29
submitted 1 year ago by marv99@feddit.de to c/netzpolitik@feddit.de
all 28 comments
sorted by: hot top controversial new old
[-] WhiteHotaru@feddit.de 33 points 1 year ago

Signal habe wegweisende Privatsphären-Technologien entwickelt und einen guten Kompromiss zwischen Nutzerfreundlichkeit und Privatsphäre gefunden.

ist meiner Meinung nach der wichtigste Punkt. Signal kann ich auch meinen 70 jährigen Eltern einrichten und sie es bedienen lassen. Die Medien und Kommunikation landen dann zumindest nicht bei Meta.

Würde ich Signal nach dem Gelesenen als hochgefährdeter Dissident einsetzen? Eventuell nicht, aber wenn mein Leben davon abhinge, würde ich mir generell mehr Gedanken machen u d hätte auch ein anderes Angriffsprofil. Signal wurde als Alternative für Ottilie-Normalbürgerin entwickelt.

[-] SamsonSeinfelder@feddit.de 17 points 1 year ago

Ich muss bald schon alleine deswegen von Signal umziehen, weil nach 5 Jahren Signal ich einen 30GB großes datenblob habe, weiche ich weder exportieren noch archivieren kann. Bis heute gibt es bei Signal keine Möglichkeit sinnvoll Bilder und Nachrichten zu exportieren. Ich weiß, ich weiß: Wegen der Sicherheit. Aber ich schreibe nicht nur mit Agenten und Spionen sondern auch mit meiner Mutter und Schwester und würde sehr gerne alle Bilder der Nichten eines Tages wegspeichern damit diese nicht in signal verloren gehen. Die einzige Option aktuell ist, jedes Bild einzeln anzuklicken und zu sichern. Von fünf Jahren Chat history. Für 20 verschiedene chats. Schon deswegen werde ich Signal bald ersetzen. Es skaliert nicht. Was denkt Signal was ich vor habe? In 10 Jahren extra das handy mit 220GB mehr Speicher zu kaufe damit ich deren Versäumnis im Datenexport kompensiere und diesen blob immer weiter schleppe? Oder einfach alles löschen? Verrückt.

[-] Haven5341@feddit.de 22 points 1 year ago* (last edited 1 year ago)

Was denkt Signal was ich vor habe? In 10 Jahren extra das handy mit 220GB mehr Speicher zu kaufe damit ich deren Versäumnis im Datenexport kompensiere und diesen blob immer weiter schleppe?

Signal denkt wohl, dass niemand ernsthaft Signal nutzt um seine Photos aufzubewahren. Die Sache ist wohl eher so gedacht, dass man die Photos, die man behalten möchte, zeitnah anderweitig speichert, was mir persönlich auch nachvollziehbar erscheint. Wie auch immer. Ein integrierter Export wäre natürlich trotzdem nicht das schlechteste.

Du kannst mal folgendes probieren:

signal-export

Export chats from the Signal Desktop app to Markdown and HTML files with attachments. Each chat is exported as an individual .md/.html file and the attachments for each are stored in a separate folder. Attachments are linked from the Markdown files and displayed in the HTML (pictures, videos, voice notes).

Currently this seems to be the only way to get chat history out of Signal!

Adapted from mattsta/signal-backup, which I suspect will be hard to get working now.

Example

An export for a group conversation looks as follows:

[2019-05-29, 15:04] Me: How is everyone?
[2019-05-29, 15:10] Aya: We're great!
[2019-05-29, 15:20] Jim: I'm not.

Images are attached inline with ![name](path) while other attachments (voice notes, videos, documents) are included as links like [name](path) so a click will take you to the file.

This is converted to HTML at the end so it can be opened with any web browser. The stylesheet .css is still very basic but I'll get to it sooner or later.

[...]

Quelle: https://github.com/carderne/signal-export

Ich hab es eben mal schnell für dich ausprobiert und zumindest bei mir funktioniert es problemlos und war ein Aufwand von nicht mal 5 Minuten.

Edit:

Falls das nicht funktioniert: Die ganzen Bilder liegen auch einzeln auf der Platte unter:

Linux:

~/.config/Signal/attachments.noindex/

Windows:

%APPDATA%\Signal\attachments.noindex

Allerdings wohl ohne Dateiendung.

[-] SamsonSeinfelder@feddit.de 7 points 1 year ago

Ist ein guter Hinweis. Danke!

