Signal

Signal ist sicherlich das Flaggschiff der sicheren Messenger. Hervorgegangen ist der Messenger aus Vorgänger-Apps wie beispielsweise TextSecure für Android. Finanziert wird das ganze durch Spenden und sonstige Einnahmen der Signal Foundation. Einige Großspender aus den vergangenen Jahren sind namentlich bekannt, andere jedoch anonym.

Die Verschlüsselungslösung von Signal, das vormals so genannte Axolotl-Protokoll, gilt als absolut sicher. Die Kombination aus Ende-zu-Ende-Verschlüsselung, Perfect Forward Security, optionaler Authentifizierung und glaubhafter Abstreitbarkeit gelten als Quasi-Standard für einen guten und sicheren Messenger. Diese Sicherheitsstandards gelten für normale Chats zwischen zwei Personen aber auch für Gruppenchats und Telefonie zwischen Einzelpersonen und Gruppen.

Ein wesentliches Unterscheidungsmerkmal ist, dass Signal immer bestrebt ist die Sicherheit proaktiv zu verbessern und nicht einfach nur auf den nächsten Skandal zu warten. Signal versucht hingegen seit Längerem die anfallenden Metadaten und Informationen zum Kontaktabgleich zu minimieren. Der Zugriff auf das Adressbuch ist sowieso optional. Verschlüsselung ist hier nur nicht ein Placebo für die besorgte Anwenderseele.

Allerdings hat Signal auch einige problematische Punkte. App und Server sind quelloffen, aber in der Vergangenheit war die Signal Foundation zeitweilig nachlässig bei der Aktualisierung des verfügbaren Quellcodes, wodurch der verwendete Code massiv von der offen einsehbaren Variante abwich. Signal ist zudem ein zentralisiertes System. Es lassen sich zwar theoretisch parallele Netzwerke aufbauen, aber faktisch läuft das gesamte Signal-Netzwerk über die zentralen Signal-Server. Was dort genau passiert und ob diese dem offen einsehbaren Quellcode entsprechen, lässt sich von außen nicht prüfen. Als Identifikator nutzt Signal wie viele Konkurrenzprodukte ebenfalls die Mobilfunknummer. Alternative Methoden wie eine ID sind nicht vorgesehen.

Apps stehen für iOS und Android in den jeweiligen App Stores zur Verfügung. Es gibt eine Electron-basierte Desktop-App, aber ein Smartphone ist trotzdem notwendig. Die Desktop-App ist momentan die größte Schwäche des Produkts. Es gab einige Sicherheitslücken in der Vergangenheit (macOS hielt Nachrichten vor und es gab Probleme mit HTML Code in der Desktop-App) und und die Electron-Lösung ist bei Experten umstritten.

Vorteile:

  • Geprüfte Verschlüsselung
  • Vermeidet Metadaten
  • Open Source Apps und Serverinfrastruktur

Nachteile:

  • Nur für iOS & Android
  • Keine offizielle App ohne Google-Bibliotheken.
  • Nicht vollständig transparente Finanzierung
  • Kein vollständiger Audit

URL: https://signal.org

Play Store iOS