• 𝘋𝘪𝘳𝘬@lemmy.ml
    link
    fedilink
    arrow-up
    7
    arrow-down
    20
    ·
    1 year ago

    Signal ist nicht “nicht kommerziell”. Das sieht man alleine schon anderen Ausrichtung mit zentralem Server und der Abschnüffelung der Telefonnummern und Adressbücher der User.

    XMPP mit eigenem Server oder direkt serverless (XEP-0174), ausschließlich mit OTR oder OMEMO. Hat vor allem den Vorteil, man muss niemandem seine Telefonnummer geben, sich nicht bei einem Zentralen Dienst registrieren, und man kann zu 100% selbst bestimmen, welche Daten wohin gelangen und wie sie genutzt werden.

    Außerdem kann man jeden beliebigen Client auf jedem beliebigen Betriebssystem benutzen.

    • 🦄🦄🦄@feddit.de
      link
      fedilink
      arrow-up
      29
      arrow-down
      5
      ·
      1 year ago

      Ja und das Beste daran ist, dass man endlich seine Ruhe hst, weil das im Familien- und (nicht technisch versierten) Freundeskreis erst recht niemand nutzt.

      • heeplr@feddit.de
        link
        fedilink
        arrow-up
        8
        arrow-down
        2
        ·
        edit-2
        1 year ago

        Edgy Kommentar zu einem sehr validen Punkt. Was willst du damit sagen?

        Das selbe Argument galt einst genauso für TextSecure (Signal Vorläufer), Threema & Co… Und nu?

        • taladar@feddit.de
          link
          fedilink
          arrow-up
          11
          ·
          1 year ago

          Brücken heißen aber immer auch dass du effektiv die Sicherheit der weniger sicheren der beiden verbundenen Technologien hast.

          • Jonny@lemmy.rimkus.it
            link
            fedilink
            arrow-up
            1
            ·
            1 year ago

            Korrekt, das soll auch eigentlich "nur"eine behelfs Lösung sein, um diese Leute auch zu einem dezentralen Messenger system zu bewegen🙂

    • theonyltruemupf@feddit.de
      link
      fedilink
      arrow-up
      11
      ·
      1 year ago

      Signal ist nicht-kommerziell. Es wird von der Signal Foundation betrieben und die ist eine non-profit Organisation. Dass die Serverinfrastruktur zentral organisiert ist, hat damit doch überhaupt nichts zu tun.

    • Haven5341@feddit.de
      link
      fedilink
      arrow-up
      9
      ·
      edit-2
      1 year ago

      und der Abschnüffelung der Telefonnummern und Adressbücher der User.

      Dazu der Artikel:

      Ein bereits im Dezember 2019 veröffentlichter Signal-Blogpost, der im Erklärartikel und im Blogpost zur PIN verlinkt ist, erläutert die Funktionsweise der von Signal entwickelten »Secure Value Recovery«-Technologie: Aus der PIN leitet die App auf dem jeweiligen Smartphone zuerst einen komplexeren Schlüssel ab, mit Hilfe einer Ableitungsfunktion namens Argon2. Daraus wiederum wird unter anderem ein »Master Key« erzeugt. Dieser dient als Ausgangspunkt für Unterschlüssel, mit denen Daten in der Signal-Cloud verschlüsselt werden, etwa das Telefonbuch.

      Mit Hilfe des aus der PIN abgeleiteten Unterschlüssels und einer Zufallszahl erzeugt die App schließlich noch ein weiteres, hoch komplexes Passwort – und verschlüsselt damit das Telefonbuch. Das verschlüsselte Telefonbuch, die Zufallszahl sowie die PIN, in mathematisch umgewandelter (»gehashter«) Form, sendet die App an den Signal-Server.

      Dort werden die übermittelten Informationen in einem zweiten Schritt zusätzlich per Hardwareverschlüsselung geschützt. Das Signal-Projekt speichert sie auf den eigenen Datenbanken in einem abgeschirmten Bereich – einer auf Intel-Chips verfügbaren SGX-Enklave (»Intel Software Guard Extensions«). Auf diese Enklave kann selbst das Signal-Projekt nicht frei zugreifen.

      Stattdessen sind nur Einzelanfragen möglich: Melden Nutzerinnen oder Nutzer eine Nummer auf einem neuen Gerät an und übermitteln korrekt die dazu gehörige PIN (beziehungsweise ein Hash der PIN), erhalten sie als Antwort das verschlüsselte Telefonbuch sowie die Zufallszahl. Aus dieser und der PIN vermag die App auf dem Smartphone das Passwort zu berechnen. Damit lässt sich das Telefonbuch entschlüsseln – und somit nach einem Gerätewechsel wiederherstellen.

      Zumindest die Adressbücher liegen wohl nur verschlüsselt bei der Signal-Foundation.

      • 𝘋𝘪𝘳𝘬@lemmy.ml
        link
        fedilink
        arrow-up
        5
        arrow-down
        1
        ·
        1 year ago

        Zumindest die Adressbücher liegen wohl nur verschlüsselt bei der Signal-Foundation.

        Mit den passenden Schlüsseln und nötigen Algorithmen zur Entschlüsselung. Ich frage mich viel eher, was das Telefonbuch der User auf den Servern eines Messengerbetreibers verloren hat.