Könnte den Artikel von Fefe mal jemand auf deutsch übersetzen?

Es geht da um zwei Dinge:
1. Bei Facebook sind neulich viele Daten "abgeflossen" (siehe auch hier: )
2. Signal greift wohl auf das Adressbuchs des Users zu und prüft, ob die Kontaktdaten die darin gespeichert sind, mit denen, die auf deren Server gespeichert sind übereinstimmen.

Nun hat sich halt irgendein Typ die geleakten Daten angeschaut und dabei den Zuckerberg entdeckt und mit den vorhandenen Daten in sein Adressbuch gespeichert … und daraufhin hat ihm Signal gesagt, dass Zuckerberg auch auf Signal ist und ob er ihn nicht auch auf Signal "anfreunden" will.

Das ist dabei eigentlich weniger die Sensation. Das was stört ist, dass Signal sich ja immer versucht so ein Saubermann-Image zu geben, dann aber Datenmatching macht.

Was im letzten Satz des Artikel ja auch ironisch gesagt wird:

Dass das Adressbuch gehasht hochgeladen wird, wird ganz klar kommuniziert und ist bei einem Messenger, der Kontakte anhand von Telefonnummern identifiziert, notwendig. iMessage macht das übrigens auch.
Außerdem gestaltet sich die Nutzung ohne Adressbuchsync einfacher als bei der Konkurrenz.
Andernfalls sind wir bei Threema, wo ich meinen Code über einen dritten Weg an meine Kontakte weitergeben muss.
Tun sie nicht. Der Quellcode ist offen, das Prinzip bekannt und man weiß, worauf man sich einlässt.
Der Unterschied ist, dass Daten zumindest teilweise anonymisiert verarbeitet werden.

Mir ist nicht ganz klar wo da das Privatsphäreproblem sein soll. Das Problem ist doch wohl dass die Telefonnummer bekannt geworden ist und nicht dass man nun weiss dass diese Nummer irgendwann mal bei Signal registriert wurde.

Steht auch alles hier:

Der Autor stört sich daran, dass Signal die lokalen Kontakte mit denen auf den Servern abgleicht. Wie gesagt, geschieht das zumindest mit Hashwerten.

Nun, in der Kombination Datenleak (Tel.Nr) mit Signals Hashes kommt halt sowas dabei raus, was man vielleicht nicht wollte oder bedacht hat.

Übrigens hat Signal jetzt (endlich) auch den aktuellen Server-Code veröffentlicht (laut Golem).
Wobei keiner wissen kann, ob das der tatsächlich eingesetzte ist, der nicht im Serverzentrum nachgucken kann. (oder?)

In einigen Absätzen zeigt sich Fefe irritiert von dem "Verbal-Voodoo" mit dem die beteuern, dass alles bestens gesichert sei bei ihrem neuen Payment-Dingens.
Und er gibt zu bedenken, dass die Server in USA stehen und somit nicht vor staatlichem Zugriff geschützt sind.

Das ist optional, auch Threema kann gehashte Telefonnummern abgleichen, und macht das bei der Installation auch, wenn man immer nur auf „weiter“ klickt.

Auch Threema bietet die Möglichkeit das Adressbuch abzugleichen. Allerdings muss das manuell angestoßen werden und man wird auch nicht ständig mit der Nachfrage belästigt, man solle das doch tun.

Link dazu bei Heise:

Ok, danke für die Info. Ich nutze Signal nicht und habe nur versucht fefes sarkastische Art für @massi zu übersetzen.

Dass die Daten gehasht übergeben werden ist natürlich sehr sauber.

fefe stehe ich im allgemeinen recht kritisch gegenüber, denn zum einen ist er mir als einzige Quelle zu polemisch und, wie man auch oben sieht, steht da auch ab und an nur halbrichtiges*

Also noch mal sorry, falls ich Signal da was falsches unterstellt hatte. Was aber, und das geht aus dem OP leider nicht hervor, von fefe richtig dargestellt wurde ist, dass Signal über ein Jahr lang den SourceCode des Servers auf github nicht aktualisiert hat. Als das dann die große Runde machte (schon vor dem Bericht von fefe), pushte Signal ein Update … der Sprung in zwischen den Versionsnummern war gigantisch (3.x auf 5.4)!



