Lesezeit 3 Minuten

Vergangene Woche informierte Whatsapp seine Nutzer, dass sie ab dem 8. Februar einige persönliche Daten mit dem Mutterkonzern Facebook teilen müssen. Dies führte zu einem enormen Anstieg der Downloads bei den verschlüsselten Messaging-Apps Signal. Signal verzeichnete in der vergangenen Woche 7,5 Millionen Downloads, eine Steigerung von 4200 Prozent gegenüber der Vorwoche.

Signal erhielt nach der Ankündigung von WhatsApp außerdem viel Werbung, da Persönlichkeiten des öffentlichen Lebens wie Elon Musk

und Edward Snowden

die App befürworteten.

Zeit sich Signal mal genauer an zu sehen

Der Messenger Signal wurde von Moxie Marlinspike und Stuart Andersen entwickelt. Die beiden Amerikaner arbeiten bereits seit 2008 an Apps für die verschlüsselte Kommunikation.

Anfang 2018 investierte der WhatsApp-Mitgründer Brian Acton, der inzwischen bei WhatsApp ausgestiegen ist, 50 Millionen Dollar in eine neu gegründete Signal-Stiftung. Durch die neue Stiftungsstruktur solle dem Messenger der Druck genommen werden, profitabel zu sein.

Das Ende-zu-Ende-Verschlüsselungsprotokoll von Signal gilt als Goldstandard in der Kryptoszene und wurde auch von WhatsApp und dem Facebook-Messenger übernommen.

Die „perfekte Geheimhaltung“?

Die Verschlüsselungssysteme der meisten Apps erstellen ein permanentes Schlüsselpaar für die Ver- und Entschlüsselung von Nachrichten. Der öffentliche Schlüssel wird zur Identifizierung des Benutzers verwendet und an den Nachrichtenserver gesendet. Der private Schlüssel verbleibt im Telefon des Benutzers. Wenn der private Schlüssel aufgrund von Hack oder Diebstahl kompromittiert wird, sind die Nachrichten für die Entschlüsselung anfällig.

Das Verschlüsselungsprotokoll von Signal kombiniert den Double Ratchet-Algorithmus mit dem Diffie Hellman-Handshake mit dreifacher elliptischer Kurve.

Der Absender und der Empfänger verwenden den Double Ratchet-Algorithmus, um verschlüsselte Nachrichten basierend auf einem gemeinsamen geheimen Schlüssel auszutauschen. Für jede Nachricht wird ein neuer Schlüssel generiert, und die früheren Schlüssel können aus den nachfolgenden nicht herausgefunden werden. Diese Methode wird auch als perfekte Vorwärtsgeheimnis bezeichnet. Im Zentrum dieses Algorithmus steht das Konzept der KDF-Kette (Key Derivation Function). KDF ist eine kryptografische Hash-Funktion, die einen geheimen Zufallsschlüssel und Eingabedaten verwendet, um die Ausgabe zu generieren. Der geheime Schlüssel wird aus einem geheimen Wert wie einem Passwort oder einer Passphrase unter Verwendung einer Pseudozufallsfunktion abgeleitet.

Darüber hinaus verwenden die beiden Parteien neben dem Doppelratschenalgorithmus auch das erweiterte Schlüsselvereinbarungsprotokoll Triple Diffie-Hellman (X3DH). X3DH bietet Vorwärtsgeheimnis und kryptografische Verleugnung. Dieses Protokoll wird zum Einrichten eines gemeinsamen Schlüssels zwischen Absender und Empfänger verwendet, die sich gegenseitig mit öffentlichen Schlüsseln authentifizieren.

Das perfekte Vorwärtsgeheimnis allein ist jedoch keine vollständige Strategie. Im Falle eines Diebstahls sind die Nachrichten weiterhin für jeden sichtbar, der das Gerät besitzt. Zu diesem Zweck hat die Signal App eine zeitgebundene Funktion zum Verschwinden von Nachrichten hinzugefügt.

Los gehts

Beim ersten Start der Signal-App muss man sich mit einer Handynummer anmelden, man kann den Dienst nicht ohne nutzen. Signal verlangt bei der Installation Zugriff auf das Adressbuch, um andere Nutzer*innen zu finden.

Verweigert man den Zugriff, muss man die Telefonnummer des Empfängers per Hand eintippen und kann sie nicht in der Kontaktliste speichern. Nach Angaben von Signal werden Kontaktdaten grundsätzlich anonymisiert (gehasht) auf Signals Servern abgeglichen und anschließend wieder gelöscht.

Desktop- und Tablet-Versionen von Signal müssen mit einem Account mit Telefonnummer verknüpft sein.

Mit der App lassen sich Texte und Dateien an eine Person oder an Gruppen schicken. Auch verschlüsselte Audio- und Video-Anrufe sind möglich – seit Ende 2020 auch für Gruppen.

Die Nachrichten werden über die Server von der Betreiber-Organisation Open Whisper Systems geleitet, die sich in den USA befinden. Da sie verschlüsselt sind, können die Inhalte jedoch vom Betreiber nicht gelesen werden und sind auch vor Behörden sicher.

Nutzerzahlen des Messengers veröffentlicht Open Whisper Systems nicht.

2020 führte Signal eine PIN ein, die bei Neuinstallation der App das Importieren der eigenen Profileinstellungen ermöglicht. Wer keinen Zugriff mehr auf die Nummer hat, mit der er oder sie das Signal-Profil erstellt hat, kann sich so trotzdem authentifizieren. Chat-Inhalte sind mit der PIN nicht abrufbar, da die Nachrichten nur lokal gespeichert werden.

Wer seine Signal-Inhalte von einem Gerät auf ein anderes überspielen will, kann das von iPhone zu iPhone unkompliziert mit Hilfe eines QR-Codes tun. Auf Android muss dazu zunächst ein lokales Backup erstellt werden.

Beim Android-Backup werden alle App-Daten in einem verschlüsselten Dateiordner auf dem eigenen Gerät abgelegt. Diesen Ordner muss man auf das neue Gerät überspielen – zum Beispiel per USB-Kabel über den PC oder über einen Cloud-Speicher. Da die Datei selbst gut verschlüsselt ist, können Cloud-Speicher wie Google-Drive dabei keinen Zugang zu Ihren Daten erhalten.

Bei Neuinstallation findet die App dieses Backup dann auf dem neuen Gerät.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.