finswimmer: Kontakte im Signal Messenger

Hallo, jetzt hab ich schon eine ganze Weile gesucht, aber noch keine befriedigende Antwort gefunden.

Wie findet der Signal Messenger heraus, welche meiner Kontakte Signal verwenden? Wird dazu wie WhatsApp mein Adressbuch irgendwo hochgeladen? (Dann hätte Signal keinen Mehrwert gegenüber WhatsApp mehr.) Oder lösen sie das anders datenschutzfreundlich?

Wer weiß mehr? (Quellen?)

fin swimmer

  1. Tach,

    Wie findet der Signal Messenger heraus, welche meiner Kontakte Signal verwenden? Wird dazu wie WhatsApp mein Adressbuch irgendwo hochgeladen? (Dann hätte Signal keinen Mehrwert gegenüber WhatsApp mehr.) Oder lösen sie das anders datenschutzfreundlich?

    Signal nutzt Bloom-Filters (in dem Blogeintrag noch für den Vorgänger RedPhone beschrieben), dort ist auch beschrieben, wo die zukünftigen Probleme damit leigen werden.

    mfg
    Woodfighter

    1. Hallo,

      Signal nutzt Bloom-Filters (in dem Blogeintrag noch für den Vorgänger RedPhone beschrieben), dort ist auch beschrieben, wo die zukünftigen Probleme damit leigen werden.

      ja, auf diesen Blog-Eintrag bin ich auch gestoßen. Da er allerdings von 2014 stammt und sich noch auf RedPhone/TextSecure bezieht, bin ich mir halt unsicher ob die Verwendung der Bloom-Filter jetzt auch bei Signal stand der Dinge ist.

      Grade den vorletzten Absatz versteh ich nicht so richtig:

      For TextSecure, however, we've grown beyond the size where that remains practical, so the only thing we can do is write the server such that it doesn't store the transmitted contact information, inform the user, and give them the choice of opting out.

      Was will der Autor uns damit sagen?

      fin swimmer

      1. Hi,

        Grade den vorletzten Absatz versteh ich nicht so richtig:

        For TextSecure, however, we've grown beyond the size where that remains practical, so the only thing we can do is write the server such that it doesn't store the transmitted contact information, inform the user, and give them the choice of opting out.
        

        Was will der Autor uns damit sagen?

        "Wir sind jedoch inzwischen so stark gewachsen, dass das für TextSecure nicht mehr praktikabel ist, daher können wir nur noch den Server so schreiben, dass er die übermittelte Kontaktinformation nicht speichert, und dann den Nutzer informieren und ihm die Möglichkeit zum Abmelden geben."
        

        Hilft dir das irgendwie weiter?

        So long,
         Martin

        --
        Bei der Umsetzung von guten Ideen hapert es meist viel mehr an der Wolle als an der Könne.
        1. Hallo Martin,

          Hilft dir das irgendwie weiter?

          danke für die Übersetzung. So oder ähnlich habe ich mir das auch übersetzt. Und genau daher kommt jetzt auch meine Verwirrung/Unsicherheit was das nun für Signal bedeutet. Werden Bloom-Filter nun noch angewendet oder sind sie raus, eben weil es nicht mehr praktikabel ist. Was für Informationen werden da nun wo hin übertragen und gespeichert (oder eben auch nicht)?

          Klar, ein Blick in den Quellcode wie von dedlfix vorgeschlagen sollte antworten liefern. Ich fürchte nur, dass das für mich dann doch ein wenig zu komplexer Code ist ...

          fin swimmer

      2. Tach!

        Grade den vorletzten Absatz versteh ich nicht so richtig:

        For TextSecure, however, we've grown beyond the size where that remains practical, so the only thing we can do is write the server such that it doesn't store the transmitted contact information, inform the user, and give them the choice of opting out.

        Was will der Autor uns damit sagen?

        Die Methode ist eigentlich gut, aber in der Praxis (ab einer bestimmten Größe des Systems) nicht (mehr) verwendbar (vielleicht wegen der Performance oder einer zu großen Datenmenge). Stattdessen senden sie wohl die Kontaktdaten (welche Felder konkret steht nicht da) doch zum Server, der schaut auf herkömmliche Weise in die Liste und vergisst danach die Daten wieder. Zu den anderen beiden Teilen des letzten Satzes steht ja nicht da, worüber konkret informiert werden soll und wovon man sich abmelden kann. Das wird dir auch kein Außenstehender erklären können. Vielleicht bekommt man es aus dem Quellcode raus.

        dedlfix.

        1. Hallo

          … Zu den anderen beiden Teilen des letzten Satzes steht ja nicht da, worüber konkret informiert werden soll und wovon man sich abmelden kann. Das wird dir auch kein Außenstehender erklären können. Vielleicht bekommt man es aus dem Quellcode raus.

