Basel, Schweiz, Sun, 02 Feb 2020 15:02:40 +0100
[...] Sichere Messenger zeichnen sich durch zwei Merkmale aus: Erstens geben sie die #Metadaten gegenüber Unbeteiligten nicht preis – das heißt: sie verraten nicht, wer wann mit wem gechattet hat. Zweitens stellen sie sicher, dass die übermittelten Kommunikations-Inhalte nicht in die falschen Hände geraten. [...] #TLS verschlüsselt den Datenverkehr zwischen einem Endgerät, also etwa dem Smartphone mit der Messaging-App und dem Server des Messaging-Diensts; genauso den Verkehr zwischen Web-Browser und HTTPS-Webserver. Mit einer solchen Transportverschlüsselung – TLS oder anderweitig – sollte jede Messenger-App arbeiten. Die Schwachstelle der #Transportverschlüsselung liegt darin, dass die Verschlüsselung auf dem Server des Dienstes endet. Schickt nun also Alice von ihrem Handy aus per Messenger eine Nachricht an Bob, so wird diese von Alices Handy zum Messenger-Server verschlüsselt. Dort wird die verschlüsselte Verbindung beendet und die Nachricht liegt im Klartext vor, bevor sie erneut verschlüsselt und dann an Bob geschickt wird. Dadurch können Mitarbeiter des Dienstanbieters – oder behördliche Ermittler mit Durchsuchungsbeschluss – die Nachrichten auf dem Server lesen, kopieren oder manipulieren. [...] Telegram, das schon früh ein Image als sicherer Messenger kultiviert hat und vielen Nutzern heute als abhörsicher gilt. Die wünschenswerte [Ende-zu-Ende] #E2E -Verschlüsselung wird in Wirklichkeit aber nur auf Anforderung in Sonderfällen praktiziert. [...] [Man braucht bei Peer-to-Peer (#P2P )] nicht zu befürchten, dass beim Ausscheiden eines Dienstanbieters alle Chats zusammenbrechen. Zweitens lassen sich P2P-Systeme so konstruieren, dass auch der Verbindungsaufbau ohne zentrales Nutzerverzeichnis auskommt. Das reduziert Gefahren für den unberechtigten Abgriff von Metadaten, funktioniert aber nur dann, wenn sich die Chatpartner anderweitig abstimmen, wann sie online erreichbar sind. Die Abhängigkeit von einem einzelnen Server lässt sich nach demselben Konzept wie bei E-Mail auch mit einem föderierten Dienst wie Jabber beziehungsweise #XMPP oder #Matrix vermeiden. Dabei läuft die Kommunikation über ein ganzes Netzwerk miteinander verbundener Server, wobei jeder Anwender nur bei einem einzigen Server ein Konto unterhalten muss. Föderierte Dienste basieren in den meisten Fällen auf quelloffener Software, was unter anderem dazu führt, dass Anwender die Auswahl unter zahlreichen Client-Apps haben und sogar einen eigenen Server für sich und Andere aufsetzen und betreiben können. [...] Ein schwerwiegendes Kriterium ist schließlich die Transparenz eines Dienstes – Einsehbarkeit der Software-Quellcodes und Dokumentation der verwendeten Algorithmen, Experten-Audits und nicht zuletzt Hintergründe des Dienstanbieters. [...] https://www.heise.de/select/ct/2019/11/1558438564072031 !
Privacy Issues