Follow

Weshalb Telegram kurioserweise eine Aura der Sicherheit umgibt, ist aus meiner Sicht nicht nachvollziehbar. Der Messenger ist keine sichere und datenschutzfreundliche Alternative zu WhatsApp.

kuketz-blog.de/telegram-sicher

@kuketzblog der einzige Unterschied ist dass es bei Facebook schon leaks gab, bei Telegram sind mir keine nennenswerte bekannt.

@musicmatze @kuketzblog Ja Telegram verkauft sich halt gerne als Sicher, ist es natürlich nicht, aber viele fallen auf das Marketing herein.

Für mich hat Telegram andere Vorteile, vorallem das Arbeiten damit auf mehreren Devices macht verdammt viel Spass und dann auch noch die Bots die mir anzeigen wann die Spülmaschine fertig ist etc.

Größtenteils nutze ich Telegram nur noch als ziemlich coolen Push Service.

@bjoerns
@oliver

Die Vorteile, die ihr aufzählt*, bietet Element/Matrix genauso - aber eben mit Verschlüsselung

*
- von mehrere Geräten, egal ob Smartphone Tablet oder Desktop auf die Konversationen zugreifen
- Bots
- implizites Backup
- alternative Clients auf verschiedensten Betriebssystemen

@musicmatze @kuketzblog

@KitKat @oliver @musicmatze @kuketzblog Wusste bisher nicht das Element/Matrix auch Bots anbieten. Gibt es dafür irgendwo eine Beschreibung / Doku zu?

@bjoerns @oliver @musicmatze @kuketzblog

Bots bei Matrix nutzen wie andere Nutzer einfach die Client-Server API:
spec.matrix.org/unstable/clien
Hier gibts weitere Hilfe dafür: matrix.org/docs/develop

Hier gibts z.B. ein paar angebotene Bots:
t2bot.io/

Über die Matrix-Telegram-Bridge kann man sogar Telegrambots einbinden.

@KitKat @oliver @musicmatze @kuketzblog Hätte natürlich schon einen gewissen Reiz die Benachrichtigungen des Smarthome über einen eigenen Matrix Server laufen zu lassen.

@KitKat @bjoerns @oliver @musicmatze @kuketzblog als ich mich vor einem Jahr damit beschäftigt habe, gab es bei Matrix Bots keine Möglichkeit E2E Encryption zu nutzen. Demnach macht es für Bots tatsächlich eher geringe Unterschiede.

@tuxflo @bjoerns @oliver @musicmatze @kuketzblog

naja, vor einem Jahr war E2EE by default und Cross Signing brandneu (*möglich* sollte es trotzdem gewesen sein: Bots nutzen keine andere API wie jeder andere Nutzer).

Die meisten Bots auf t2bot.io scheinen E2EE schon zu unterstützen:
t2bot.io/docs/encrypted-integr

Genauso wie sehr viele Bridges mittlerweile, z.B.: github.com/tulir

@KitKat @tuxflo @bjoerns @oliver @kuketzblog hat jemand von euch schonmal einen Bot selbst implementiert? Wenn ja, welche Sprache/Framework und wie schwer war das?

Mich interessiert insbesondere Ressourcenverbrauch und Anwendungsfall. Meiner wäre persönlicher Nutzen, Notifications für mein Heim-IOT das ich aufbauen will und evtl eine Art Bridge von Prometheus/Grafana zu Matrix (Alerting oder nur Reporting)

@musicmatze @tuxflo @bjoerns @oliver @kuketzblog

Besonders ressourcenaufwändig dürfte das nicht sein. Es sind nur REST-API calls. Python halt eher nicht... der Python-Server(!) ist ein ziemlicher Ressourcenfresser.
Aus Erfahrung kann ich leider nicht sprechen.

Es gibt jedenfalls ein Rust SDK mit Beispielbot:
github.com/matrix-org/matrix-r
(auch aktiv, Fragen sind beim verlinkten Chatraum gut aufgehoben)

Matrix.org hat ein paar IoT bezogene Bots gelistet: matrix.org/iot/

@KitKat @musicmatze @tuxflo @oliver @kuketzblog Wo du schon erwähnst gibt es ggf. einen Matrix Server der nicht so ein ressourcen Fresser ist und ggf. auf kleinere Setups ausgelegt ist.