          @finswimmer

          Hier die Links zu den Quelltexten …

          Tschö, Auge

          --
          Wir hören immer wieder, dass Regierungscomputer gehackt wurden. Ich denke, man sollte die Sicherheit seiner Daten nicht Regierungen anvertrauen.
          Jan Koum, Mitgründer von WhatsApp, im Heise.de-Interview
      3. Tach,

        ja, auf diesen Blog-Eintrag bin ich auch gestoßen. Da er allerdings von 2014 stammt und sich noch auf RedPhone/TextSecure bezieht, bin ich mir halt unsicher ob die Verwendung der Bloom-Filter jetzt auch bei Signal stand der Dinge ist.

        Grade den vorletzten Absatz versteh ich nicht so richtig:

        For TextSecure, however, we've grown beyond the size where that remains practical, so the only thing we can do is write the server such that it doesn't store the transmitted contact information, inform the user, and give them the choice of opting out.

        da hast du natürlich recht; da allerdings Signal für iOS ein Jahr später ein Problem mit dem Abspeichern der BloomFilter hatte scheint die Voraussage so nicht eingetroffen zu sein; aber genaues kann ich leider aus dem Stehgreif nicht beantworten.

        mfg
        Woodfighter

        1. Tach,

          da hast du natürlich recht; da allerdings Signal für iOS ein Jahr später ein Problem mit dem Abspeichern der BloomFilter hatte scheint die Voraussage so nicht eingetroffen zu sein; aber genaues kann ich leider aus dem Stehgreif nicht beantworten.

          https://twitter.com/whispersystems/status/582571512726589440, also für den Textteil von Signal keine BloomFilter mehr.

          mfg
          Woodfighter

          1. Hallo,

            https://twitter.com/whispersystems/status/582571512726589440, also für den Textteil von Signal keine BloomFilter mehr.

            danke dafür. Ich hab inzwischen auch eine Anfrage an den Support geschickt, um mir das noch mal erklären zu lassen. Antwort steht noch aus. Allerdings bin ich inzwischen auch auf diesen Beitrag hier gestoßen.

            Also anscheinend tatsächliche kein bloomfilter mehr, sondern Kontakt lokal hashen, einen Teil des hashes ("truncated hash") uploaden, vergleich mit der Signaldatenbank durchführen. Wobei die Anfrage an sich wohl nicht gespeichert/geloggt wird.

            Hmm, ich bin mir noch unklar wie ich das finden soll... Der bloomfilter klang irgendwie besser.

            fin swimmer

            1. Tach,

              Hmm, ich bin mir noch unklar wie ich das finden soll... Der bloomfilter klang irgendwie besser.

              sind sie ja im Prinzip auch, solange sie klein genug bleiben; ich kann allerdings nachvollziehen, dass sie inpraktikabel werden. Und wenn ich dann die Wahl habe, entweder der Firma von Moxie zu vertrauen, die einen Messenger geschrieben haben, der von Anfang an auf Privacy gesetzt hat und freie Software vertreibt oder einer Firma, deren Messenger erstmal durch diverse Lücken und Datenschutzprobleme aufgefallen ist, weiß ich wo meine Wahl hinfällt.

              mfg
              Woodfighter

              1. Hallo

                … wenn ich dann die Wahl habe, entweder der Firma von Moxie zu vertrauen, die einen Messenger geschrieben haben, der von Anfang an auf Privacy gesetzt hat und freie Software vertreibt oder einer Firma, deren Messenger erstmal durch diverse Lücken und Datenschutzprobleme aufgefallen ist, weiß ich wo meine Wahl hinfällt.

                Benutzt du Signal? Ich selbst benutze es, habe aber bisher nur einen Kontakt, der es auch benutzt. Mit allen anderen Kontakten bin ich immer noch per SMS in Kontakt. Das lässt sich ja glücklicherweise auch mit Signal abfrühstücken, womit die Notwendigkeit einer weiteren App entfällt.

                Tschö, Auge

                --
                Wir hören immer wieder, dass Regierungscomputer gehackt wurden. Ich denke, man sollte die Sicherheit seiner Daten nicht Regierungen anvertrauen.
                Jan Koum, Mitgründer von WhatsApp, im Heise.de-Interview
                1. Hallo Auge,

                  Benutzt du Signal? Ich selbst benutze es, habe aber bisher nur einen Kontakt, der es auch benutzt. Mit allen anderen Kontakten bin ich immer noch per SMS in Kontakt. Das lässt sich ja glücklicherweise auch mit Signal abfrühstücken, womit die Notwendigkeit einer weiteren App entfällt.

