Wie viel Open Source steckt im Server von Signal?

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support
  • Und weil der andere Thread Berichte und nicht Diskussionen über andere Messenger heisst, mache ich hier mal eine neue Diskussion auf.


    Wie oft überprüfst du, ob die richtige Version veröffentlicht wurde? Bei jedem Beta-Release oder bei jedem Release?

    Wie oft liest du dir den gesamten Change durch und überprüfst ihn auf Fehler?


    Die Kommunikation zählt ebenfalls zu den Fakten und Signal kommuniziert im App Store (https://apps.apple.com/us/app/…ate-messenger/id874139669), dass sie dank Ihrem Server und Intel SGX deine Telefonnummer und deine Idenität bei Signal trennen können. Threema, Wire, Telegram und co behaupten dies alle nicht.


    Sollte dies nun tatsächlich so funktionieren wie Signal behauptet, dann müsste der Code des Servers schon auch komplett öffentlich sein, sonst bringt die Verifizierung mit SGX gar nichts. (Ob sie mit all den Bugs in SGX überhaupt etwas bringt ignorieren wir hier mal.)


    Du kannst somit das von Signal behauptete Angriffsmodell nicht nachprüfen während dies für Threema problemlos anhand des veröffentlichten Codes geht.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.


    Nur mit Threema Safe schläft man ruhig.

  • Wie oft überprüfst du, ob die richtige Version veröffentlicht wurde? Bei jedem Beta-Release oder bei jedem Release?

    Wie oft liest du dir den gesamten Change durch und überprüfst ihn auf Fehler?

    (...)

    Du kannst somit das von Signal behauptete Angriffsmodell nicht nachprüfen während dies für Threema problemlos anhand des veröffentlichten Codes geht.

    Ersteres ist dann wohl DAS Argument schlechthin in der Opensource Diskussion. Wahrscheinlich kann man sagen, dass von der breiten Nutzermasse kaum einer den Code im Detail lesen wird. Die Frage ist, ob es darum bei der Opensource Diskussion geht. Dann könnte man auch die Frage in den Raum stellen, warum Threema den Code überhaupt veröffentlicht hat - mit dem Punkt, dass doch eh keiner den Code liest, kannst du im Grunde jede Diskussion erschlagen.


    Meiner Meinung nach geht es aber nicht darum, dass den Code jeder liest, es geht mMn um zwei Punkte:

    * wenn Du die App selbst bauen willst, dann kannst du es

    * der Code steht der breiten Masse zur Verfügung und kann von eben dieser getestet werden


    Zum zweiten Punkt eine Frage: von welchem Code sprichst Du bei Threema, vom Servercode oder vom Clientcode?

  • Ersteres ist dann wohl DAS Argument schlechthin in der Opensource Diskussion. Wahrscheinlich kann man sagen, dass von der breiten Nutzermasse kaum einer den Code im Detail lesen wird.

    Naja, du behauptest ja gerade, dass du dir nur das Ergebnis anschaust und nicht auf Berichte von anderen Experten vertraust. Das geht ja gerade nicht, wenn viele den Server von Signal als Open Source missverstehen. Selbst Kuketz (den einige im Forum mögen) schreibt:


    Grundsätzlich wäre es möglich einen eigenen Signal-Server zu hosten und damit eine förderale Serverstruktur aufzubauen – der Quellcode von Signal (Client & Server) ist für jeden unter GitHub einsehbar

    Und das stimmt ja offenbar nicht, es ist nur eine veraltete und undokumentierte Version des Codes verfügbar.

    Dann könnte man auch die Frage in den Raum stellen, warum Threema den Code überhaupt veröffentlicht hat

    Threema hat eine Anleitung wie der Code zu builden ist, veröffentlicht jedes Update zeitnah auf Github und hat zumindest unter Android reproducible builds.

    Der Server von Signal hat nichts davon. (Eine Anleitung für Reproducible Builds für die Clients sehe ich übrigens auch nirgendwo.)

    mit dem Punkt, dass doch eh keiner den Code liest, kannst du im Grunde jede Diskussion erschlagen.

    Ich wollte nur wissen wie oft du dir den Code anschaust.

    Zum zweiten Punkt eine Frage: von welchem Code sprichst Du bei Threema, vom Servercode oder vom Clientcode?

    Threema hat den Code für den Server nicht veröffentlicht, also nur von den Clients. Das wird von Threema zumindest im App Store aber auch sauber kommuniziert. Signal auf der anderen Seite verspricht zusätzlich zum Client noch Eigenschaften die nur mithilfe des Servers gewährleistet werden können.

    Das ist grundsätzlich zwar interessant - aber wie willst du kontrollieren, ob diese Version auch wirklich im Betrieb ist?

    Das geht nicht, will ich auch gar nicht und das Angriffsmodell von Wire geht auch nicht davon aus, dass ich das können muss.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.


    Nur mit Threema Safe schläft man ruhig.

  • Das habe ich schon öfters in diesem Forum erwähnt und ist einer der Gründe, warum ich Signal nicht mehr vertrauen kann.

    Siehe Blogpost von Matthew Green, einem angesehenen Kryptologie-Professor:
    https://blog.cryptographyengin…ls-secure-value-recovery/


    Als Amerikaner muss ein Krypto-Experte aufpassen, was er schreibt, damit er nicht mundtot gemacht wird, sprich Existenz zerstört wird.

    Aber in diesem Artikel beschreibt er vorsichtig, was technisch möglich ist.

    Und ich kann mir beim besten Willen nicht vorstellen, dass die CIA das nicht macht!

    Fazit: Damals konnte Edward Snowden damit noch sicher chatten, aber was er heute mit Signal schreibt, lesen seine Ex-Kollegen in Klartext mit.

    Er (oder ein Fake-Account) schreibt zwar gelegentlich auf Twitter, dass er Signal benutzt und trotzdem noch lebt.

    Aber das muss gar nichts bedeuten.

    Ciao

    Snoopy


    Threema-Nutzer seit 23.12.2020 (immer mit gleicher Threema-ID!) 8)

    Kein Backup? – Kein Mitleid! 8o