Eine Frage die sich mir stellte aber auf die ich nie eine gute Antwort gefunden habe ist es wie der Schritt zwischen PrivateContactDiscovery und Sealed Sender überbrückt wird. Man muss ja mindestens den PubKey vom Zieluser anfragen bevor man überhaupt Kommunikation initieren kann. Da reicht aber ja nicht DiffieHellmann oä. weil sonst ja der Server mitlesen kann.

Gibts da irgendwo ein gutes Writeup wie das gelöst ist?

Vielen Dank für die detaillierte Analyse.

Unabhängig davon, dass Signal deshalb nicht wesentlich unsicherer ist, sind die Ausführungen in dem zweiten von dir verlinkten Artikel doch irreführend. Du gehst ausschließlich auf Amazons Fähigkeiten als Zugangsanbieter ein (der nur Lese-Zugriff auf den verschlüsselten Netzverkehr hat). Diese Fähigkeiten hat zum Beispiel auch der DECIX oder die Telekom (jeweils beschränkt auf Datenverkehr für ihre Kunden, aber das sind halt auch echt viele).

Neben Briar gibt es noch SimpleX, wo sehr sparsam mit Daten umgegangen wird.

Signal bewegt sich in einer sicherheitstechnischen Grauzone. Die TLSkex-Studie (2016) zeigt, dass Hoster wie AWS mittels VM-Introspection TLS-Sitzungsschlüssel extrahieren und so PFS aushebeln können. Signal-Server wären theoretisch angreifbar. Das NDSS-Paper (2021) belegt zudem, dass Sealed Sender durch statistische Korrelation entanonymisiert werden kann. Trotz starker Kryptografie offenbaren beide Arbeiten relevante Schwächen bei Signal auf Infrastruktur- und Metadatenebene.

Danke für diese Aufklärung!

#Signal #Threema #kostenlos @merlelaperle.bsky.social

schon mal den Skred Messenger betrachtet?

> Das offenbart ein größeres Dilemma: Sind es mittlerweile nur noch die Tech-Giganten wie Amazon und Google, die über ausreichende Serverkapazitäten verfügen? Eine besorgniserregende Entwicklung, die zum Nachdenken anregt.

Ist das wirklich so verwunderlich? Wuerde man darauf bestehen, den weltweiter E-Mail-Verkehr zentralisiert zu betreiben, oder das weltweite Web, dann wuerde man auch bemerken, dass es nur wenige Akteure gibt, die das stemmen koennen. Nicht anders, wenn man um jeden Preis einen zentralisierten #messenger haben will, den alle nutzen koennen.

Auch wenn es unbequem wirken mag, und ich womoeglich fuer meine Position angegriffen werde, #dezentralisierung ist mehr als ein Nice-to-Have. Es ist eigentlich Voraussetzung, wenn man statt lokaler Dienste ein System haben will, das weltweit genutzt werden kann. Eigentlich hatten das bereits die Erfinder des Internets begriffen, nur ist das in Vergessenheit geraten.

Es geht nicht darum, sich als politisch Verfolgter zu inszenieren, sondern um berechtigte Datenschutzbedenken.
Auch in Demokratien sollte man nicht blind zentralisierten Systemen vertrauen – selbst wenn sie quelloffen oder angeblich sicher sind. Sie bleiben mMn anfällig für Überwachung und Kontrolle.

Es schadet also nicht, kritisch zu bleiben.

Jeder fängt irgendwo mal an und man muss immer selbst schauen was für den eigenen Alltag noch praktikabel ist. Die „Alles oder Nichts“ Mentalität ist da hinderlich. Jeder kleine Schritt weg von den Tech-Giganten ist ein Gewinn.

Und was ist mit #Matrix ?

Ganz ehrlich, wer solcherlei Ansichten hat, und das dann derartig offen zur Schau trägt, ist leicht schizo. Wenn man bedenken hat: In sozialen Medien, auf telegram, in Messangern nichts persönliches schreiben, der Rest wandert ins darknet. Punkt. So machen es weltweit diejenigen, die wegen öffentlicher Äußerungen um ihr Leben fürchten müssen. Wer darauf verzichtet, ist hier eher nicht in Gefahr.

Dass trotzdem alles getan werden muss, um den Datenschutz zu gewährleisten, ist klar.

#SimpleX enthält auch Technologie von Signal. SimpleX ist aber dezentral und mit starkem Privatsphärenschutz und .onion-integration (und #Flux) out-of-the-box. Es ist für mich einfach die nächste Evolutionsstufe nach Signal.