                  Ich benutze es. Bei mir haben etwa 2/3 meiner Kontakte Signal, wobei ich auch stark dafür geworben habe und es z.B. meinen Tanten und meiner Mutter einfach installiert habe (mit der Werbung „wie Whatsapp, nur privater“).

                  LG,
                  CK

                  1. Tach!

                    Ich benutze es. Bei mir haben etwa 2/3 meiner Kontakte Signal, wobei ich auch stark dafür geworben habe und es z.B. meinen Tanten und meiner Mutter einfach installiert habe (mit der Werbung „wie Whatsapp, nur privater“).

                    „Privat? Ich hab nichts zu verbergen!“

                    dedlfix.

                    1. Hallo dedlfix,

                      „Privat? Ich hab nichts zu verbergen!“

                      Es hat sich herum gesprochen, dass man mir mit dem „Argument“ nicht kommen braucht ;-)

                      LG,
                      CK

                  2. Hallo

                    Benutzt du Signal? …

                    Ich benutze es. Bei mir haben etwa 2/3 meiner Kontakte Signal, wobei ich auch stark dafür geworben habe und es z.B. meinen Tanten und meiner Mutter einfach installiert habe (mit der Werbung „wie Whatsapp, nur privater“).

                    Die meisten meiner Kontakte haben schon Whatsapp oder (ein paar) Telegram. Von denen kommt nur die Frage „Noch ein Programm?“ oder „Das benutzt doch sonst keiner. WhatsApp haben aber alle!“. Und die zwei oder drei Personen, die ich wohl ohne Handstände überzeugen könnte, benutzen tatsächlich noch richtige™ Handies™, also das, was neudeutsch als „Feature Phone“ bezeichnet wird.

                    Tschö, Auge

                    --
                    Wir hören immer wieder, dass Regierungscomputer gehackt wurden. Ich denke, man sollte die Sicherheit seiner Daten nicht Regierungen anvertrauen.
                    Jan Koum, Mitgründer von WhatsApp, im Heise.de-Interview
                2. Tach,

                  Benutzt du Signal?

                  ja, aber ich habe auch einen Bekanntenkreis, der durchaus Jabber mit OTR und E-Mail mit PGP nutzt.

                  mfg
                  Woodfighter

  2. Tach!

    Wie findet der Signal Messenger heraus, welche meiner Kontakte Signal verwenden?

    Wie soll eine Anwendung deine Kontakte kennen, wenn sie nicht dafür in das Adressbuch schaut? Und in der Tat, wenn man sich die Berechtigungen anschaut, die diese Anwendung für Android benötigt, sieht man da neben vielen anderen auch

    Kontaktkarten lesen
    Deine Kontaktkarten ändern
    Konten auf dem Gerät suchen
    

    Wird dazu wie WhatsApp mein Adressbuch irgendwo hochgeladen?

    Das gesamte Adressbuch wird dazu nicht benötigt (auch nicht von Whatsapp), lediglich ein eindeutiges Merkmal, wie eine Telefonnummer oder eine Email-Adresse.

    dedlfix.

    1. Tach,

      Wird dazu wie WhatsApp mein Adressbuch irgendwo hochgeladen?

      Das gesamte Adressbuch wird dazu nicht benötigt (auch nicht von Whatsapp), lediglich ein eindeutiges Merkmal, wie eine Telefonnummer oder eine Email-Adresse.

      der wichtige Unterschied ist allerdings, dass bei Signal der Abgleich zwischen Telefonnummer des Kontakts und der User-Datenbank lokal und nicht auf dem Server stattfindet (solange der veröffentlichte Quelltext auch dem verwendeten Binary entspricht).

      mfg
      Woodfighter

  3. Tach,

    Dann hätte Signal keinen Mehrwert gegenüber WhatsApp mehr.

    hierzu wollte ich noch etwas schreiben: Es gibt noch einen erheblichen Vorteil von Signal zu WhatsApp; ersteres ist Freie Software und Aussagen des Distributors sind damit überprüfbar. Bei WhatsApp musst du WhatsApp Inc. glauben, dass sie deinen Key nicht auf ihren Server kopieren oder andere Backdoors existieren, eine unabhänige Codereview ist erstmal nicht möglich.

    mfg
    Woodfighter

    1. Hallo,

      Dann hätte Signal keinen Mehrwert gegenüber WhatsApp mehr.

      hierzu wollte ich noch etwas schreiben: Es gibt noch einen erheblichen Vorteil von Signal zu WhatsApp; ersteres ist Freie Software und Aussagen des Distributors sind damit überprüfbar.

      stimmt, den Teil hatte ich zeitweise ausgeblendet.

      fin swimmer