@bjoerns @musicmatze @tuxflo @oliver @kuketzblog

Dendrite (Beta) und Conduit (Alpha).
Ersteres ist definitiv nutzbar (läuft auch auf Smartphones für Matrix P2P), aber z.B. mangels Push Notification-Support, noch nichts für den breiten Einsatz.
Bei letzteren (zielt genau auf deine Anforderungen ab) am besten direkt nachfragen.

Construct gibts auch noch.

github.com/matrix-org/dendrite
conduit.rs/
github.com/matrix-construct/co

@KitKat
Das mit dem Ressourcenfresser kann ich halt nicht nachvollziehen. Ich betreibe meinen eigenen Matrix Server seit über einem Jahr ohne Vorkommnisse.
@tuxflo @bjoerns @oliver @kuketzblog

@KitKat @tuxflo @bjoerns @oliver @kuketzblog halt, stimmt nicht ganz: Letztens hab ich ihn einmal neustarten müssen weil der RAM voll war. Nach einem Update war dann aber wieder alles gut, also würde ich behaupten dass das ein Bug war, also kein Normalzustand.

@musicmatze @tuxflo @bjoerns @oliver @kuketzblog

Ok, es kommt stark darauf an, was du mit deinem Server machst.
Bei vielen habe ich gehört, dass wenn sie Räume betreten, in welchen hunderte bis tausende verschiedene Server drin sind, der Server schon "etwas zu tun hat" :D

@eval1cious @KitKat @oliver @musicmatze @kuketzblog Kann ich leider nicht beurteilen, leider gibt es unter meinen Kontakten zu wenig Matrix Nutzer als das ich es täglich nutzen würde.

@kuketzblog Der einzig relevante Unterschied könnte sich daraus ergeben, mit wem die Daten geteilt werden.

@leftbit Das greift zu kurz. Telegram hat noch mehr Daten als WhatsApp. Unter anderem auch die Inhaltsdaten, da die E2E-Verschlüsselung in Einzelchats nur optional ist und in Gruppenchats sogar gar nicht vorhanden.

Was Benutzerfreundlichkeit und Bedienbarkeit angeht ist Telegram eigentlich ein super Messenger. Im Prinzip müsste Telegram "nur" private Chats und private Gruppenchats Ende-zu-Ende verschlüsseln und das Standardmäßig. Dazu müssen die Entwickler auch nicht das Rad neu erfinden sondern könnten sich am Signal-Protokoll bedienen.

@moe Das mit der Benutzerfreundlichkeit streitet niemand ab. Aber was die Metadaten und auch die Absicherung der Inhaltsdaten angeht, rangiert Telegram auf den letzten Plätzen des Messenger-Universums.

@kuketzblog
Telegram ist für mich eher ein allumfassendes Forum als ein Messenger. Das händel ich auch so. Wie Forenbeiträge, darf jeder lesen.

@NBN So ist das auch okay. Aber die Bewerbung als »sichere« und datenschutzfreundliche Alternative zu WhatsApp finde ich kurios - das passt halt einfach nicht.

