1 Punkte von GN⁺ 2024-05-14 | 1 Kommentare | Auf WhatsApp teilen
  • Telegram steht in der Kritik, mit Unterstützung von Elon Musk Signal als unsicheren Messenger darzustellen und Aktivisten zu Telegram mit standardmäßig schwacher Verschlüsselung bewegen zu wollen
  • Das Signal Protocol ist eine offene Kryptografie-Technologie, die unter anderem in Signal und WhatsApp verwendet wird; Open-Source-Veröffentlichung und Prüfung durch Fachleute sind zentrale Säulen seines Sicherheitsvertrauens
  • Bei Telegram sind Unterhaltungen nicht Ende-zu-Ende-verschlüsselt, solange Nutzer nicht selbst einen „Secret Chat“ starten, sodass Daten auf Servern sichtbar sein können
  • Pavel Durov sagt unter Verweis auf reproduzierbare Builds von Telegram, der Dienst sei sicherer als Signal; die iOS-Verifizierung erfordert jedoch ein altes iPhone mit Jailbreak, und auch eine Verifizierung der gesamten App ist nicht möglich
  • Telegram-Nutzer müssen selbst einschätzen, welche Anforderungen an Vertraulichkeit und welche Jurisdiktionsrisiken bestehen, ausgehend davon, dass selbst Experten die Vertraulichkeit der Kommunikation nur schwer garantieren können

Unterschiede in der Verschlüsselungsarchitektur von Signal und Telegram

  • Das Signal Protocol bildet die kryptografische Grundlage von Signal und wird auch in WhatsApp sowie mehreren anderen Messengern genutzt
    • Es ist als Open Source veröffentlicht und wurde intensiv von Kryptografen geprüft
    • Öffentliche Prüfung gilt in der Kryptografie als wichtiges Vertrauenskriterium
  • Auch der Client-Code von Signal ist Open Source; im Repository Signal-iOS lassen sich Code und Kryptografie-Bibliotheken einsehen
    • Open Source schließt mögliche Bugs nicht aus, ermöglicht aber vielen Fachleuten, den Code zu überprüfen
  • Telegram verschlüsselt Unterhaltungen standardmäßig nicht Ende-zu-Ende
    • Nutzer müssen selbst einen verschlüsselten „Secret Chat“ starten
    • Ohne Secret Chat können Daten auf Telegram-Servern sichtbar sein
    • Angesichts der Nutzerbasis von Telegram gibt es die Sorge, dass die Server zum Ziel von Nachrichtendiensten werden könnten

Debatte über reproduzierbare Builds und Grenzen der Verifizierung

  • Pavel Durov behauptet, Telegram sei sicherer als Signal, weil Signal keine reproduzierbaren Builds habe, Telegram hingegen schon
  • Reproduzierbare Builds sind eine Methode, um zu überprüfen, ob der veröffentlichte Quellcode tatsächlich für den Build der App verwendet wurde, die aus dem App Store heruntergeladen wird
    • Nutzer können den Code selbst bauen und anschließend mit der heruntergeladenen App vergleichen
  • Signal bietet auf Android reproduzierbare Builds an; in der Android-Umgebung ist die Verifizierung mit relativ einfachen Schritten möglich
    • Auf iOS ist sie aus Apple-bezogenen Gründen sehr schwierig, wobei die App-Verschlüsselung ein wesentliches Hindernis darstellt
    • Es wird darauf hingewiesen, dass Apple dieses Problem beheben sollte
  • Telegram hat für iOS einen Umweg für reproduzierbare Builds versucht, doch die Anleitung von Telegram zu reproduzierbaren iOS-Builds ist stark eingeschränkt
    • Es wird ein altes iPhone mit Jailbreak benötigt
    • Selbst am Ende kann nicht die gesamte App verifiziert werden, und einige Dateien bleiben weiterhin verschlüsselt

Sicherheitsrisiken, die Nutzer tatsächlich tragen müssen

  • Der größte Streitpunkt in der Sicherheitsdebatte um Telegram ist die Entscheidung, den meisten Nutzern keine standardmäßige Ende-zu-Ende-Verschlüsselung bereitzustellen
    • Experten gehen davon aus, dass sich bei der Nutzung von Telegram die Vertraulichkeit der Kommunikation nur schwer garantieren lässt
    • Es wird die Position vertreten, dass selbst im Secret-Chat-Modus keine Vertraulichkeit als verlässlich angenommen wird
    • Nutzer müssen beurteilen, wie wichtig Vertraulichkeit für sie ist, wo Telegram-Server betrieben werden und unter welcher staatlichen Jurisdiktion sie funktionieren

