@kuketzblog Würde ich unterschreiben, bis auf den Kaninchenbau ;)

Wenn man mal von IPv4 ausgeht ist eigentlich in kaum einem Fall mehr eine 1:1 Zuordnung zwischen IP und Nutzer möglich wegen NAT. Bei mobilen Verbindungen mit Carrier Grade NAT noch viel weniger.

Aber bei IPv6 ist das schon viel wahrscheinlicher da jedes Gerät mit seiner eigenen IP unterwegs ist.

@kuketzblog Wobei ich dann auch auf meinem Smartphone Amazon nutzen müsste. Tu ich das auf einem anderen Gerät in meinem Heimnetzwerk habe ich nicht mehr die gleiche IP sondern nur das gleiche IPv6 Präfix

@Nico @kuketzblog ist das so? Wenn sich Signal per WLAN und Amazon auf dem Desktop über den selben Router mit dem www verbinden wird doch nur eine IP sichtbar, oder?

@mrksj @kuketzblog Bei IPv4 ist das so, weil du vom Provider nur eine öffentliche IPv4 Adresse zugewiesen bekommst.

Bei IPv6 bekommt dein Router ein Präfix zugewiesen und verteilt daraus Adressen für alle Geräte dahinter.

@Nico @kuketzblog
in der Tat. Also Signal immer per LTE und IPv4.

@Nico @kuketzblog Beri IPv6 ist es auch nicht einfacher. Hier haben anständig konfigurierte Geräte (also welche die privacy extension nutzen, welche dieser Tage der gänige default sind, außer man rennt mit Archlinux rum) duzende IPv6 adressen über den Tag verteilt. In einem Mehrpersonen haushalt und dank regelmäßiger Prefix-wechsel durch die Provider sind die auch nicht viel mehr wert als eine genattete IPv4.

@sheogorath @kuketzblog Soweit ich weiß sagt die Privacy Extension nur, dass der Teil hinterm Prefix gewürfelt wird, und nicht durch die MAC-Adresse des jeweiligen Gerätes festgelegt ist.

Du kannst also ein Gerät nach einem Präfixwechsel nicht wiedererkennen.

Wie lange man heutzutage allerdings mit dem gleichen Prafix rumrennt kann ich nur vermuten. Wahrscheinlich solange wie die Verbindung zum Provider nicht unterbrochen ist, oder man aktiv ein neues Präfix anfordert 🤷🏼‍♂️

@Nico @kuketzblog nicht nur, man benutzt auch einen dynamischen Suffix für ausgehende Verbindungen, der regelmäßig gewürfelt wird. Es ist also von außen schwer ersichtlich wie viele Endgeräte denn nun aktiv sind.

tools.ietf.org/html/rfc4941

@kuketzblog
Du tust so als hätte Amazon bei AWS nur Zugriff auf den Netzverkehr, der ja transportverschlüsselt ist. Tatsächlich wird diese Transportverschlüsselung aber auf einem Server unter der Kontrolle von Amazon terminiert, das heißt Amazon kann zumindest technisch (und anders als ein ISP oder gewöhnlicher RZ-Betrieber) auch die Daten ohne Transportverschlüsselung sehen. Und dazu gehört zum Beispiel auch die Telefonnummer des Empfängers einer Nachricht.

@larma @kuketzblog Hat Amazon denn Zugriff darauf, was genau auf dem AWS-Server läuft? Ich meine: Ist der Server wirklich nicht "abgeschirmt" ggü. Amazon?

@datenschutzratgeber
Es gibt Möglichkeiten den Speicher von VMs abzuschirmen, etwa AMD SEV (schon geknackt). Amazon bietet so etwas afaik aber nicht an, ohne deren aktive Unterstützung ist das nicht möglich.

Das beste was möglich wäre, ist den nicht-flüchtigen Speicher zu verschlüsseln und den zugehörigen Schlüssel erst nach erfolgreichem Boot in die VM zu laden - im unverschlüsselten RAM ist er dann aber trotzdem für Amazon erreichbar.

@larma Wow. Man kann immer weiter in den Kaninchenbau vordringen. ;-)

@kuketzblog @larma Ich kenne mich auf diesem Gebiet überhaupt nicht aus – was genau meinst du damit? Dass es technisch möglich ist, aber äußerst unwahrscheinlich bzw. sehr aufwändig? Oder dass es von vornherein technisch nicht möglich ist?

@kuketzblog @larma Und anscheinend ohne Verschwörungstheoretiker zu sein!? Morgen mal schauen, ob es im Signal-Forum diesbezüglich schon eine Anfrage gibt.

@kuketzblog Amazon gibt regelmäßig die von AWS-Kunden gespeicherte Daten auf Anfrage von Gerichten und Geheimdiensten raus, in der ersten Hälfte von 2020 über 250 mal. Warum sollten da nicht auch Anfragen für Daten von Signal dabei sein?