@kuketzblog @NBN Dich wundert dass Werbung nicht die Wahrheit verspricht? 😀
@kuketzblog Das bin ich gerne bereit, zu erläutern:
- Ich bin in #Telegram u. a. Mitglied in einer Ortsgruppe mit >8.000 Menschen. Niemand von denen - egal, ob ich mit den Personen kommuniziere oder nicht, sieht meine Telefonnummer. Was meint ihr wohl, was bei jungen Frauen los wäre, wenn andere Nachbarn nicht nur deren Foto, sondern auch ihre Telefonnummer sehen könnten? Die bekommen sie im Gegensatz zu Signal gar nicht erst. So sieht Datenschutz in der Praxis aus, von dem alle profitieren!
- Gerne wird die nicht vorhandene E2E-Verschlüsselung in jenen Gruppen bemängelt. Ich empfinde es gerade als Vorteil, von jedem Gerät, egal, ob Tablet, Smartphone oder Desktop, auf meine Konversationen zurückgreifen zu können. Ich will ja gerade einen Cloud-Messenger haben, mit dem ich (und auch Nicht-Nerds im Freundeskreis) von überall unkompliziert Zugriff haben. Das ist vor allem dann relevant, wenn mal ein Smartphone ins Klo fällt. Wie viele Otto-Normalnutzer haben dann schon ein aktuelles Backup von Omas Kuchenrezept parat? Und wenn ich dann eben doch der Schwester private Zugangsdaten zukommen lassen will, steht mir die E2E-Verschlüsselung, wie auch bei Skype, jederzeit zur Verfügung!
- Ich kann den Client nutzen, der mir gefällt! Den original Telegram-Client empfinde ich gerade auf dem Windows-Tablet als schwer bedienbar. Zum Glück gibt es fleißige Entwickler der Open Source-Gemeinschaft, die sich dem annehmen! Also nutze ich einfach Unigram, welches für verschiedene Geräteformen optimiert ist! Auch Nutzer:innen von seltenen oder gar "ausgestorbenen" Betriebssystemen werden glücklich: Von #FirefoxOS über #Sailfish bis #webOS gibt es aktuelle Telegram-Clients! Die Wegwerf-Kultur wird durch solches Engagement effektiv bekämpft. Mit Signal und Threema fallen wir dagegen in Zustände wie zur Zeiten der Bundespost zurück, die uns vorgeschrieben hat, welche Geräte wir nutzen dürfen - und welche nicht. Telegram führt Features ein, die ich ablehne? Dann nehme ich eben einen Client, bei dem ich diese nicht nutzen muss. Siehe "Payments" bei Signal, um die Nutzer:innen nicht herumkommen.
Zudem: Signal hat seinen Sitz in den USA. Wer schützt uns eigentlich davor, dass die Betreiber:innen per #NationalSecurityLetter dazu gezwungen werden, anstatt der Version aus Github einen Client mit eingebauter Hintertür zu kompilieren, über den sie per Verfügung nicht berichten dürfen?

@oliver Das Problem ist einfach, dass Telegram als sicherer und datenschuzfreundlicher Messenger beworben wird - der er nunmal nicht ist.

Es gibt sicherlich sinnvolle Anwendungszwecke und auch die Benutzerfreundlichkeit habe ich nicht angezweifelt. Aber wenn man einen sicheren und datenschutzfreundlichen Messenger sucht, dann ist Telegram ein Griff ins Klo. 😉

@kuketzblog @oliver Wenn ich einer Nachbarschaftsgruppe per Weblink beitreten kann, ohne mich selbst zu offenbaren - und diese nutzen kann, ohne jegliche persönliche Informationen über mich an andere Gruppenmitglieder zu offenbaren, dann ist das Datenschutz, der sich im Alltag auszahlt und von dem wir in unseren Telegram-Gruppen in Leipzig zu Tausenden jeden Tag profitieren - und den gerade SIgnal nicht bietet.
Und u. a. hinsichtlich der Problematik etwaiger National Security Letter (Standort USA) erscheint mir Signal auch sicherheitstechnisch problematisch.

@oliver Ich kaue das nicht nochmal durch mit Signal.

Davon abgesehen ist das ein gewisser Datenschutz - gegenüber den Teilnehmern, aber nicht gegenüber dem Dienstleister.

Threema kann übrigens auch ohne Telefonnummer verwendet werden. ;-)

@kuketzblog @oliver Threema erscheint mir inzwischen auch auf zahlreichen Ebenen vertrauenswürdigsten. Jene Nutzung ohne Herausgabe der Rufnummer ist da ja gerade für Journalisten elementar, die für unzählige Leute erreichbar sein müssen.
Für mich persönlich ist es weniger ansprechend wegen der fehlenden unabhängigen Clients, aber das betrifft ja keine große Zielgruppe.
Und ja: Für Otto-Normalverbraucher:in halte ich den Datenschutz gegenüber Menschen in ihrem Umkreis, verbunden mit der Backup-Sicherheit durch Cloudhosting tatsächlich für relevanter, als den Datenschutz gegenüber Geheimdiensten, bei denen es meines Wissens obendrein kein Beispiel dafür gibt, dass jene die Verschlüsselung von Telegram geknackt haben. Gescheiterte Ermittlungsversuche in Drogen- und Missbrauchs-Gruppen sprechen Bände.

@kuketzblog @oliver Ja hab ich nur gibt es dort kein einzigen aktiven Kontakt, das gleiche hatte ich bei Signal. Das eigentliche Dilemma ist die Marktmacht.

@Heha @kuketzblog @oliver liegt einfach daran das die Allgemeinheit auf den Schutz der persönlichen und anvertrauten Daten einen Rotz gibt und zu geizig ist einmalig 4.00€ zu investieren.