1 Kommentare

 
GN⁺ 2024-05-14
Hacker-News-Kommentare
  • Du Rove sagte zwar, „Signal-Nachrichten seien vor US-Gerichten oder in den Medien gegen die Betroffenen verwendet worden“, aber wenn jemand das Smartphone hat, entsteht bei Telegram dasselbe Problem.
    Signal kann meines Wissens per Client-Sperre geschützt werden, und auch die Datenbank ist verschlüsselt.
    Was Du Rove außerdem auslässt: Signal hat sich vor US-Gericht durchgesetzt. Als per Vorladung sämtliche Nutzerdaten angefordert wurden, lieferte Signal nur den Unix-Timestamp der Kontoerstellung und das Datum des letzten Zugriffs auf den Signal-Dienst.
    Das war Ende 2021, und ich frage mich wirklich, was Telegram dem FSB geliefert hat.
    https://signal.org/bigbrother/cd-california-grand-jury/

    • Wenn ich mich richtig erinnere, hat Telegram seine Kernentwickler nach Dubai verlegt, weil der FSB Informationen verlangte; insofern könnte man sagen, dass diese Sorge eher schwach begründet ist.
      Das größere Problem ist, dass Telegram standardmäßig unsichere Verschlüsselungseinstellungen verwendet. Bei Signal ist Verschlüsselung standardmäßig aktiv, bei Telegram muss man sie manuell einschalten, und meines Wissens geht das nicht für alle Chats und Clients.
      Zum Beispiel scheint Tdesktop weiterhin keine Ende-zu-Ende-Verschlüsselung zu unterstützen.
      Telegram könnte mit Strafverfolgungsbehörden kooperieren, indem es unverschlüsselte Kommunikation einfach herausgibt; ich sehe das als Dark Pattern mit Sicherheit als Köder. Privatsphäre wird als großer Vorteil beworben, während die grundlegende Sicherheit standardmäßig nicht aktiviert ist.
    • „Gewonnen“ müsste bedeuten, dass man der Vorladung nicht nachkommen musste.
    • Der Teil mit „nur Kontoerstellungszeitpunkt und letztem Zugriffsdatum herausgegeben“ ist verwirrend.
      Signal verlangt für die Registrierung eine Telefonnummer, hat also auch die Telefonnummer, und genau das ist die wichtigste Datenschutzkritik an Signal.
    • Telegram ist schon vor langer Zeit nach Dubai umgezogen; ich verstehe nicht, wie der FSB da Zwang ausüben können soll.
    • Die Datenbank ist zwar verschlüsselt, aber das Passwort liegt direkt daneben in einer JSON-Datei.
  • https://nitter.poast.org/matthew_d_green/status/1789687898863792453

    • Vergleicht man Signal und Telegram, ist Telegrams Verschlüsselung größtenteils ausgeschaltet, und der Server kann auf Nachrichten zugreifen.
      Die optionale Ende-zu-Ende-Verschlüsselung ist umständlich zu nutzen und nicht einmal auf allen Plattformen verfügbar. Zum Beispiel unterstützt Tdesktop meines Wissens weiterhin keine Ende-zu-Ende-Verschlüsselung.
      Es ist auch nicht mehr möglich, mit einem Open-Source-Client ein Telegram-Konto zu registrieren. Das sollte nicht einmal Gegenstand einer Debatte sein.
      Andere Messenger werden nicht vertrauenswürdiger, nur weil sie wie WhatsApp Signals Verschlüsselungsverfahren verwenden.
      Man kann zwar prüfen, ob die Implementierung im Binary korrekt ist, aber wenn der Anbieter Update-Kanäle oder Funktionen in Beta-Releases kontrolliert, lassen sich gezielte Funktionen leicht verstecken. Ich meine, es gab doch auch bei WhatsApp den Fall, dass Chats auf einem nicht regulären Weg abgegriffen wurden und so die Ende-zu-Ende-Verschlüsselung umgangen wurde.
      Signal ist nicht auf F-Droid, aber inzwischen gibt es eine von upstream akzeptierte Drittimplementierung. Man kann den Softwareanbieter und den Infrastrukturanbieter auch trennen; siehe Molly.im.
      Menschen ohne technische Vorkenntnisse bringt man meiner Meinung nach besser zu Signal als zu einem anderen Messenger, der dasselbe auf weniger geschützte Weise tut.
      Matrix? Lächerlich.
    • Bietet Signal inzwischen reproduzierbare Builds für Android an? Falls ja, frage ich mich, warum dann F-Droid nicht möglich ist.
    • Jetzt verstehe ich, wie Telegrams reproduzierbarer iOS-Build möglich war: „Man braucht ein altes gejailbreaktes iPhone, am Ende lässt sich trotzdem nicht die gesamte App verifizieren, und einige Dateien bleiben verschlüsselt.“
      Letztlich heißt das: Um zu prüfen, ob es wirklich reproduzierbar ist, muss man sich durch jede Menge Aufwand quälen.
  • Telegram behauptete schon damals, als es noch selbst gestrickte Kryptografie verwendete, sicherer zu sein.
    Sicherheit war nie eine Stärke von Telegram, und sie war es von Anfang an nicht.

