Adressbuch- bzw. Kontaktabgleich von Signal eine Blaupause für Threema?

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.800 Mitglieder helfen dir weiter. > Frage stellen <
  • Hallo liebe Foren-Mitglieder,

    über einen Kommentar zu einem Artikel über den SimpleX Messenger auf heise.de bin ich auf die Funktion des Kontaktabgleichs von Signal aufmerksam gemacht geworden.

    Die Entwickler von Signal haben sich bereits 2017 Gedanken über die Schwierigkeiten bei der Erkennung privater Kontakte gemacht und haben an Strategien gearbeitet, um ihr Design so zu verbessern und haben "neuen" Dienst zur Erkennung privater Kontakte veröffentlicht, damit der Signal Server nicht von den Kontakten erfährt, die der Client zum Abgleich im Adressbuch bzw. in der Kontaktliste findet. Mit diesem Dienst können Signal-Kunden effizient und skalierbar feststellen, ob die Kontakte in ihrem Adressbuch Signal-Benutzer sind, ohne die Kontakte in ihrem Adressbuch für den Signal-Serverdienst offenzulegen.

    Die Abhandlung ist für einen Laien wie mich nicht auf Anhieb zu durchschauen, aber ich habe nachvollziehen können, dass man durch den Einsatz von sog. Buckets mit jeweils 12 Kontakten, der Bildung von SHA256-Hashwerten und der Ausführung des Abgleichs in einer sog. Enklave dazu führt, dass ein Signal User sein Adressbuch abgleichen kann ohne, dass Signal erfährt, welche Kontakte nun der User in seinem Adressbuch hat! Das ist m.E. geradezu genial!!

    Nun zu meiner Frage:
    Wer kann sagen, ob Threema ebenfalls diese Open Source Dienst nachgebaut hat oder diesen bereits integriert hat?
    Und falls nicht, gibt es Bestrebungen diese Form des sicheren und anonymen Abgleichs umzusetzen?

    Danke im Voraus für Eure Feedbacks!

    Beste Grüße

    Botschafter

  • Prinzipiell funktioniert das bei Threema seit 2012 genauso.

    Nur verwendet Threema keine "Enklave". Bei dieser sogenannten SGX-Enklave handelt es sich um eine Erweiterung von Intel, die quasi eine zweite, kleinere Instanz eines Servers innerhalb eines Servers ermöglicht. Das ist bei Signal deshalb relevant, weil man nicht wie Threema eigene Server verwendet, sondern diese von Amazon, Google und Microsoft mietet und betreiben lässt, sich also quasi auf Feindesland befindet und die Silicon Valley-Grosskonzerne prinzipiell alles mitlesen können. Für den Adressbuchabgleich verbindet sich der Client also direkt mit dieser Enklave und nicht mit dem Server drumherum. Trotzdem gibt es natürlich zwingend einen Informationsaustausch zwischen der Enklave und dem Server, denn bei Signal stellt die Handynummer die Identität dar, mit der ein Teilnehmer adressiert wird, während bei Threema die Handynummer lediglich eine zusätzliche Information darstellt, um die Kontaktsuche zu erleichtern.

    Man muss auch klar sehen, dass Hashing von Handynummern keine allzu große Sicherheit bietet, denn Handynummern enthalten nur Zahlen und sind klar strukturiert. So lässt sich mittels Brute Force bzw. einer Rainbow Table mit überschaubarem Aufwand aus dem Hashwert eine Nummer ermitteln.

    Einmal editiert, zuletzt von Claus (9. Juni 2023 um 19:56) aus folgendem Grund: typofix