Warum soll Telegramm weniger sicher sein als Signal?

In Diskussionen über Instant Messaging wird oft gesagt, dass Signal besser schützt als Telegramm. Dies liegt daran, dass die beiden mobilen Anwendungen nicht die gleichen Entscheidungen getroffen haben.

Diese Behauptung taucht regelmäßig in Diskussionen auf, wenn die Frage gestellt wird, welcher Instant Messenger das höchste Schutzniveau bietet. Sehr schnell beschränkte sich die Debatte auf zwei mobile Anwendungen, Signal und Telegramm, und endete im Allgemeinen mit dem Sieg der ersten über die zweite. Dieser Befund wirkt sich jedoch nicht unbedingt zugunsten von Signal aus. Während letzteres stark heruntergeladen wird, ist Telegramm laut Google Play noch zehnmal so hoch.

Aber das beantwortet nicht die Frage, warum. Die Antwort liegt tatsächlich in der Funktionsweise von Telegramm und Signal. Dies liegt daran, dass die beiden Anwendungen nicht dieselbe Beziehung zur End-to-End-Verschlüsselung haben. In einer durch End-to-End-Verschlüsselung geschützten Diskussion kann grundsätzlich keine externe Person auf die Vermittlungsstellen zugreifen.

Warum End-to-End-Verschlüsselung wichtig ist

Die End-to-End-Verschlüsselung ist eine Computermethode, die mithilfe mathematischer Berechnungen Konversationen und Dateien unlesbar macht, wenn Sie nicht über den Schlüssel zum Entschlüsseln verfügen. Daher kann selbst der Internetdienstanbieter nicht sehen, was in einem solchen Chat-Kanal zirkuliert, und auch kein anderer Dritter – einschließlich der Strafverfolgung.

Das heißt nicht, dass die End-to-End-Verschlüsselung unter allen Umständen absolut manipulationssicher ist. Eva Galperin, Direktorin für Cybersicherheit bei der Electronic Frontier Foundation, einer Vereinigung, die für ihre Mobilisierung zugunsten des Schutzes der Privatsphäre im digitalen Raum anerkannt ist, erinnert daran, dass es möglich ist, die End-to-End-Verschlüsselung in Angriff zu nehmen. Ende, aber nicht direkt. Wenn die Tür zu gut geschlossen ist, gehen Sie einfach durch das Fenster.

Dieser Prozess ” wurde nicht entwickelt, um Ihre Kommunikation vor End-of-Pipe-Angriffen zu schützen. Es ist, als würden Sie sich beschweren, dass Ihr Buttermesser kein gutes Nudelsieb ist. Dafür ist es nicht gedacht “. Was Eva Galparin unter einem Ende-der-Kette-Angriff versteht, ist beispielsweise das Hacken des Smartphones, um auf die Telegramm- und Signalanwendung zuzugreifen und die Diskussionen weiterhin zu sehen, wodurch die End-to-End-Verschlüsselung funktionsunfähig wird.

Durch die End-to-End-Verschlüsselung sind Chats für Personen mit dem falschen Schlüssel nicht lesbar. // Quelle: Illustration Lucie Benoit für Numerama

Ein weiteres Beispiel für einen Angriff am Ende der Kette (kurz: auf der Ebene des Benutzers) sind Polizeigewahrsam und Gerichtsverfahren. Weigern Sie sich in der Tat, den Entsperrcode seines Telefons auf Anfrage eines Polizeibeamten mitzuteilen kann konstitutiv sein einer Straftat in Frankreich. Auch hier ist das Problem kein Problem der schwachen Verschlüsselung. Durch eine Kreisverkehrsmethode wurde die mathematische Unverletzlichkeit des Protokolls übertroffen.

Bedeutet dies jedoch, dass eine End-to-End-Verschlüsselung nicht mehr sinnvoll ist, wenn es technische oder rechtliche Umgehungsstrategien gibt? Gar nicht.

Wie der neue Alex Stamos, der ehemalige Sicherheitschef bei Facebook ” Viele Menschen unterschätzen die Datenschutzvorteile, wenn sie Gegner drängen [c’est-à-dire ceux contre qui le chiffrement de bout en bout vise à protéger, NDLR] Wechseln Sie von einem Modell, in dem sie alle Inhalte durchsuchen können, zu einem Modell, in dem sie gezielt Personen ansprechen müssen ».

Eine End-to-End-Verschlüsselung vermeidet eindeutig bereits eine Massenüberwachung. Natürlich ist dies nicht die ultimative Waffe für Computersicherheit – aber gibt es sie? -, aber es erhöht immer noch das Spielniveau, indem Gegner zum Zielen gezwungen werden (indem eine Person angegriffen wird, bevor zur nächsten übergegangen wird), anstatt sie in der Lage zu lassen, mehrere von ihnen anzugreifen. ein Klopfen. Einfach ausgedrückt, erhöht die End-to-End-Verschlüsselung die „Kosten“ der Gegner und zwingt sie, Entscheidungen zu treffen.