    • Ich verstehe nicht, warum MTProto als selbst gestrickte Kryptografie gilt, das Signal Protocol aber nicht.
      Beides sind maßgeschneiderte Protokolle, die von Grund auf für das jeweilige System entwickelt wurden.
    • Technisch gesehen verwendet Signal doch auch selbst gestrickte Kryptografie, oder?
    • Ich frage mich, warum selbst gestrickte Kryptografie grundsätzlich unsicher sein soll.
  • Das ist Telegram-Psyops: Menschen sollen über Emotionen, insbesondere Angst und Paranoia, auf die miserable Plattform Telegram gelockt werden.

  • Zu der Behauptung „Eine überraschend große Zahl wichtiger Leute, mit denen ich gesprochen habe, sagte, ihre ‚privaten‘ Signal-Nachrichten seien vor US-Gerichten oder in den Medien gegen sie verwendet worden“ frage ich mich, ob es dafür eine Quelle gibt – außer dass ein Signal-Konkurrent private Aussagen seiner wichtigen Freunde wiedergibt.
    Oder wenn Gerichte oder Medien ein entsperrtes Smartphone in die Hände bekommen haben, schützt Telegram dagegen auch nicht.

  • Wenn man bedenkt, dass die Telegram-Server in Dubai stehen, die Regierung dort eher einer neutralen Autokratie ähnelt und es auch an Verschlüsselung mangelt, liegt die Grundannahme eher in diese Richtung.
    Wahrscheinlich verkaufen sie nicht nur großen Regierungen Zugriff auf Nutzerdaten, sondern haben sogar den Ausschreibungsprozess dafür vereinfacht.

    • Genau. Das Magische an „man kann Verschlüsselung einschalten“ scheitert daran, dass fast alle Nutzer sie in der Praxis nicht einschalten.
      Selbst wenn man sagt: „Wenn du Verschlüsselung brauchst, schalte sie eben ein“, entstehen zwei Probleme: Man wird plötzlich als jemand identifiziert, der Verschlüsselung aktiviert hat, und noch wahrscheinlicher vergisst einer der Gesprächspartner, sie einzuschalten, und sagt alles im Klartext.
      Der Kern des Signal-Modells ist, dass es immer verschlüsselt ist. Aus demselben Grund ist Let’s Encrypt wichtig. Für wirksame Sicherheit muss man sich in der Masse verstecken können.
      Wenn die Nutzung von Verschlüsselung selten ist, wird schon die Information, wer sie nutzt oder plötzlich damit anfängt, zu äußerst wertvollen Daten.
      Deshalb dürfte Telegram sicher auch Timeline-Informationen darüber verkaufen, welche Nutzerkonten ihre Nutzungshäufigkeit verschlüsselter Chats ändern.
    • Sowohl Russen als auch Ukrainer nutzen Telegram, und sie verwenden es auch, um vertrauliche Nachrichten mit Agenten auf fremdem Staatsgebiet auszutauschen.
      Für mich wirkt das daher wie ein ausreichender Beleg dafür, dass es sicher genug ist.
  • Es gibt mehrere Ebenen, auf denen abgefangen werden kann.
    Bildschirmtastaturen senden standardmäßig oft Eingaben, und auf vielen Smartphones sind Third-Party-Tastaturen zweifelhafter Herkunft vorinstalliert.
    Es gibt auch den Trick mit „Backup aktivieren“. Wenn man Apps wie Google Photos oder WhatsApp startet, kann es passieren, dass man selbst oder der Ehepartner in einem Popup versehentlich auf „OK“ tippt.
    Hardware-Treiber sind nicht quelloffene Binary Blobs und könnten Backdoors enthalten.
    Auch beim Betriebssystem lässt sich faktisch nicht wissen, welche Informationen protokolliert und an den Smartphone-Hersteller gesendet werden.