@kuketzblog @oliver Das mi der Sichtbarkeit der Telefonnummer ist aber schon pikant. Ein Messenger welcher Datenschutz auf seiner Fahne hat, sollte so etwas aber verbergen. Was nützt mir die bestmögliche Verschlüsselung der Gesprächsdaten wenn meine personenbezogenen Daten aber frei ersichtlich sind und das für Gruppenmitglieder die nicht einmal persönlich kenne. Wie hat es dann Signal auf die berühmte Liste geschafft?

@oliver @kuketzblog seit wann schreibt mir Threema oder Signal die Verwendung des OS vor. Es gibt doch für Android,iOS Client Version. Und für die Computer Nutzung gibt es WebAlternativen. Daher verstehe ich Ihre Aussage nicht. Bei der ungefragten Weitergabe der Telefonnummer in Signal bin ich jedoch konform. Das empfinde ich ebenfalls als ein ganz großes Problem.

@kuketzblog ich nutze sowohl als auch . Und denke mal entscheidend ist der Einsatzzweck. Signal ist der private Messenger und Telegram der Öffentliche. Ich schreibe und Teile nichts privates über Telegram. Das liegt auch daran, dass ich ihn gar nicht als Messenger im klassischen Sinne verstehe. Man kann auch problemlos Telegram mit austauschen, aber da die meisten Channel sowieso verknüpft sind ist es wiederum egal bzw. Geschmackssache.

@samsy Das ist auch okay und gut so. Mir stößt nur sauer auf, dass Telegram immer wieder als sichere und datenschutzfreundliche Alternative angepriesen wird - was es nicht ist.

@kuketzblog @samsy Das ist sicher so korrekt.
Was Verbreitung und Komfort betrifft so ist es als Alternative zu US hosted Lösungen geeignet. Naiv wie ich bin meine ich, das Telegram weniger Risiken birgt als ein Signal. Letztlich aufgrund der US Rechtslage.

@Heha @kuketzblog ja ist leider ein wenig naiv. Zum einen ist Telegram inzwischen in irgendeinem Kalifenstaat beheimatet und die Ideologien des Gründers Teile ich ebenfalls nicht. Dies sei gesagt auf der Diskussionsebene "Signal untersteht dem Patriot-act, NSA etc." Alles nichts wahres. Dennoch ein tolles Produkt und wie gesagt, der Einsatzzweck ist entscheidend.

@samsy @kuketzblog Ja ist sicher in gewisser Weise naiv, aber Signal untersteht dem US Recht. Oder habe ich dich da missverstanden.

@Heha @kuketzblog puh, das halte ich nicht für eine haltbare Aussage. Signal hat ganz andere Standardeinstellungen und wenn auch nicht Kritikfrei doch eine viel bessere Transparenz. Signal hat auch schon gezeigt, dass sie US-Diensten nicht mal eben Einblick gewähren, von Telegram in Dubai habe ich noch nichts dergleichen gehört. Mann kann es naiv nennen, ich würde mich der Messengerreihe bei Kuketz im Blog anschließen und sagen, es ist schlicht falsch. Das Problem daran ist, dass dir und mir vielleicht bewusst ist, dass Telegram unsicher ist wie eine Postkarte/unverschlüsselte Mail, suggeriert wird aber was anderes, bzw. hat es wegen seiner Vergangenheit einen (zu) guten Ruf, wobei die optionale und wenn dann veraltete, E2E Verschlüsselung in Einzelchats und die fehlende Möglichkeit Gruppenchats zu verschlüsseln alles als reine Augenwischerei enttarnen. Auch wenn ich es selbst nicht gerne mag würde ich im Sinne einer sicheren Kommunikation sogar so weit gehen, dass selbst Whatsapp besser ist, klar das eine ist schlecht, das andere schlechter, aber immerhin eine gute und Standardmäßge Crypto.
Um Teil der Lösung für gute Kommunikationswerkzeuge zu sein würde ich persönlich Telegram nicht nutzen.

@krutor @kuketzblog Naja, bei aller berechtigter technischer Kritik. Der Vergleich Postkarte ist schlicht falsch. Dein Vertrauen in eine Firma sich gegen das Recht stellen zu können halte ich für naiv.

