Signal ist sicherlich das Flaggschiff unter den sicheren Messengern, da Signal sowohl Sicherheit als auch eine große Reichweite garantiert. Betrieb und Weiterentwicklung werden durch Spenden und andere Einnahmen der Signal Foundation finanziert. Einige Großspender der letzten Jahre sind namentlich bekannt, andere bleiben anonym.
Signal hat nicht den Anspruch, der sicherste Messenger zu sein, aber die Entwickler von Signal wollen einen idealen Kompromiss zwischen Benutzerfreundlichkeit, Verbreitung und Sicherheit bieten. Signal ist daher eine der besten Alternativen unter den populären Messengern, wenn es um Datenschutz und Sicherheit für die breite Masse geht, aber Messenger wie Briar, die kompromisslos auf Sicherheit ausgerichtet sind, schneiden hier besser ab; dafür fehlen aber auch viele Funktionen.
Das Signal-Protokoll für die Verschlüsselung (früher als “Axolotl-Protokoll” bezeichnet) gilt als absolut sicher. Die Sicherheit wurde in zwei Untersuchungen geprüft und bestätigt (2016 und 2017) Die Kombination aus Ende-zu-Ende-Verschlüsselung, Perfect Forward Secrecy, optionaler Verifikation von Kommunikationspartnern und glaubhafter Abstreitbarkeit ist gewissermaßen Quasi-Standard für einen guten und sicheren Messegenger. Diese Sicherheitsstandards gelten nicht nur für normale Chats zwischen zwei Personen, sondern auch für Gruppenchats und Telefonie zwischen Einzelpersonen und Gruppen.
Ein wesentliches Unterscheidungsmerkmal ist, dass Signal immer proaktiv versucht, die Sicherheit zu verbessern und nicht nur auf den nächsten Skandal wartet. Auf der anderen Seite versucht Signal seit langem, die anfallenden Metadaten und Informationen für den Kontaktabgleich zu minimieren. Der Zugriff auf das Adressbuch ist ohnehin optional. Verschlüsselung ist hier kein Placebo für besorgte Nutzer.
Signal hat aber auch einige problematische Punkte. Insbesondere die zentrale Rolle der Mobilfunknummer als Identifikator wird häufig kritisiert. Alternative Methoden wie z.B. eine ID sind derzeit nicht verfügbar.
Problematisch ist auch das Verhältnis zu Open Source Software. Die App und der Server sind zwar Open Source, aber die Signal Foundation hat in der Vergangenheit teilweise die Aktualisierung des verfügbaren Quellcodes vernachlässigt, so dass der verwendete Code massiv von der frei zugänglichen Variante abweicht. Die Apps sind zwar Open-Source-Software, integrieren aber proprietäre Komponenten.
Darüber hinaus ist Signal ein zentralisiertes System. Obwohl es theoretisch möglich ist, parallele Netzwerke aufzubauen, läuft das gesamte Signal-Netzwerk de facto über die zentralen Signal-Server. Dabei handelt es sich um gemietete Server von Google, Amazon, Microsoft und Cloudflare. Ein übliches Vorgehen, wenn man ausreichend Kapazitäten zu vernünftigen Preisen anmieten will. Was genau dort passiert und ob es dem offen einsehbaren Quellcode entspricht, ist von außen nicht überprüfbar.
Apps stehen für iOS und Android in den jeweiligen App Stores zur Verfügung. Zusätzlich gibt es eine inoffizielle App ohne Bibliotheken von Google mit separater F-Droid-Paketquelle. Es gibt Desktop-Clients für alle verbreiteten Betriebssysteme. Diese müssen jedoch an ein Smartphone gekoppelt werden.
Vorteile:
- Geprüfte und standardmäßig aktive Verschlüsselung
- Verschlüsselung für Einzelchats, Gruppenchats und Videoanrufe
- Vermeidet Metadaten
- Verwendung auf AOSP-Smartphones möglich
- Open-Source-Apps und Serverinfrastruktur
Nachteile:
- Nur für iOS & Android
- Keine offizielle App ohne Google-Bibliotheken.
- Zentralisiertes System
- Nutzt die Serverinfrastruktur der großen IT-Konzerne
- Nicht vollständig transparente Finanzierung
URL: https://signal.org