    • Wenn es stimmt, dass „die meisten Smartphones standardmäßig Eingaben senden“, wäre das enorm; ich wüsste gern, ob es dafür Belege gibt.
      Selbst Google war nicht dreist genug, alles in Gboard Eingegebene zu protokollieren, und hat föderiertes Lernen implementiert.
    • Auch mein Mann könnte versehentlich auf „OK“ tippen.
  • Dieser Beitrag ist eine Reaktion auf den folgenden Post von Telegram-Gründer Durov:
    https://t.me/durov/274

    • Kritik der Art „Mir gefällt nicht, wo eines der Vorstandsmitglieder gearbeitet hat“ ist schwach. Unter den hochrangigen Personen im Krypto-Ökosystem ist es schwer, jemanden zu finden, der nicht irgendwann in seiner Karriere mit so etwas zu tun hatte.
      Dasselbe gilt für „Mir gefällt die Finanzierungsquelle nicht“. Die US-Regierung finanziert häufig Sicherheitssoftware, weil sie sie auch für den eigenen Betrieb braucht. Tor ist ein Beispiel.
      „Überraschend viele Leute glauben, dass ihre Chats geleakt wurden“ lässt sich auch ohne Quelle leicht behaupten. Überraschend viele Leute glauben auch, dass Facebook sie über das Mikrofon ihres Smartphones belauscht. Menschen sind schlecht in Operational Security, das ist nichts Neues.
      Auch die Behauptung „Es gibt keine reproduzierbaren Builds, und Community-Anfragen auf GitHub wurden geschlossen“ ist falsch. Android ist reproduzierbar, und selbst in dem geschlossenen Issue stand ausdrücklich, dass Feature Requests nicht über GitHub angenommen werden und man sie im richtigen Kanal einreichen soll.
      Auch „nur Telegram bietet reproduzierbare Builds“ bedeutet nicht viel. Telegram hat bei verschlüsselten Chats selbst eine schwache Basis; egal wie reproduzierbar der Build ist, die Chats werden dadurch nicht sicher.
      Signal hat Ende-zu-Ende-Verschlüsselung und verifizierbare Android-Builds, seine Sicherheitsposition ist also eindeutig besser.
  • Signal hätte Chancen, populärer zu werden, wenn es die allgemeine Reife und Politur des Clients, insbesondere der Desktop-App, höher priorisieren oder Third-Party-Clients zulassen würde, die genau solche Aspekte wichtig nehmen.
    Ich nutze iMessage, Telegram und Signal, aber der Großteil meiner Nutzung entfällt auf die ersten beiden. Das liegt daran, dass viele Menschen in meinem Umfeld dort sind.
    Vergleicht man die Nutzererfahrung der drei Dienste, sieht man leicht, warum.

    • Ich dachte, es wäre wirklich großartig und unterstützenswert, wenn Signal Third-Party-Clients zulassen würde, die Signaturen zur Identitätsprüfung bereitstellen.
      Signal erledigt das derzeit, indem es Telefonnummern direkt verifiziert, also muss es zentral weiterbetrieben werden. Das Prinzip „Vertraue niemals dem Client“ gilt für Signals eigene Clients genauso, und ein Modell, das „nicht verifizierten Nutzern erlaubt, unbekannte Personen zuerst zu kontaktieren“, ist der Spam-Pfad, der das gesamte moderne Telefonnetz infiziert hat. Deshalb gibt es STIR/SHAKEN.
      Selbst wenn dieses Bedürfnis gelöst würde, besteht das größte Risiko bei Third-Party-Clients darin, dass in einer attraktiven Hülle absichtlich kompromittierter Code steckt. Die einzige Möglichkeit, das zu verhindern, ist, Third-Party-Clients gar nicht erst zuzulassen.
      Nachdem ich diesen zu erwartenden Verlauf durchdacht hatte, unterstütze ich Third-Party-Clients letztlich nicht mehr.
  • https://nitter.poast.org/matthew_d_green/status/1789687898863792453