@Heha @kuketzblog ok 😁 aber welches Recht müssen sie denn nun erfüllen das deutsche Recht oder das des Emirates Dubai? Mit letzterem kenn ich mich noch wesentlich schlechter aus als mit ersterem ;)
Gut Metaphern hinken immer, vielleicht diese besonders, deutlich sollte dabei werden, mit Telegram verschickte Nachrichten sind nicht sicher (kein E2E, keine Ahnung was auf dem Server passiert, etc. genauer siehe im Kuketz blog den du ja lobst ;) ).
Wie wir z.B. bei CMB-Analytica gesehen haben schafft es nichtmal Facebook sich mit seinen guten Anwälten an EU-Recht zu halten wie sollte es also Telegram schaffen?
Ich schicke als steile These hinterher: Wenn alles so läuft wie es soll, muss ich mich bei Signal und Threema nicht auf irgendein Recht verlassen, die Kommunikation ist vertraulich (Zero-Knowledge-Prinzip, besonders bei Signal).

@krutor Spätestens seit Snowden gehe ich davon aus, dass in den USA alle Möglichkeiten der systematischen Überwachnung genutzt werden. Der Rest ist für mich Kompromiss. Matrix wäre mir lieber, da finde ich aber auch keine Kontakte.

@Heha @kuketzblog du solltest schon genau lesen, ich sagte das eine schlecht, das andere schlechter. Ich rate von beidem ab!
Und wenn wir schon beim genau lesen sind, ja whatsapp schlecht, aber ein quäntchen scheinen sie dann Telegram doch voraus zu haben: "Polizei und Geheimdienste sind sehr wohl in der Lage, verschlüsselte Kommunikation beliebter Messenger mitzulesen, ganz ohne Staatstrojaner. Das Bundeskriminalamt hat schon vor fünf Jahren Inhalte bei Telegram abgehört. Seit drei Jahren geht das auch bei WhatsApp." Ich will dich nicht "dissen" aber wenn du ein Argument machst und die Quelle genau das Gegenteil stützt, dann zeugt das nicht gerade von Medienkompetenz. Das hättest du dann vielleicht einfach lassen sollen ;) nichts für ungut.
Der für viele einfach zugängliche (web-)Client, mit Chatarchiv in der Cloud und einfacher Registrierung ist schon lange als Einfallstor für Überwachungsmaßnahmen bekannt.
@kuketzblog @Heha @krutor Die Aussage von Netzpolitik bzgl. Telegram kann man getrost in die Tonne kloppen. Denn in den Fällen war der Verzicht der Betroffenen auf die 2-Faktoren-Authentifizierung ("stille SMS") das Einfallstor. Hier wurde das Schloss nicht geknackt, es wurde schlichtweg für die Behörden offen gelassen.

@krutor @kuketzblog @krutor @kuketzblog ? - Hm, mein Post bezog sich auf Zitat:
"Auch wenn ich es selbst nicht gerne mag würde ich im Sinne einer sicheren Kommunikation sogar so weit gehen, dass selbst Whatsapp besser ist.."
Ich habe letztes mal offensichtlich zu kurz zitiert- sorry.

@Heha @kuketzblog schon klar und in deiner Quelle steht das Zitat (siehe oben) das Telegram und Whatsapp durch den Zugriff durch deutsche Dienste gefährdet sind.
@kuketzblog @Heha Wegen mir müssen wir das aber nicht weiter ausführen. Das beide nicht wirklich geeignet sind sollte allen Privacy-sensiblen Personen klar sein denke ich ;)
LG

@kuketzblog Ergänzung: Telegram macht keinen Hehl darum, dass er Zentralisiert und unverschlüsselt ist. Das sollte nur jedem klar sein. Die Kampagne, dass er besonders Sicher sein soll, nur weil man explizit Chats als "geheim" einstellen kann ist mir allerdings auch ein Dorn im Auge, das ist ein völlig falsches Versprechen. Dennoch bietet Telegram eine Menge Komfort, ist sehr stabil und wäre da ein wenig mehr "Signal" drin, wäre es der beste Messenger der Welt.

@kuketzblog Whatsapp zwingt dich dazu, die Black Box zu installieren. Damit bin ich gezwungen Android bzw nen Apfel zu verwenden.
Telegram kann man auch ohne die offizielle App nutzen. Ich benutze es fast immer per xmpp-Transport.
Aber stimmt schon - sicher ist das nicht. Den Anspruch habe ich auch nicht.
Ich benutze Jabber.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!