Vielleicht auch Aktivisten - halt nur in eigener Sache 😏...
* gut möglich, dass man dann in verstärkt verknitterte Gesichter blickt, wenn man das Menschen auf der Strasse empfiehlt, die sich nicht so "rein-nerden"...

wie schützt man sich am besten vor internetfallen❓Richtig: „Stecker ziehen“❗️😉

Naja.
Man kann z.B. einen XMPP-Server selbst hosten (mit Transportverschlüsselung und z.B. OTR) oder eine eigene Nextcloud und dort die Chat- und Videokonferens nutzen.

danke Mike. Über die letzten Tage konnte ich nur noch mit den Augen rollen.

Mein schönstes Fundstück war "nicht mehr Autofahren, weil Google Auto - irgendwo muss man ja anfangen".

This! Es existiert eine seltsame IT-Sicherheits-Fan-Bubble, die eine gefährliche Nähe zu Verschwörungsmythen hat, russische Dienste erstaunlich unkritisch sieht und eine sehr undifferenzierte Meinung zu Snowden und Assange hat.

Würden sie das Maß, mit dem sie Signal messen an Telegram anlegen, sie dürften es noch weniger nutzen.

Schön, wie hab ich diese arrogante Herabwürdigung vermisst, ohne auf eine realistische Umsetzung aufzuzeigen. Wie in den guten alten Zeiten.

Natürlich ist ein selbst Aufsetzen oder eigenes Hosting nicht für die Masse. Aber es gäbe viele Möglichkeiten...
Aber wenn schon die IT-Experten es nicht hinbekommen den Mittelweg zu finden...
Entweder komplette Komfortzone mit 1-Click-Installation einer App, oder Aufsetzung, die ein IT-Master-Studium benötigt.
Dazwischen gibt`s nichts. 😑

was hat das eine mit dem anderen zu tun? Ziemlich polemisch...

Den Toot raffe ich nicht, auch mitsamt dem Thread-Vorgänger erschließt sich mir (als bekennendem Selbsthoster u.a. eines Matrix-Servers) nicht so ganz, was hier die Aussage sein soll?

Das Problem bei allen fremdgehosteten Sachen ist doch, das man ein Update nicht unbedingt mitbekommt.
Sicher kann Signal derzeit nichts rausgeben, aber nichts hindert die Firma daran, das zu ändern, ohne das der Enduser das erst mal merkt.

Das ist das gleiche Problem, warum ich niemals einen Passwort-Manager in der Cloud verwenden würde. Ein bösartiges oder auch einfach nur fehlerhaftes Update des Front- oder Backends und die Daten sind nicht mehr vertraulich.
Lange Zeit haben viele auch über diese Ansichten gelacht, dann kam der Einbruch bei LastPass.

Persönlich würde ich von Signal auch nicht abraten, aber diese totale Ablehung dieser Meinung kann ich - insbesondere von einem Datenschutz/IT-Security Portal - dann doch gar nicht nachvollziehen.
Zumal die Bedrohungslage nicht all zu weit hergeholt ist für Leute die privat oder beruflich auch in die USA reisen und sich vielleicht hier und da mal kritisch äußern.

Das Leben pur! 😂

PS: Es hostet auch nicht jeder seine eigene Mastodon Instanz. Das ist auch überhaupt nicht nötig. Da hat jemand das Prinzip der Föderation nicht ganz verstanden glaub ich..

Natürlich kann man dem Messenger Signal "trauen". ...

Davon abgesehen sehe ich aber das Problem nicht, wenn man sich einen XMPP-Account klickt (z.B. bei https://conversations.im/). Das ist kein Nerd-Wissen.

Auch Bundes- oder Landes-Matrix-Server (z.B. für Schulen in RLP) werden professionell betreut und können ohne Vorwissen einfach genutzt werden.

Beide benötigen keine (private) Telefonnummer als Identifier und können so auch im schulischen Kontext verwendet werden. 🤷‍♂️

Für Vereine, Betriebe, VHS, Familie, ... kann man ja gerne weiterhin Signal verwenden, ... (sofern Signal das verwendete Betriebssystem unterstützt).

Ich hätte das beinah polemisch gefunden, aber ich las mal auf Mastodon die Frage, was jemand seinem Opa, 75, nicht technikaffin und fleißiger Whatsapp User, als Alternative empfehlen könne. 95% der Antworten gingen in die Matrix-XMPP-Ecke und der Opa verwendet wohl darum immer noch Whatsapp. 😉

ich fände einen Wechsel weg von fenced gardens in der Breite sehr reizvoll, wie auch einige Vorredner hier schon feststellten. Und ja: so kompliziert ist es auch nicht. ABER: Die soziale Energie, die es erfordern würde, alle Bekannte zum dauerhaften migrieren zu bringen, har nicht jeder.

Diese Selbsthoster, furchtbar das! 🤭