Ich sehe Signal als kompromittiert an.
Stelle Dir mal bildhaft vor, wo die Signal-Server stehen (bei AWS in einem Serverraum „umzingelt” von Servern, für die Three-Letter-Agencies Milliarden Dollar zahlen – warum wohl?) …
Kurzfassung: Die Technik bei Signal erlaubt es, daneben stehenden dafür präparierten Servern die sichere Enklave zu kopieren!
Dank Schwachstellen in der RAM-Verschlüsselung ist es für die NSA leicht, alle Daten der Signal-Server entschlüsselt abzusaugen.
Quellenangabe:
- heise.de: Experten fanden mehrere Schwachstellen und Sicherheitslücken sowohl bei AMD SEV als auch bei Intel SGX
- Matthew Green: Warum fordert Signal die Benutzer auf, eine PIN festzulegen, oder “Ein paar Gedanken zu SVR” (engl.)
- Foreshadow ist ein spekulativer Ausführungsangriff auf Intel-Prozessoren – m. anschaulicher Präsentation (engl.)
Daher würde ich an Deiner Stelle lieber Session als Alternative für Deine Kontakte empfehlen, die einfach nichts für Sicherheit und Datenschutz bezahlen wollen: Das ist Session (Intro auf YouTube, engl., 1:24 Min.)