@anneroth #Signal als #SingleVendor / #SingleProvider Lösung ist inhärent unsicher und backdoored.
Genauso wie #Threema, #EncroChat, #ANØM, #WhatsApp & Co.
@n0r @ovrim @anneroth ALLE zentralisierten Systeme sind kompromittiert, denn solst wären diese illegal!
Siehe #TKÜV...
https://twitter.com/thegrugq/status/1085614812581715968
@anneroth @n0r @ovrim und ich lese: "Ich bin zu faul mich mit dem grundlegenden Problem auseinanderzusetzen und schenke daher einem Haugen unbekannter Dritter das Vertrauen die problemlos in der Lage und Willens sind den eigenen Dienst auf Zuruf der U.S. - Regierung einzuschränken.
(Signal ist nicht in Kuba, Iran, Nordkorea, "V.R." China und Russland mit allen Features verfügbar!)
Wann lernen's die Leute endlich?
ALLE #zentralisiert|en #SingleVendor / #SingleProvider - Dienste sind inhärent unsicher.
#Versprechen von #Signal, #Threema, #EncroChat, #ANØM, #WhatsApp & Co. waren, sind und bleiben reine #Marketing - #Lügen!
https://systemli.social/@anneroth/109687459354201596
@[email protected] Ok, ich lese: Es ist eine Behauptung, aber es gibt keine tatsächlichen Hinweise dafür, dass das so ist. @[email protected] @[email protected]
@anneroth @n0r @ovrim Mensch kann diesen Diensten nur soweit vertrauen wie Wasser selbstständig aus einem hab-gefüllen, senkrecht stehenden Glas fließt.
GARNICHT!
Deshalb tauche ich auch nicht auf https://haveibeenpwned.com in der Datenbank auf!
@n0r @anneroth @ovrim weil dies effektiv niemensch macht!
Entweder läuft das auf nem paywalled #XMPP-Server samt Clone existiertender #FLOSS-Clients hinaus die #GnuPG bzw. #OMEMO umsetzen oder es läuft auf proprietäre Kackshice hinaus.
Niemensch sollte Kryptografie selbst machen...
https://www.youtube.com/watch?v=WVDQEoe6ZWY
I tried to write a more honest VPN commercial. The sponsor wasn't happy about it. • Get ██ days of ███ VPN free at ██████.com/honestThe ASA ruling I referenc...
@n0r @anneroth @ovrim dein Dienst würde zwangsweise kompromittiert werden.
Ob durch #Innentäter, auf Druck der Behörden oder grober Gewaltanwendung durch (Dritt-)Staaten spielt keine Rolle...
So ist nunmal die #UnbequemeWaheheit und #Realität: Entweder snitcht man die eigenen Kunden oder #BNetzA & Co. ziehen einem den Stecker...
@[email protected] @[email protected] @[email protected] Ok, erklär doch mal, warum es unmöglich sein soll, einen zentralisierten Dienst anzubieten ohne dass er automatisch kompromittiert ist. Gedankenexperiment: ich schreibe einen simplen Messenger mit korrekter E2EE und stelle den Server dafür. Allein aufgrund der Tatsache, ob der jetzt föderiert oder nicht ist er kompromittiert aufgrund von... Magie? Aliens? Zeitreisenden?
@n0r @anneroth @ovrim #Dezentralisierung macht entsprechende Angriffe dahingehend wirkungslos, als dass man nur einzelne Server übernehmen und abschalten kann, aber nicht das gesamte Netzwerk.
Das ist so elementar, dass ich jene Frage nur als #Shitpost betrachten kann...
@n0r @anneroth @ovrim oder um es für ignorante und #TechIlliterates zu formulieren:
Selbst wenn mein #eMail- oder #XMPP-Server ne #Govware - #Backdoor haben [und das werden diese gem. TKÜV als TK-Dienstleister haben!] wird die Ende-zu-Ende - Sicherheit [#GnuPG & #OMEMO] und die Möglichkeit jene Technologie zu nutzen nicht eingeschränkt.
Anders als bei #zentralisierte Plattformen ist die Möglichkeit den Anbieter zu wechseln und mit Kontakten neu in Verbindung zu treten gegeben!
Genauso wie bei Telefonie oder Briefpost:
Nummern und Anschriften können sich - auch ungewollt - ändern.
Das hindert einen aber nicht daran, jene Kontakte bei anderen Anbietern bzw. anderen Adressen neu zu kontaktieren.
