15.07.2020 PIN-Eingabe bei Signal erzeugt Kritik

Verschlimmbessern ist ein Anfang

Eigentlich wird der quelloffene Messenger Signal mit seiner Ende-zu-Ende-Verschlüsselung, dem sparsamem Umgang mit identifizierenden Daten und einem starkem Fokus auf der Wahrung der Privatsphäre gern von Sicherheitsexperten empfohlen. Auch Edward Snowden hatte ihn schon vor mehr als 5 Jahren gelobt.

Auch wir haben ihn auf unserer Empfehlungsliste, der einzige Kritikpunkt war die Notwendigkeit bei der Anmeldung eine Telefonnummer angeben zu müssen. Dem wollten die Hersteller entgegenkommen, in dem sie im Mai eine PIN-Funktionalität hinzugefügt haben. Nach einer Vorwarnzeit ist diese nun verpflichtend geworden. Das hat gleich zu neuer Kritik geführt, denn die Speicherung dieser PIN "in der Cloud" läuft dem sicherheitsorientierten Konzept des Messengers zuwider. Außerdem verführt eine ständige PIN Abfrage wenig versierte Nutzer zur Verwendung von leicht knackbaren PINs. Das ist ein gravierendes Sicherheitsloch, da die PIN für die Ver- und Entschlüsselung genutzt wird.

Signal-Entwickler verweisen jedoch darauf, dass die Einführung der PIN auf längere Sicht zu einer stärkeren Anonymität führen kann und die eigene Telefonnummer dann nicht mehr mit dem Account verknüpft sein muss. Als Zwischenschritt will man nun die Nutzung der PIN erstmal wieder abschaltbar machen.

Mehr dazu bei https://www.heise.de/news/Messenger-Signal-Experten-aeussern-Sicherheitsbedenken-gegen-PIN-Funktion-4842145.html


Kommentar: RE: 20200715 PIN-Eingabe bei Signal erzeugt Kritik

Was hat die PIN mit der Notwendigkeit einer Telefonnummer zu tun? Kann ich mir dann bei Neuinstallation die Daten einer beliebigen anderen Person ziehen, indem ich deren PIN (bzw. eine zufällige) angebe?
Das ist absoluter Humbug, was die da treiben. Wenn sie damit die Datenübernahme auf ein neues Handy ermöglichen wollen - das war sinngemäß was ich der Meldung entnehmen konnte, von einer Cloud-Speicherung stand da nichts! - dann brauche ich die genau ZWEI mal: einmal wenn ich das Backup erstelle und dann wenn ich es wieder einspiele. Dazu muss außer dem verschlüsselten Backup NICHTS irgendwo gespeichert werden.

To., 15.07.2020 23:26


RE: 20200715 PIN-Eingabe bei Signal erzeugt Kritik

Ich habe mal im Rahmen einer Cryotoparty Journalisten GPG / PGP beigebracht und einige haben das sogar verwendet nur um dann die entschlüsselten Emails ins Redaktionssystem hochzuladen, dass in der Amazon-Cloud gehostet war. Als ich das hörte bin ich im Dreieck gesprungen und habe die Welt verflucht.

Ro., 31.07.2020 18:30


RE: 20200715 PIN-Eingabe bei Signal erzeugt Kritik

Ich frage mich aber ob die Menschheit zu minderqualifiziert ist, um dies zu begreifen?
Ja!
https://chaos.social/@Welchering/104606825676352196
Hab mal nachgefragt, warum so viele Journalistenakademien Zoom für Webinare verwenden und nicht Big Blue Button oder Jitsi.
Niederschmetternde Antwort: Wissen wir auch nicht, aber wir bleiben bei zoom, das sei modern.
Herr, wirf Hirn vom Himmel!

In., 31.07.2020 18:39


RE: 20200715 PIN-Eingabe bei Signal erzeugt Kritik

Inhalte waren, die da hochgeladen wurden und ob sie ggf. schon anonymisiert waren (also Quellenschutz gegeben).
Es ist halt auch eeeeeecht schwierig bis unmöglich alles richtig zu machen und immer abhängig vom persönlichen Paranoia-Level.
Und dies kann von "ach was soll google schon mit meinen Emails wollen" bis "um Himmels Willen, wir können unsere dreifach verschlüsselte offline-Cloud nicht mit Intel-CPUs betreiben, die sind alle tainted!" reichen.
Ich fürchte jeder muss in diesem Spektrum seine Wahrheit finden und wenn "deine" Journalisten ihrem Redaktionssystem und ihrer Redaktion und Amazon trauen, dann ist das halt so, ich glaube in jedem (irgendwie noch sinnvollen) Szenario muss man einzelnen Playern vertrauen.

Ta., 31.07.2020 20:59


RE: 20200715 PIN-Eingabe bei Signal erzeugt Kritik

in dem Kontext wäre aber schon wichtig, dass das transparent ist. Also wenn der Journalist und die Redaktion Amazon ist das das eine, aber die Quelle (z.B. eine Whistleblower) muss Amazon halt auch vertrauen oder dem Journalisten mitteilen, dass sie das nicht tut. Folglich muss bekannt sein wie diese Infrastruktur aufgebaut ist, damit Dritte für sich entscheiden können ob sie dem genauso vertrauen.
Journalismus ist da nur das krasseste Beispiel, eigentlich wüsste ich von jeder Firma der ich Daten anvertraue gerne wie und wo sie die lagern… meistens erfährt man das aber erst nach dem data-breach.

De., 31.07.2020 21:02


RE: 20200715 PIN-Eingabe bei Signal erzeugt Kritik

Was mich überrascht hat, war Signal mit amazon und google. Signal nutzt amazon server für die Kommunikation, was ich noch verstehen kann, denn den Dienst zu sperren wird so schwierig. Sonst hat Signal aber auch eine "Location" Funktion und dafür werden google maps genutzt. Dies bedeutet, dass die amazon und google Server ständig kontaktiert werden. Dazu kommt noch, dass FinFisher und ähnliche Firmen auf Signal fokussieren, d.h. man weiß es nicht so genau, ob man Signal überhaupt einem Journalisten empfehlen kann, wenn Behörden ohne weiteres an die Daten rankommen.

Ic., 01.08.2020 01:15


Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3aC
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7329-20200715-pin-eingabe-bei-signal-erzeugt-kritik.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7329-20200715-pin-eingabe-bei-signal-erzeugt-kritik.htm
Tags: #Smartphone #Handy #Messenger #sozialeNetzwerke #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Anonymisierung #Verschlüsselung #Ergonomie #Snowden #Cloud
Erstellt: 2020-07-15 08:10:36
Aufrufe: 737

Kommentar abgeben

Für eine weitere vertrauliche Kommunikation empfehlen wir, unter dem Kommentartext einen Verweis auf einen sicheren Messenger, wie Session, Bitmessage, o.ä. anzugeben.
Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots zu verhindern.

Wir im Web2.0


Diaspora Mastodon Twitter Youtube Tumblr Flickr FsA Wikipedia Facebook Bitmessage FsA Song


Impressum  Datenschutz  Sitemap