Und weil der andere Thread Berichte und nicht Diskussionen über andere Messenger heisst, mache ich hier mal eine neue Diskussion auf.
Auf der einen Seite versteh ich Dich, auf der anderen Seite aber auch nicht.
Ich schaue mir das Ergebnis an. Im Ergebnis weiß man weder bei Threema noch bei Signal, was genau auf dem Server läuft.
Im Ergebnis kann ich in beiden Fällen den Client aber auf Opensource Basis selbst bauen und sicherstellen, dass auf meinem Gerät die versprochene Version läuft - wenn ich das will.
Das heißt, wenn man das Bauchgefühl abzieht und rein auf die Fakten schaut, dann nehmen sich beide Lösungen nichts. Das gilt aber mMn für alle Lösungen die über einen zentralen Server laufen.
Alternative müsste man sich peer-to-peer Lösungen anschauen, oder Lösungen wo man seinen eigenen Server betreiben kann, Beispiel Matrix.
Wie oft überprüfst du, ob die richtige Version veröffentlicht wurde? Bei jedem Beta-Release oder bei jedem Release?
Wie oft liest du dir den gesamten Change durch und überprüfst ihn auf Fehler?
Die Kommunikation zählt ebenfalls zu den Fakten und Signal kommuniziert im App Store (https://apps.apple.com/us/app/signal-…ger/id874139669), dass sie dank Ihrem Server und Intel SGX deine Telefonnummer und deine Idenität bei Signal trennen können. Threema, Wire, Telegram und co behaupten dies alle nicht.
Sollte dies nun tatsächlich so funktionieren wie Signal behauptet, dann müsste der Code des Servers schon auch komplett öffentlich sein, sonst bringt die Verifizierung mit SGX gar nichts. (Ob sie mit all den Bugs in SGX überhaupt etwas bringt ignorieren wir hier mal.)
Du kannst somit das von Signal behauptete Angriffsmodell nicht nachprüfen während dies für Threema problemlos anhand des veröffentlichten Codes geht.