Warum Telegram standardmäßig keine End-to-End-Verschlüsselung bietet

Angesichts dieser Prolegomen sollte angemerkt werden, dass Telegramm und Signal einen anderen Ansatz verfolgen. Im Fall von Telegramm ist die End-to-End-Verschlüsselung standardmäßig nicht aktiviert. Es ist nur als Option verfügbar und es ist Sache des Benutzers, zu wissen, dass es existiert, und es Diskussion für Diskussion zu aktivieren. Dieser spezielle Modus wird als “geheimer Chat” (geheimer Chat) bezeichnet. Es ist auch verfügbar für Anrufe und der Bildtelefonsitzungen.

« Geheime Chats sind für Leute gedacht, die mehr Privatsphäre als die durchschnittliche Person wollen. […] Nur Sie und der Empfänger können diese Nachrichten lesen – niemand anderes kann sie entschlüsseln, einschließlich Telegramm. Außerdem können Nachrichten nicht aus geheimen Chats übertragen werden. Und wenn Sie Nachrichten von Ihrer Seite der Konversation löschen, wird die App auf der anderen Seite des geheimen Chats angewiesen, diese ebenfalls zu löschen. », erklärt häufig gestellte Fragen.

Telegramm
Telegram hat einen anderen Ansatz gewählt, um zusätzliche Dienste und Funktionen anbieten zu können.

Aber warum wählt die mobile Anwendung diesen Schutz als Option, anstatt ihn standardmäßig zu integrieren? Die Antwort kam von Pavel Durov, einem der Gründer. Er argumentierte, dass es sich bei Telegram um eine funktionsreiche Anwendung handelt. Wenn Telegram auf einen so anspruchsvollen Ansatz zur Computersicherheit umsteigen würde, müsste es bestimmte Entwicklungen beiseite legen, die nicht funktionieren, wenn Nachrichten stark geschützt sind.

Daher besteht keine Frage einer Änderung des Ansatzes. Es ist eine freiwillige Wahl des Designs. Die Person erklärte es zu Beginn des Jahres erneut und stellte fest, dass das, was Signal tut, bereits von den geheimen Katzen abgedeckt wird. “” Wenn Sie glauben, dass Sie für diese eine Funktion eine separate App benötigen [de chiffrement de bout en bout]Die Installation kann für Sie hilfreich sein », kommentierte er 11. Januar 2021. Außer dass sich Telegramm nicht auf dieses eine Merkmal beschränken möchte.

Darüber hinaus ist Pavel Durov der Ansicht, dass End-to-End-Verschlüsselung nicht das ist, was Internetnutzer am meisten wollen, und unterstützt indirekt die These, dass dieses Argument möglicherweise nicht das richtige ist, um die breite Öffentlichkeit davon zu überzeugen, auf sicheres Messaging umzusteigen. Dieser Punkt wird von Signal nicht völlig ignoriert, da sich die mobile Anwendung seit langem bemüht hat, einem herkömmlichen Instant Messaging zu ähneln, das heißt freundlich und unterhaltsam.

« Die Minderheit […] Wer die Sicherheit auf Kosten der Benutzerfreundlichkeit maximieren möchte, kann gerne geheime Chats für Telegramm verwenden – oder eine der Apps installieren, die nur geheime Chats und nichts weiter enthalten. Aber wir werden Telegram nicht lähmen, indem wir Dutzende seiner Funktionen wegwerfen, damit sich die Leute von den Marketing-Tricks unserer Konkurrenz täuschen lassen. Oder für Leute, die zu faul sind, um geheime Chats zu führen, wenn sie denken, dass sie es brauchen ».

Was ist mit der Signalverschlüsselung?

Signal hat seinerseits einen anspruchsvolleren Weg gewählt, auch wenn dies bedeutet, sich bestimmter fortgeschrittener Funktionen zu berauben. “” Das Signal dient nicht zum Sammeln oder Speichern sensibler Informationen. Wir oder Dritte können nicht auf die Nachrichten und Anrufe von Signal zugreifen, da diese immer durchgehend verschlüsselt, geschützt und sicher sind. », schreibt die Organisation.

Die Qualitäten von Signal werden auch von vielen Persönlichkeiten anerkannt, die Experten auf diesem Gebiet sind, wie Christopher Soghoian, Forscher für Computersicherheit und verantwortlich für das Projekt “Meinungsfreiheit, Achtung der Privatsphäre und Technologie” innerhalb der American Union for Civil Liberties auch anerkannte Organisationen wie die Electronic Frontier Foundation.

Die App wird auch von Edward Snowden empfohlen, dem amerikanischen Whistleblower, der während seiner Arbeit für die NSA und die CIA mit Problemen der elektronischen Überwachung vertraut war. Und in verschiedenen Prüfständen kommt Signal oft mit Bestnoten davon und übertrifft andere Apps. Es erzielt zwar nicht immer alle Punkte, ist aber nicht schlechter als die Konkurrenz.