Quelle: d1.awsstatic.com/certification

@larma @kuketzblog Signal musste ja selbst schon Daten rausgeben.
Und das war.... fast nichts...
signal.org/bigbrother/eastern-
Mehr dürfte dann AWS auch nicht weitergeben können oder?

@levin @larma @kuketzblog Naja, das legen sie ganz gut für sich aus. Normalerweise sollte da noch mindestens ein Push-Token dabei sein, der dann zu Apple-ID bzw. Google-Account linkt und von da bei 99% aller Nutzer zu noch ganz viel mehr.

@eval1cious @larma @kuketzblog Naja, sie wurde ja subpoenaed und mussten alles rausgeben was sie haben oder? Was gibt es da darzustellen?

@levin @larma @kuketzblog Das war ein Ausnahmefall in dem sie halt gerade keine Push Tokens hatten. Im Allgemeinen haben sie die aber (müssen sie unter iOS sonst kommen keine Pushes an).
Und einen Transparency-Report haben sie ja auch nicht, sie sagen also nicht welche Daten sie normalerweise herausgeben.

Ziemlich verdächtig das Ganze.

@kuketzblog @larma Wundert mich, dass du sowas sagst. Seit Snowden wissen wir, dass sowohl Ressourcen als auch Interesse der Geheimdienste grenzenlos sind.

Und wir wissen auch, dass selbst die abstrusesten Angriffsvektoren relevant, weil automatisiert ausnutzbar sind.

@larma @kuketzblog Das Thema hatte ich auch schon mal angesprochen. Hierbei wird davon ausgegangen, das vor dem Signalserver in der AWS Infrastruktur terminiert und somit entschlüsselt und damit die letzten „Meter“ unverschlüsselt wären. Das kann ich mir beim besten Willen nicht vorstellen, lasse mich aber gerne korrigieren...

@kuketzblog
Das Unschöne, Signal unterstützt kein Tor. Das würde die Situation etwas verbessern.

@2342 @kuketzblog man kann den gesamten Traffic vom Handy über die App "Orbot" oder über "Invizible Pro" (kostenlos bei F-Droid zu finden) direkt über Tor leiten.
Somit braucht Signal nicht unbedingt einen Tor-Funktion, auch wenn ich es begrüßen würde.

Vielen Dank an Herrn Kuketz für den Artikel! Mal wieder sehr interessant und ich freue mich jedes Mal über neue Artikel! Man lernt einfach sehr viel über Datenschutz!

@MortenMenigmand
Wenn man alles über Tor leiten will.
Man kann es auch einzeln in Orbot einstellen.

github.com/mollyim/mollyim-and

Kann seit dem heutigen Update SOCKS5.

@kuketzblog

@2342 @kuketzblog ich hatte die Molly gerade drauf, aber bzgl. SOCKS5 bin ich mir nicht sicher.
Kenne mich diesbezüglich nicht allzu gut aus und weiß nur, dass man von kostenlosen Proxys die Finger lassen soll.
Lasse Signal nun über Orbot laufen.
Ob das ganze nun noch Sinn macht, wage ich zu bezweifeln, da ich zuvor mit meiner echten IP schon mit den Signal-Server verbunden war.

@MortenMenigmand
Ja nachträglich ist das nat. nur halbgar.
Aber zumindest ist deine reale IP verschleiert (für die Zukunft). Außerdem bist du durch die Rufnummer identifizierbar. Ich will Signal auch nicht bewerben.
Nehmt lieber XMPP!
@kuketzblog

@2342 @kuketzblog Nein, die Handynummer ist nicht identifizierbar.
Die werden vorher gehasht und die gehashten Nummern werden auf einer SGX-Enklave auf dem Server mit denen seiner Kontakte abgeglichen.
Das einzige was sichtbar ist ist die IP-Adresse.
Und bzgl. IP-Adresse benutzt man dann Orbot.
Gruß

@MortenMenigmand
Und Hashes sind nat. nicht deanonymisierbar?
Und die beschriebene Struktur können wir auch überprüfen?
@kuketzblog

@2342 @kuketzblog

Die Nummern werden auf dem Handy gehasht und anschließend zum Server geschickt. Somit kann man die Nummern nicht mehr lesbar machen.
Welche Struktur meinst Du genau?

@MortenMenigmand
Kann man glauben oder nicht, daß das lückenlos sicher ist.

signal.org/blog/private-contac

DRM wurde ja auch noch nie gehackt.
@kuketzblog

@2342 @kuketzblog

man kann den Datenverkehr mit einem Raspberry Pi oder Wireshark analysieren und das ganze prüfen.
Ich habe vor neun Jahren, als es noch keine Ende zu Ende Verschlüsselung bei WhatsApp gab, die ganzen Textnachrichten im Heimnetz darüber lesen können.
Werde mich eventuell die Tage Mal ransetzen und prüfen ob ich irgendwas bei Signal darüber sichtbar machen kann.

Aber ich bezweifle, dass das wieder so einfach wie bei WhatsApp damals funktionieren wird.