#Dezentrale #MultiVendor / #MultiProvider - Systeme sind extrem resilient gegen Angriffe und trivial zu dezentralisieren, da deren Technologie keine #proprietär|er Binärabfall ist!
@kkarhan @anneroth @ovrim Das mit der Wechselmöglichkeit ist zwar richtig, in allem anderen unterscheidet sich da aber nichts.
Szenario der zentralisierte Signal-Server wird kompromittiert:
Die Inhalte sind durch E2EE geschützt, an die Metadaten kommt der Angreifer ran.
Szenario einer der beiden XMPP-Server, auf denen die beiden Nutzer registriert sind, wird kompromittiert:
Die Inhalte sind durch E2EE geschützt, an die Metadaten kommt der Angreifer ran.
Mit dem eklatanten Unterschied dass Signal als kommerzielle Firma nicht nur Backdoors für #LawfulInterception integrieren MUSS, sondern dass diese unnötige Daten wie Telefonnummern vorhalten und auf Basis dessen selektiv den Service einschränken können.
Wer garantiert, dass deren App für Russland nicht ne schwächere Crypto enthält um #ITAR-compliant zu sein?
Oder dass man nordkoreanischen & iranischen User*innen ne gebackdoorte App ohne #E2EE gibt?
@n0r @anneroth @ovrim
Weil #zentralisiert als #SingleVendor & #SingleProvider - Lösung ist dies trivial und ich würde die Drei-Buchstaben - Dienste als "gemeingefährlich-inkompetent" bezeichnen wenn dies nicht bereits der Fall ist...
Dass dies vorallem zivile Nutzer*innen wie #Journalist*innen schadet, ist denen shiceegal.
Beleg: Das Personal von #Signal ist nich in #Beugehaft in den #USA fpr non-compliance!
https://en.wikipedia.org/wiki/Lawful_interception#United_States
Es ist inhärent falsch einem zentralisierten Anbieter mit proprietärer Tech zu vertrauen.
EOD!
Weder ist deren #Backend #FLOSS'd noch kann Mensch dies auditieren [lassen]...
Es ist ein zentraler Anbieter und damit unsicherer als ein #SelfHosting von #Zulip.
@[email protected] @[email protected] @[email protected] Weil #zentralisiert als #SingleVendor & #SingleProvider - Lösung ist dies trivial und ich würde die Drei-Buchstaben - Dienste als "gemeingefährlich-inkompetent" bezeichnen wenn dies nicht bereits der Fall ist... Dass dies vorallem zivile Nutzer*innen wie #Journalist*innen schadet, ist denen shiceegal.
@n0r @ovrim #Signal ist dann "offene Software" wenn man selbst nen entsprechenden Server selber hosten kann, der keinerlei Verbindungen zum zentralen Signal-Dienst braucht!
@[email protected] @[email protected] Signal ist freie, offene Software.
@n0r @ovrim Ferner enthält die #Signal-App diverse proprietäre #Google - #API|s für #Notfications u.ä. bei welchem Message-Inhalte z.T. im Klartext durchgeleitet werden [weil "Notification-Spam" ist real]...
Deswegen ist Signal auch nicht auf @fdroidorg!
@n0r @ovrim #FAKT ist und bleibt aber:
ALLE #SingleVendor / #SingleProvider - Lösungen sind allein wegen der #Zentralisierung soweit #unsicher als dass diese inhärent anfällig sind für entsprechende Kompromittierung.
Client-Side - Security ist wichtig, aber wenn man keine #ReproduzierbarenBuilds und keine #Dezentralisierung hat kann man nicht sicherstellen, dass das auch wirklich sicher ist!
Man vertraut wildfremden mit einer Blackbox!
@n0r @ovrim Oder naiv gefragt: Würdest du mir vertrauen all deine eMails sicher zu hosten?
Wohl kaum!
Warum also vertraust du dann wildfremden die nichtmals nen Briefkasten oder ne ladungsfähige Anschrift haben?
Jedes #Versprechen dass mensch nicht selbst validieren kann muss man im Zweifelsfalle als Lüge betrachten...
Wie schon #AIM, #ICQ, #EncroChat & #ANØM davor wird auch #Signal irgendwann komplett in der Versenkung verschwinden!
Hinzu kommt dass es weder ein #WarrantCanary noch #TransparencyReport gibt...
https://signal.org/de/
Anne Roth
Kevin Karhan 
n0r
Bernd Petrovitsch🔴🔴🔴♂️🏳️🌈🇦🇹🇪🇺