Signal
Signal hat die Entscheidung getroffen, der Sicherheit Priorität einzuräumen und dann zu prüfen, was in Bezug auf Dienste und Funktionen hinzugefügt werden kann. // Quelle: Signal

Natürlich ist Signal nicht perfekt: Damit es von der Öffentlichkeit genutzt werden kann, ohne höllisch zu sein oder einen zu hohen technischen Schritt zu unternehmen, gibt es bestimmte Zugeständnisse. Auf dem Verschlüsselungsprotokoll selbst ist es jedoch kein Beweis Demonstration seiner Verwundbarkeit. Und vor allem alles, was Signal macht ist Open Source, das heißt, im Gegensatz zu Telegramm überprüfbar.

Telegramm ist mittelmäßig über die Zuverlässigkeit der Verwaltung der Verschlüsselungsschlüssel, den kryptografischen Algorithmus, die Dezentralisierung, freie Implementierungen und öffentliche Spezifikationen. Es wurden auch Mängel bei den Kennungen und der dauerhaften Vertraulichkeit (PFS) festgestellt, einer kryptografischen Eigenschaft, die darauf abzielt, Nachrichten auch im Falle eines Entschlüsselungsschlüssellecks zu schützen.

Signal ist bei Dezentralisierung und Identifikatoren sicherlich nicht besser, aber für alles andere wurde das Beste festgestellt. Die ständige Vertraulichkeit ist gegeben. Die öffentlichen Spezifikationen sind korrekt, ebenso wie der kryptografische Algorithmus. Die Zuverlässigkeit der Verwaltung der Verschlüsselungsschlüssel ist nach wie vor unzureichend, aber immer noch besser als bei Telegramm. Schließlich sind die Implementierungen kostenlos.

Gibt es dann keine Sicherheit für Telegramm?

Es sollte jedoch nicht zu denken sein, dass Telegramm keine Sicherheit bietet. Es gibt sicherlich einen grundlegenden Unterschied und eine Größenänderung bei Telegram, da standardmäßig keine End-to-End-Verschlüsselung vorhanden ist – was in den Instant Messaging-Optionen immer noch als Option angeboten wird. Trotzdem implementiert Telegram andere Sicherheitsoptionen.

« Wir unterstützen zwei Verschlüsselungsebenen. Die Server-Client-Verschlüsselung wird in Chats über die Cloud verwendet (private und Gruppen-Chats). Geheime Chats verwenden eine zusätzliche Ebene der Client-Client-Verschlüsselung. Alle Daten, unabhängig vom Typ, werden gleich verschlüsselt, egal ob es sich um Text, Medien oder Dateien handelt Telegramm erklärt in einer häufig gestellten Frage.

Telegramm erinnert daran, dass es auch anbietet, seinen Quellcode auf der Ebene von zu konsultieren API, von Protokoll und AnwendungenDie Kritik ist jedoch, dass Sie nicht sehen können, was auf der Serverseite passiert. Telegram akzeptiert jedoch Sicherheitsüberprüfungen seiner Systeme und ermöglicht es zu überprüfen, ob der öffentlich freigegebene Quellcode tatsächlich derjenige ist, der in den Anwendungen ausgeführt wird.

Telegramm bietet sicherlich ein gewisses Maß an Sicherheit, aber es wird immer auf dasselbe Problem stoßen: End-to-End-Verschlüsselung. // Quelle: Signal

Eine Speicherung von Chats auf Cloud-Ebene ohne End-to-End-Verschlüsselung bedeutet, dass Telegram tatsächlich rechtlichen oder administrativen Anforderungen ausgesetzt ist, um Informationen über Konversationen zu erstellen, da diese theoretisch zugänglich sind. Aber das Unternehmen sorgt dafür, ” Bisher haben wir 0 Byte Benutzerdaten an Dritte, einschließlich Regierungen, weitergegeben ».

Um dieses Risiko zu begrenzen, verwendet Telegram eine verteilte Infrastruktur: „ Chat-Daten werden in mehreren Zentren auf der ganzen Welt gespeichert, die von verschiedenen juristischen Personen in verschiedenen Gerichtsbarkeiten kontrolliert werden. Relevante Entschlüsselungsschlüssel sind in mehrere Teile aufgeteilt und werden niemals an derselben Stelle aufbewahrt wie die Daten, die sie schützen ».

Daher ist Telegram der Ansicht, dass Aufträge aus verschiedenen Ländern erforderlich sind, um die Erstellung von Daten zu erzwingen. “” Wir können garantieren, dass keine Regierung […] kann die Privatsphäre und die Meinungsfreiheit von Menschen nicht beeinträchtigen », Behauptet das Unternehmen. Nur ein ernstes Problem, das auf der ganzen Welt geteilt wird, kann den Arm des Dienstes verdrehen – zweifellos wie der Terrorismus.

Die Fortsetzung im Video


Source: Numerama by www.numerama.com.

*The article has been translated based on the content of Numerama by www.numerama.com. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!