*und manchmal, fällt er auch auf Scherze rein, verkauft sie als echte Nachricht … wie damals, als bei daringfireball eine Geschichte über einen Entwicklerstreit über eine Mail-App postete … das ganze zwar ein hoax. fefe verkaufte es als Beispiel wie arrogant Mac-Entwickler sind.

Das ist mir schon klar aber ich verstehe nicht wieso er sich daran stört und Fefe erklärt das ja auch nicht wo sein Problem ist.

Aber wichtiger scheinen ihm ja zwei Sachen zu sein, das Hochladen eines verschlüsselten Backups der Kontakte durch Signal (von ihnen Secure Value Recovery getauft) und das herumexperimentieren mit dem MobileCoin Blockchain Geld. Wobei seine Kritik sich wohl zusammenfassen lässt als "kapier ich nicht, vertrau ich nicht". Kapiert er denn was PGP genau tut, dem vertraut er ja offenbar? Bisschen dünn.



ZB auch das mit dem gut versteckten QR-Code. Einmal auf den Kontakt, vierte Option in der Liste: Sicherheitsnummer anzeigen. Was er schreibt ist schlicht Quatsch.


Die PIN die für den Zugriff auf das verschlüsselte Backup benötigt wird hat Signal auch eingeführt um die Nutzung von Nutzernamen statt Telefonnummern zu ermöglichen. Damit Zuckerberg etwas anonymer chatten kann.

FUD. Signal kann optional mittels Hashes von Telefonnummern aus dem Adressbuch überprüfen, ob vorhandene Kontakte auch via Signal erreichbar sind. Das ist eine reine Komfortfunktion und man muss das explizit erlauben. Der Vorgang ist völlig transparent. Nutzt man das nicht, muss man halt explizit alle Telefonnummern von Hand eintippen.

Edit: Oh, ist ja schon klargestellt worden, hätte ich mir sparen können, sorry

Sehe ich auch so. Alles gut.
Threema hab ich übrigens nur als Beispiel, wie es anders gehen kann, genannt.

Bei Heise meckern sie auch ein bißchen rum (Intel-Vertrauen…) und sagen für ein definitives Urteil fehlen aber noch Informationen.
Link dazu bei Heise:
[/quote]

Kann ich denn bei Signal einstellen, dass, wer meine Tel.Nr hat, trotzdem nicht erfahren soll, ob ich bei Signal bin? Ist mir neulich nicht gelungen; obwohl ich Telefonbuch-Abgleich verboten habe, hat halt andersherum einer, der meine TelNr. hat sich gemeldet, denn der hatte das Adressbuch nicht gesperrt und hatte meine Tel.Nr. gespeichert. Fand ich schon komisch.

Es ist halt ein zusätzliches Sicherheitselement welches schwache Passwörter vor Brute-Force Angriffen schützen soll. Wer darauf nicht vertrauen will der sollte sich vielleicht ein sicheres Passwort wählen. Oder das Backup-Feature gar nicht erst benutzen. Mit MobileCoin wird das ähnlich aussehen.

Nein kannst du nicht. Deine Telefonnummer ist dein Benutzername und dass es den gibt ist nicht geheim. Wäre ja auch ohne diese Funktion leicht herauszufinden, derjenige muss nur versuchen dich anzurufen. Signal müsste auf seinen Servern speichern wer dich anpingen darf und wer nicht, und dafür wiederum Daten unverschlüsselt speichern die sie besser nicht speichern sollten.

Das hängt alles an der Entscheidung Telefonnummern als ID zu nehmen, damit waren halt andere Messenger sehr erfolgreich und gegen genau die will Signal antreten.

PS - diese "few thoughts on Secure Value Recovery" fand ich informativ:

Kuketz meckert auch:

Ich verstehe auch überhaupt nicht wozu die da so digitales Spielgeld mit ranflanschen wollen. Die sehen mir alle klassischen Schneeballsystemen zu ähnlich. Da muss man sich nicht wundern wenn dass der Staat regulieren und kontrollieren will. Und das kann Signal nun gar nicht gebrauchen.

Weitere kritische Stimmen bei Kuketz: