, Gruppenchats und Videoanrufe
- Vermeidet Metadaten
- Verwendung auf AOSP-Smartphones möglich
- Open-Source-Apps und Serverinfrastruktur
Nachteile:
- Nur für iOS & Android
- Keine offizielle App ohne Google-Bibliotheken.
- Zentralisiertes System
- Nutzt die Serverinfrastruktur der großen IT-Konzerne
- Nicht vollständig transparente Finanzierung
URL: https://signal.org