@kuketzblog Ich hätte erwartet, dass man mit dem Zeitpunkt des Verbindungsaufbaus viel mehr machen könnte. Typischerweise werden Nachrichten ja gepusht und direkt dannach ein Delivery Receipt geschickt.
Ich hätte erwartet, dass die Anzahl möglicher Kommunikationspartner auch bei Millionen von Nutzer bereits nach einigen Nachrichten auf nur noch eine Handvoll zusammenschrumpft.

@kuketzblog und was macht amazon letztendlich mit den Daten? Was genau lässt sich nun damit anstellen?

@kuketzblog

Herr Von und Zu wrote:

und was macht amazon letztendlich mit den Daten? Was genau lässt sich nun damit anstellen?


Danke @HerrKeludowig für diese Frage - denn um das geht es ja wohl eigentlich. Natürlich könnte Amazon oder wer auch immer irgendwelche Daten erheben, die Frage ist aber eben, lässt sich damit Unfug treiben?

Gehen wir vielleicht einmal an den Ursprung dieser ganzen Debatte und fragen uns, was könnte denn der Eigentümern von WhatsApp, der Facebook Konzern mit den anfallenden Daten anstellen? Praktischer Weise haben die schon einiges angestellt, d.h. wir sind hier nicht auf vage Mutmaßungen angewiesen. Kurz zusammengefasst hat uns Facebook mit einiger Wahrscheinlichkeit (und ohne es zu wollen) den Brexit und 4 Jahre Trump eingebrockt. Die Langfassung könnt ihre gerne auf PeerTube nachschauen - ist absolut sehenswert!

Wenn wir nun den Datenreichtum, der bei Facebook und WhatsApp anfällt vergleichen mit den Daten, die Amazon in seiner Rolle als Hoster von Signal abziehen könnte, so wird sehr schnell klar: Wer auch immer Signal hostet, wird das nicht wegen der anfallenden Daten tun. Denn diese sind so gut wie nutzlos. Jedenfalls aber lässt sich das, was Cambridge Analytica mittels der Facebook-Daten abgezogen hat, mit Signal nie und nimmer umsetzen.

@ilanti
Das Problem der ganzen Debatte hier und in anderen Medien mit Dominanz von IT technisch versierten Nutzern ist der erhobene Anspruch des Absoluten. 100% Sicherheit fordern für Alle ist/wird ein Ideal bleiben.
Was bleibt bei den schnell Lesenden hängen?
Ist doch egal, alles was ich nutze, nutzen könnte ist nicht gut, warum also etwas aufgeben?
Mehr Sicherheit und mehr Selbstbestimmung ist besser als keine Änderung!
@HerrKeludowig @kuketzblog

@digitalcourage @kuketzblog
Gestern wurde hier schon mal der Schweizer Messenger „#TeleGuard“ angesprochen.
Anmeldung über einen beliebigen Namen möglich, ohne Telefonnummer oder eMail- Adresse. Verschlüsselung, Server in der Schweiz ...
Was spricht gegen oder für den Messenger, den ich als Laie nicht erkenne???

teleguard.com/de

@warte @kuketzblog

#TeleGuard ist nicht quelloffen und scheint den Google-Tracker Firebase Analytics zu enthalten:

reports.exodus-privacy.eu.org/

Am Ende unseres Artikels listen wir Kriterien für gute Messenger auf.

/c

@kuketzblog "Wer der Signal-Foundation hingegen nicht vertraut, ..." Könnte der Satz bzw. das Wort "vertrauen" vielleicht irritieren? Was die Signal-Foundation tut ist doch transparent.

@kuketzblog
Auch von mir vielen Dank für den Artikel. Ich habe da mal'ne Frage zu Molly. Habe mir jetzt mal die FOSS-Version im F-Droid runtergeladen. Nach dem Einrichten wurde Signal auf meinem Telefon direkt "deaktiviert". Kann also beide nicht parallel nutzen. Inwiefern sind die zwei Programme denn miteinander verbunden?Hast du da Ahnung von? Danke.

@kuketzblog
Die Diskussion hier geht ziemlich ins Detail. Was man mitnehmen sollte ist, einfachste + beste alternative zu WhatsApp vA unbedarfte.

Es ist nichts gewonnen wenns es 5% der User 100% perfektachen, mehr wird erreichtet wenn sich viele auch nur ein wenig verbessern. Darauf kommts an!

>90% der User werden bei diesen Details schon lange aussteigen.

Was für bisherige und Wechsel willige WA Nutzer zB relevant ist, "ist die Bedienung auch einfach" o. "Finde ich da auch meine Kontakte"

@kuketzblog Google hat Element (Matrix) aus dem Play Store genommen (element.io/blog/element-on-goo). Sollten jetzt viele User von WhatsApp zu Signal wechseln, welches auch bei Google gehostet wird (kuketz-blog.de/signal-jegliche), könnte das auch finanzielle Vorteile für Google haben…

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!