Ich höre in letzter Zeit immer wieder, dass WhatsApp verweigerer doch Telegram verwenden könnten, weil es hinsichtlich der Privatsphäre etwas unbedenklicher wäre. Mich würd sehr interessieren, ob da etwas dran ist.
Zu der konkreten Implementierung von Telegram kann ich dir nichts sagen.
Afaik wird/wurde Telegram auch von einem Social Network finanziert und die serverseitigen Teile des Messengers sind auch eine Blackbox.
Bei einer sauberen E2E Verschlüsselung wäre das unproblematisch. E2E Verschlüsselung ist dazu gedacht über potentiell unsichere Netze, also das Internet oder genauer eben über einen Server des Betreibers bzw. Angreifers zu kommunizieren, so dass dieser, trotz Zugriff auf den Datenstrom nicht den Inhalt mitlesen oder selbigen manipulieren kann.
Ich habe den obigen Abschnitt allerdings absichtlich in einem eigenen Absatz beantwortet und auch hier noch mal Anfangs eine Prämisse angeführt: E2E Verschlüsselung muss dafür sauber implementiert werden. Ob das bei Telegram der Fall ist, kann ich dir nicht sagen. Dazu müsstest du die Antworten der Techis abwarten, die sich speziell mit Telegram auseinander gesetzt haben.
Genau wie bei WA wird mein Telefonbuch irgendwo hin transferiert und mit anderen Kontakten abgeglichen.
Das kann, muss allerdings nicht zwangsweise negativ sein. Letztlich sieht ein potentieller Angreifer auf diese Weise nur, dass du mit einer bestimmten Person kommunizierst, bzw. bei einer Übertragung der Nummer erst mal nur, dass du in Besitz der Nummer bist. Das ist allerdings für die meisten Privatsphäre-Angriffe eher unproblematisch.
Das einzige Argument für mich wäre noch, dass bei Telegram im Hintergrund kein Profil in einem Social Network steckt, mit dem mein Chat-Verhalten abgeglichen werden kann, bzw. das Projekt angeblich nicht von Werbeeinnahmen abhängig ist.
Wie im vorigen Abschnitt gebe ich noch mal zu bedenken, dass ich nichts zu Telegram selbst sagen kann, ich will daher nur allgemein/ fiktiv die Problematik skizzieren:
Stell dir vor, Telegram würde[fiktive Annahme!] mit Facebook kooperieren. Bei der Validierung deiner Mobilfunknummer, würde ein Abgleich mit der Datenbank von Facebook stattfinden. So könnte eine Verknüpfung von Telegram- und Facebook-Profil stattfinden ohne dass du das bemerkst. Hat dein Kommunikationspartner ebenfalls seine Mobilfunknummer bei facebook hinterlegt, könnte eben auch erfasst werden, mit wem du wann geschrieben hast. Einzig die Inhalte der Kommunikation wären geschützt. Wie eng du mit einer Person in Kontakt stehst, wäre damit zumindest klassifizierbar und auch darüber könnten Analysen stattfinden.
Wie auch schon weiter oben gesagt, kommt es sicher auf deine persönliche Situation an, ob das für dich ein Problem darstellt.
Dazu will ich zwei Beispiele skizzieren:
Es wird "öffentlich", dass du und mit deiner Frau kommunizierst - das wäre vermutlich eher unproblematisch.
Es wird "öffentlich", dass du als Mitglied des nordkoreanischen Geheimdienstes mit dem US Geheimdienst in Verbindung stehst - das wäre, ungeachtet der Kommunikationsinhalte eher problematisch.
@mathmos Du kannst immer noch die Schlüssel manuell abgleichen. Die SMS-Validierung ist, soweit ich weiß, optional und dient nur der Vereinfachung. Vereinfachung im Bereich Krypto ist in der Regel gleich zusetzen mit Schwachstellen. Allerdings würde ich die Lücke auch nur als bedingt kritisch einstufen. Immerhin haben die wenigsten Angreifer die technischen Voraussetzungen um einen derartigen Angriff durchzuführen. In Diktaturen oder allgemein gegenüber Regierungen sieht das wieder anders aus.
@Pleitgengeier Soweit ich mich erinnere ist Signal tatsächlich sicherheitstechnisch "besser". Allerdings gibt es nicht für alle Devices Clients und das ist tatsächlich eher ein Nachteil.
@werner WA nutzt eine E2E Verschlüsselung, die vom WA-Server jederzeit terminiert werden kann. Das heißt, der Server gibt vor, ob Verschlüsselt werden soll oder nicht. Er kann die Verschlüsselung jederzeit aussetzen, so dass ein Angreifer mitlesen kann. Ob dies dem Nutzer kenntlich gemacht wird, ist unklar. Außerdem ist die Schlüsselgenerierung ein Blackbox-System. Wie die Schlüssel generiert werden und wie insbesondere Verschlüsselt wird, ist unbekannt. Whatsapp könnte[Konjunktiv!] bspw. so verschlüsseln, dass sowohl der Publickey des Empfängers, als auch ein zusätzlicher Publickey von WA selbst oder von einem Dritten (z.B. NSA) eingearbeitet wird. In dem Fall hätte WA bzw. der Dritte soetwas wie einen Generalschlüssel, mit dem er jede Nachricht entschlüsseln kann. Wie gesagt rede ich hier im Konjunktiv, jedoch ist allein die Tatsache, dass WA die nötigen Codestellen nicht offen legt ausreichend dafür, der Geschichte zu misstrauen. Als US-Unternehmen könnten sie leicht gezwungen worden sein, einen solchen Generalschlüssel einzuarbeiten und darüber Stillschweigen zu bewahren.
phre4k schrieb:
Mich stört eher, dass OTR by design nicht mehrere Sessions gleichzeitig offen halten kann.
Wort