[-] Lemmchen@feddit.de 4 points 1 year ago

Ich kann auch sigtop empfehlen: https://github.com/tbvdm/sigtop

[-] EunieIsTheBus@feddit.de 17 points 1 year ago* (last edited 1 year ago)

Signal fand ich schon immer etwas fishy. Also naja natürlich kein WhatsApp fishy aber so manche Sachen wie auch im Artikel genannt haben mich auch schon sehr stutzig gemacht. Insbesondere das mit dem Telefonbuch BackUp. Aber persönlich störte mich auch die Debatte warum das Ding nicht auf F-Droid landet sondern nur per google ausgeliefert wird. Insbesondere fand ich die Berichte, dass Signal selbstkompilierte Versionen des Opensource Clients "aus Sicherheitsgründen" vom Zugriff auf die allgemeinen Server blockieren wolle. Da frag ich mich doch, wie man das können will. Damit man das "Original" im Playstore vom "Nachbau" unterscheiden kann, muss es sich technisch ja wohl unterscheiden und wenn die Playstore App nicht identisch die Opensource App ist, ist das ganze doch nicht wirklich Opensource... Trust me Bro, du kriegst das Ding, das dort im github repro liegt zwinker

[-] marv99@feddit.de 7 points 1 year ago

Deine Punkte find ich valide und kann sie unterschreiben.

Von mir dazu nur eine kleine Ergänzung: Die Signal apk kann auch direkt, also ohne Google, von der Signal Webseite bezogen werden: https://signal.org/android/apk/

Das entspricht aber natürlich nicht der Open-Source- und Build-Sicherheit, die einem F-Droid geben würde.
Selbst Signal nennt den Direktdownload die "Danger zone".

Es ist aber eine Möglichkeit Signal auf Google-freie Android-Geräte zu bringen.

[-] 7eter@feddit.de 5 points 1 year ago

Es gibt auch die Möglichkeit molly.im als third party client zu installieren. Oder dann eben doch komplett selbst compilieren.

[-] woobwub@feddit.de 13 points 1 year ago

Nichts ist perfekt. Wer das erwartet kann gleich den Mund halten und nie wieder sprechen denn selbst sprechen im echten Leben ist nicht unabhörbar.

Ich finde Signal ist die beste Vereinbarung zwischen Benutzerfreundlichkeit und Sicherheit:

  • Briar: haste du Freunde im Ausland? Tja, Pech, ne?
  • Messenger ohne Telefonnummer: schön, und wie finde ich meine Freunde?
  • Telegram: benutzerfreundlich ja, aber sicher? standardmäßig nicht verschlüsselt also für mich schon ein "nein"
  • XMPP: das gibts noch??? Keine Telefonnummer und "erlaubt Punkt-zu-Punkt Verschlüsselung" --> nicht standardmäßig verschlüsselt --> ne Chef, aber nein danke.

Ich hoffe dass nach März 2024 es sowieso nicht viel ausmachen wird welche App man benutzt. Auf europäischen Niveau müssen die größten Messenger miteinander kommunizieren können und wenn ich dann einfach Element für alles benutzen kann wäre das toll.

[-] WhiteHotaru@feddit.de 10 points 1 year ago

Die Frage ist ja auch immer, was die anderen Apps sonst noch so erheben. Wenn man den AppStore-Daten glauben darf:

WhatsApp (oh Wunder)

Threema

Telegram

Signal

[-] Opafi@feddit.de 7 points 1 year ago

Threema? Hatte nach der WhatsApp-Akquise deine Familie da hingeschleust und seitdem keine Probleme. Funktioniert reibungslos und zumindest bei meinen deutschen Bekannten ist es sogar relativ häufig installiert.

[-] Don_alForno@feddit.de 5 points 1 year ago

Ist auch unsere App der Wahl, und mir ist völlig unverständlich, weshalb das bei diesem Thema so selten oder nur am Rande überhaupt mal genannt wird.

[-] lulztard@feddit.de 10 points 1 year ago
[-] Don_alForno@feddit.de 6 points 1 year ago

Einmalig 5€. Die Leute sind bescheuert.

[-] Dirk@lemmy.ml 7 points 1 year ago

Signal ist nicht "nicht kommerziell". Das sieht man alleine schon anderen Ausrichtung mit zentralem Server und der Abschnüffelung der Telefonnummern und Adressbücher der User.

XMPP mit eigenem Server oder direkt serverless (XEP-0174), ausschließlich mit OTR oder OMEMO. Hat vor allem den Vorteil, man muss niemandem seine Telefonnummer geben, sich nicht bei einem Zentralen Dienst registrieren, und man kann zu 100% selbst bestimmen, welche Daten wohin gelangen und wie sie genutzt werden.

Außerdem kann man jeden beliebigen Client auf jedem beliebigen Betriebssystem benutzen.

[-] Duke_Nukem_1990@feddit.de 29 points 1 year ago

Ja und das Beste daran ist, dass man endlich seine Ruhe hst, weil das im Familien- und (nicht technisch versierten) Freundeskreis erst recht niemand nutzt.

[-] heeplr@feddit.de 8 points 1 year ago* (last edited 1 year ago)

Edgy Kommentar zu einem sehr validen Punkt. Was willst du damit sagen?

Das selbe Argument galt einst genauso für TextSecure (Signal Vorläufer), Threema & Co... Und nu?

[-] ravermeister@lemmy.rimkus.it 4 points 1 year ago* (last edited 1 year ago)

Mittlerweile gibt es ganz brauchbare Brücken, ...und ein Teil meiner Familie nutzt (Dank meines drängends) meinen xmpp Server😁

[-] taladar@feddit.de 11 points 1 year ago

Brücken heißen aber immer auch dass du effektiv die Sicherheit der weniger sicheren der beiden verbundenen Technologien hast.

[-] ravermeister@lemmy.rimkus.it 1 points 1 year ago

Korrekt, das soll auch eigentlich "nur"eine behelfs Lösung sein, um diese Leute auch zu einem dezentralen Messenger system zu bewegen🙂

[-] Dirk@lemmy.ml 2 points 1 year ago

... uuuund?

[-] theonyltruemupf@feddit.de 11 points 1 year ago

Signal ist nicht-kommerziell. Es wird von der Signal Foundation betrieben und die ist eine non-profit Organisation. Dass die Serverinfrastruktur zentral organisiert ist, hat damit doch überhaupt nichts zu tun.

[-] Haven5341@feddit.de 9 points 1 year ago* (last edited 1 year ago)

und der Abschnüffelung der Telefonnummern und Adressbücher der User.

Dazu der Artikel:

Ein bereits im Dezember 2019 veröffentlichter Signal-Blogpost, der im Erklärartikel und im Blogpost zur PIN verlinkt ist, erläutert die Funktionsweise der von Signal entwickelten »Secure Value Recovery«-Technologie: Aus der PIN leitet die App auf dem jeweiligen Smartphone zuerst einen komplexeren Schlüssel ab, mit Hilfe einer Ableitungsfunktion namens Argon2. Daraus wiederum wird unter anderem ein »Master Key« erzeugt. Dieser dient als Ausgangspunkt für Unterschlüssel, mit denen Daten in der Signal-Cloud verschlüsselt werden, etwa das Telefonbuch.

Mit Hilfe des aus der PIN abgeleiteten Unterschlüssels und einer Zufallszahl erzeugt die App schließlich noch ein weiteres, hoch komplexes Passwort – und verschlüsselt damit das Telefonbuch. Das verschlüsselte Telefonbuch, die Zufallszahl sowie die PIN, in mathematisch umgewandelter (»gehashter«) Form, sendet die App an den Signal-Server.

Dort werden die übermittelten Informationen in einem zweiten Schritt zusätzlich per Hardwareverschlüsselung geschützt. Das Signal-Projekt speichert sie auf den eigenen Datenbanken in einem abgeschirmten Bereich – einer auf Intel-Chips verfügbaren SGX-Enklave (»Intel Software Guard Extensions«). Auf diese Enklave kann selbst das Signal-Projekt nicht frei zugreifen.

Stattdessen sind nur Einzelanfragen möglich: Melden Nutzerinnen oder Nutzer eine Nummer auf einem neuen Gerät an und übermitteln korrekt die dazu gehörige PIN (beziehungsweise ein Hash der PIN), erhalten sie als Antwort das verschlüsselte Telefonbuch sowie die Zufallszahl. Aus dieser und der PIN vermag die App auf dem Smartphone das Passwort zu berechnen. Damit lässt sich das Telefonbuch entschlüsseln – und somit nach einem Gerätewechsel wiederherstellen.

Zumindest die Adressbücher liegen wohl nur verschlüsselt bei der Signal-Foundation.

[-] Dirk@lemmy.ml 5 points 1 year ago

Zumindest die Adressbücher liegen wohl nur verschlüsselt bei der Signal-Foundation.

Mit den passenden Schlüsseln und nötigen Algorithmen zur Entschlüsselung. Ich frage mich viel eher, was das Telefonbuch der User auf den Servern eines Messengerbetreibers verloren hat.

[-] polle@feddit.de 6 points 1 year ago

Bin erstaunt das hier matrix noch nicht erwähnt wurde. Dezentral, verschlüsselt und opensource. Die Clients sind soweit auch gut. Wenn will gibt es sogar WhatsApp Bridges die sogar funktionieren, falls man den WhatsApp client am phone loswerden will.

[-] Lemmchen@feddit.de 3 points 1 year ago

https://getsession.org/
Die haben allerdings ihre eigenen Probleme.

this post was submitted on 23 Oct 2023
29 points (100.0% liked)

Netzpolitik

1406 readers
3 users here now

founded 3 years ago
MODERATORS