Telegram ist nicht perfekt, aber wer ist das schon? (Kommentar)

Danke fürs Erklären.

Basiert das ganze (Signal) nicht auf dem Zero-Knowledge-Prinzip und ist es dann nicht egal ob 1., 2. oder 3.? Ob nun keins, eines oder beliebig viele Unternehmen nichts wissen macht welchen Unterschied?
Und die Metadaten, also IP Adressen, der Chatteilnehmer fallen doch selbst beim Collocate-Modell im Rechenzentrum an, soweit mein techn. Verständnis.
Kuketz selbst schreibt ja auch das es vernachlässigbar wäre.
„Zumindest aus der IT-Sicherheitspersektive halte ich die Verwendung der angemieteten Server allerdings für vernachlässigbar, da Signal mit dem Zero-Knowledge-Prinzip arbeitet. Sicherlich wäre es wünschenswert, wenn die Signal Foundation die Server selbst hosten würde. Einen Sicherheitsgewinn würde dies allerdings nicht zwangsläufig bedeuten. Dennoch ist das ein Kritikpunkt, da dies natürlich auch Geld in die Kassen der Tech-Datenkraken spült.“
Klar, Geld in Googles Monopolkasse ist blöd, aber wo ist für mich der Abstrich in der Sicherheit meiner Kommunikation? Ich verstehe die Kritik mit Datenkrake-Google, aber hätte man da nicht vorher schon die AWS, Azure und Cloudflare Nutzung genau so anprangern müssen? Wobei ich von CF bis jetzt noch nicht so negative Dinge diesbezüglich gelesen habe.

Deines Erachtens bedeutet es wird vermutet, behauptet oder ist belegt?
Da würde ja auch nur letzteres, also ein Beleg, zählen.

Welche Domains bzw. IPs nutzt den Telegram? Kann man da nicht herausfinden wo die Server stehen, bzw. wer sie bereitstellt?

Edit:

Sehe ich auch so. Aber wo sind die Einflüsse wenn die „fremden“ nichtwissend „nur“ die Infrastruktur und Hardware stellen?
Privatsphäre kann man dann doch auch nur propagieren wenn man keinen Zugriff auf den Inhalt der Kommunikation hat, was Telegram ja ausser bei den geheimen Chats hat.

Wie gesagt nutze ich beide für verschiedene Zwecke. War von der Schlagzeile auch geschockt, aber nach ein wenig weiter lesen bei Kuketz hat sich das recht schnell gelegt. Auch die irgendwo verlinkte Vergleichstabelle von ihm, wo Telegram ein rotes und Signal ein grünes Fazit bekommt, hat mich dann wieder beruhigt.

Möge halt jeder Nutzen was er Mag!

Stimmt ja…aber dabei kommt auch wieder ein VPN ins Spiel ! Ansonsten bist du ja nicht nur bei Signal, sondern überall im Netz mit deiner „echten“ IP unterwegs!

Jedes zusätzliche Unternehmen bzw. jeder zusätzliche menschliche Faktor (mit zunehmenden Unternehmenszahlen) entspricht in der IT-Sicherheitsanalyse einem negativen Faktor!
Die zu übertragenden Daten sind verschlüsselt, beispielsweise mithilfe des SSL- (Secure Socket Layer) oder des moderneren TLS-Protokolls (Transport Layer Security). Der Übertragungsweg selbst kann so als relativ sicher gelten – sicherer zumindest als die Übertragung bei einigen Cloud-Diensten, die ausschließlich auf der Basis von HTTPS arbeiten.
Die Transportverschlüsselung ist extrem wichtig, genügt aber insgesamt betrachtet keineswegs! Weitere client- und serverseitige Sicherheitsmaßnahmen sollten ergriffen werden. Denn mit SSL und TSL sind die Daten zwar während der Übertragung verschlüsselt, werden aber auf dem Zielserver zunächst entschlüsselt und dort abgelegt. Und dann wird die Anzahl an Unternehmen bzw. an Menschen relevant, die direkt Zuriff auf den Server haben!

Zero-Knowledge ist nicht richtig! Das beschreibst du doch selber schon richtig, mit der Problematik der IP-Sichtbarkeit !

Natürlich…wie du oben sehen kannst, mache ich keine Unterschiede, ob Google oder AWS, Azure - es geht nur um dezentralisiertes Cloud-Computing!
Cloudflare sehe ich in der Themazik ganz außen vor, da deren Funktion bei der Datenübertragung eine ganz andere ist! Einfach ausgedrückt, könnte man CF als riesiges RAM des Internets bezeichnen Da ein RAM aber, wie Cloudflare auch, ein flüchtiger Speicher ist, werden die Inhalte des Transport-Streams dort nur zwischengespeichert - CF hostet diese Daten ja nicht selber!
Cloudflare speichert also flüchtig Transportinhalt an Randorten, um so als Content Delivery Network (CDN) zu fungieren. Alle Anforderungen werden dann über Cloudflare als Reverse Proxy gesendet und der zwischengespeicherte Inhalt wird direkt von Cloudflare bereitgestellt, ohne diesen selber zu besitzen!

Ich habe diese Aussage aus einem Interview von 2016 mit Telegram, welches ich aber nicht mehr finde…sorry!

www.telegram.com | 151.101.114.62
www2.telegram.com | 149.126.77.15
autodiscover.telegram.com | 52.97.176.8
mail.telegram.com | 172.217.16.147
dev.telegram.com | 52.86.241.241
m.telegram.com | 149.126.77.15
help.telegram.com | 151.101.114.62
images.telegram.com | 54.145.150.176
my.telegram.com | 209.97.63.214
login.telegram.com | 151.101.114.62
search.telegram.com | 54.145.150.176
sip.telegram.com | 170.149.97.42

www.telegram.com
user.telegram.com
eu.telegram.com
cm.telegram.com
cf.telegram.com
hometeam.telegram.com
local.telegram.com
dti.telegram.com
eedition.telegram.com
dev.telegram.com
go.telegram.com
login.telegram.com
www2.telegram.com
community.telegram.com
atoms.telegram.com
connect.telegram.com
talk.telegram.com
search.telegram.com
profile.telegram.com
sip.telegram.com
uw.telegram.com
anytimeads.telegram.com
tablet.telegram.com
chat.telegram.com
help.telegram.com
account.telegram.com
mail.telegram.com
subscribe.telegram.com
amp.telegram.com
home.telegram.com
myprofile.telegram.com
games.telegram.com
adx.telegram.com
realestate.telegram.com
info.telegram.com
re.telegram.com
promotions.telegram.com
classifieds.telegram.com
m.telegram.com
my.telegram.com
stage.telegram.com
mobile.telegram.com
ww.telegram.com
circulars.telegram.com
videos.telegram.com
newsletter.telegram.com
images.telegram.com
widget.local.telegram.com
comments.telegram.com

Mmmmh, o.k… Trifft das so allgemein gesagt auf den VPN nicht zu? Ich denke die meisten Menschen nutzen keinen VPN auf ihrem Handy, wo die Messenger meistens/oft eingesetzt werden.
Aber klar, den VPN kann ich selbst wählen und sollte ihm Vertrauen.

[quote=„VIP, post:22, topic:7603“]Die Transportverschlüsselung ist extrem wichtig, genügt aber insgesamt betrachtet keineswegs!
Weitere client- und serverseitige Sicherheitsmaßnahmen sollten ergriffen werden. Denn mit SSL und TSL sind die Daten zwar während der Übertragung verschlüsselt, werden aber auf dem Zielserver zunächst entschlüsselt und dort abgelegt. Und dann wird die Anzahl an Unternehmen bzw. an Menschen relevant, die direkt Zuriff auf den Server haben!
[/quote]
Greift da dann nicht die E2E Verschlüsselung als weitere Maßnahme, falls vorhanden?
Selbst auf dem Zielserver sind die Daten doch verschlüsselt und nur Sender und Empfänger haben sie im Klartext, oder denke ich da wieder falsch?

Stimmt. Der Ansatz eines Zero-Knowledge Prinzip wäre wohl richtiger gewesen. Hab das so oder so ähnlich auch bei Kuketz irgendwo gelesen. der Messenger Briar soll da wohl noch besser sein als Signal.
Die IP Problematik kann man wohl nur mit einem VPN oder fremden Netzwerk (öffentliches WLAN o.ä.) umgehen, oder? Mit der echten IP macht es dann auch Sinn das sie möglichst wenig Teilnehmer mitbekommen, erst recht natürlich die Big Tech Datensammler.

Alles gut. Kann man irgendwie herausfinden ob das stimmt, oder muss ich da dem Pavel vertrauen?

Edit:
Jetzt musste ich ein wenig schmunzeln. Der mail.telegram ist ist bei Google colocated. Die Metadaten IP Problematikgibt es doch dann da auch.

Die ersten beiden (telegram.com und 2telegram.com) hinter Cloud-basierten CDN Anbietern, der Standort also verschleiert. Da muss man Pavel wohl Vertrauen.

Vertrauen scheint im Endeffekt ein großes Thema zu sein diesbezüglich.
Mein zumindest vorläufiges Fazit ist: Ich Vertraue da (fast) ganz Kuketz. Ich selbst habe nämlich keine Ahnung, Kuketz jedoch eine gute Reputation. Der erscheint mir da Vertrauenswürdig. In seinem Messenger Vergleich ist Telegram rot markiert, Signal grün. Kommt wahrscheinlich auch auf den jeweiligen Einsatzweck an.,

Wie bereits im Artikel erwähnt muss man sich natürlich fragen was braucht man überhaupt. Ich persönlich z.B. keine Mehrgeräteunterstützung, nutze den Messenger als klassischen SMS Ersatz.

Vielen Dank für deine Antworten. Ist recht interessant das als unbedarfter Nutzer mal von einem sehr auf Sicherheit bedachten ITler zu hören. Wissen ist Macht hat man mir in der Schule immer erzählt. Jetzt weiß ich ein wenig mehr.
Die Medien berichten da ja meist sehr einseitig (davon möchte ich die TK allerdings nicht unbedingt ausnehmen) und prahlen nicht unbedingt mit Fachwissen.

Ich persönlich würde mir endlich wünschen, dass sich ein Unternehmen zur Aufgabe macht ein Messenger rauszubringen was Datenschutzkonform ist und man quasi die leute zwingt aus whatsapp umzusteigen. Ich selbst könnte kotzen, dass jeder hanz und franz whatsapp nutzt und egal was man denen sagt die nicht davon loskommen wollen.

Vielleicht wollen viele wechseln. Aber da sonst kaum jemand bei den Alternativen präsent ist, kann man halt schwer Kontakt halten. Aber gut, früher gab’s nicht mal Handys und wir blieben in Kontakt. Das ist also ein echtes Luxusproblem.

WhatsApp blendet den Hinweis mit der neuen Datenschutzverordnung weiterhin nach jedem Neustart der App ein und will, dass man ihr zustimmt, was ich nicht tue. Dann halt ab Mai ohne WhatsApp, werde es überleben, wenn auch knapp.

Nun ja, es kommt auf den Inhalt an. Ich habe auch mal bei Russia Today ein Video-Interview gegeben. Damals wurde ich dafür übrigens übelst von einem Kollegen gebashed, der für das ZDF tätig war.

Es ging um Roboterjournalismus, das Gespräch war total neutral und jeder weiß, dass Russia Today von Putin finanziert wird. Aber bei dem Interview war’s für mich okay, ehrlich gesagt.

…ich nixx brauch Messenger, habe Trommel !

Die Entschlüsselung findet auf dem Server statt und werden getunnelt weiter übertragen. Heisst dann aber auch, dass ein Abschnorcheln / Hack des Servers demjenigen Klartextdaten liefert…

Theoretisch trifft das auch auf den VPN zu…aber irgendwo muß man als Benutzer schließlich mit der Vertrauens-Kette anfangen! Ansonsten kann man dem Internet an sich nur noch fernbleiben!

So siehts im Standardfall aus! Optional könnte man auch einen Proxy benutzen oder mit fortgeschrittenen Kenntnissen IP-Masquerading z.B. über eine Firewall betreiben…

Ich denke, einfach auch aus Kostengründen. Allerdings sind das ja keine relevanten Funktionen des Messis an sich! Kann man machen, sieht aber blöd aus…

Ich sprach eigentlich von Signal, und der nutzt E2E. Wieso sollten da Klartextdaten auf den Google/AWS Servern sein?
Es wird doch keineswegs nur auf Transportverschlüsselung gesetzt.

Meine ich doch.
Kenne aber kaum einen der VPN auf dem Handy hat. Wenn überhaupt meist kostenlose, Threema will ja auch keiner Kaufen. Von daher weit weg von usability und der Masse, oder?

Signal sieht blöd aus wegen Google, Telegram kanns machen?
Finde da auch amerikanische CDN Anbieter, selbe Spiel bei den ersten beiden Domains. Denn da war sie wieder, die Vertrauenssache.

Kuketz hat mittlerweile auch mal was zu den Metadaten von Signal geschrieben.
Auch ne Vertrauenssache das ich dem das glaube, lol.
https://www.kuketz-blog.de/signal-welche-metadaten-hinterlaesst-der-messenger-bei-amazon-und-co/

Das Signal-Protokoll gewährleistet die bei Ende-zu-Ende-Verschlüsselungssystemen seit langem üblichen Merkmale Verschlüsselung der Inhalte auf dem gesamten Transportweg sowie die Authentisierung der Gegenstelle und Absicherung gegen Manipulation der Nachrichten.

Die zentrale Idee des Protokolls nannten die Entwickler double ratchet (von engl. ratchet: Sperrklinke). Wenn ein Teilnehmer nach einer empfangenen Nachricht zum ersten Mal wieder sendet, erneuert er das Sitzungsschlüsselmaterial durch einen Diffie-Hellman-Schlüsselaustausch, bei dem er einen eigenen neuen Schlüssel mit dem bereits bekannten Schlüssel der Gegenstelle kombiniert (Diffie-Hellman-Ratchet).

Sicherheitsexperten sehen aber auch hier Schwachstellen, wenn wie im genannten kommerziellen Produkt eigene Server verwendet werden. Insbesondere auch Nachrichten in Gruppenchats können trotz funktionierender Ende-zu-Ende-Verschlüsselung ausgelesen werden. Anwender müssten daher immer dem Dienstanbieter und der Server-Sicherheit vertrauen. Auf dem zwischengeschalteten Vermittlungs-Server werden die Nachrichten nämlich entschlüsselt und in Klartext gecached zur internen Überprüfung, bevor diese wieder verschlüsselt und weitergeleitet werden! Eine weitere Funktion des Signal-Protokolls ist, dass aus dem Sitzungsschlüsselmaterial, mittels einer Schlüsselableitungsfunktion symmetrische Schlüssel abgeleitet werden. Da die Schlüsselableitungsfunktion auf einer Hashfunktion basiert, wird dieser Schritt Hash-Ratchet genannt. Diese Konstruktion erlaubt es, neue Schlüssel zu erzeugen, auch wenn die Gegenstelle nicht online ist.

Ich kenne den gesamten Wikipedia Artikel, danke.

Warum kopierst du eigentlich aus verschiedenen Abschnitten die Texte direkt untereinander? Um Schwachstellen im Signal Protokol zu suggerieren die es so nicht gibt?
Muss ich trotz meiner unwissenheit jetzt nicht verstehen warum du die ganzen positiven Eigenschaften die zwischen deinem ersten und zweiten bzw. dritten Absatz stehen würden einfach weg lässt um dann fast direkt auf Sicherheitsbedenken bei Gruppenchats in kommerziellen Apps hinzuweisen.

In dem Abschnitt wo es um die Schwachstellen der genannten kommerziellen Produkte geht werden bei Wikipedia vorher WA, FB Messenger und Google Allo genannt, und es wird insbesondere von Gruppenchats gesprochen von denen bisher auch nie die Rede war. Geschickt zitiert.
E2E bei Chats bleibt E2E, verschlüsselt auf dem ganzen Transportweg, oder nicht? Ende zu Ende halt.
Mag sein das E2E bei Gruppenchats ein Problem ist durch den Schlüsselaustausch über den Server, und wahrscheinlich auch bleiben wird wegen den Schlüsseln die evtl. ein Angreifer hat. Bei Telegram kann einer die Gruppenchats und einfachen Chats immer mitlesen, ein Angreifer natürlich auch. Vertrauenssache das nicht angegriffen wird gegen Vertrauen in den Anbieter der ganz ohne Angriff mitlesen kann. Wenn ich es richtig verstanden habe.

Soviel einfach mal zum Framing, was ja begründeterweise immer kritisiert wird.

Und WAS macht Telegram da besser? Egal ob Bei Gruppenchats oder einfachen Chats. Was?
Und es geht doch um die Masse der User die keine IT-Sec Profis sind, sondern eine einfache alternative zu WA suchen ohne sich damit auszukennen.
Einfach nicht US-Based zu sein reicht hier anscheinend, hat dann aber schon fast was von Geschmackssache behaupte ich jetzt mal ganz frech.
Meiner Meinung nach macht Telegram nix besser, ist halt Pavels Big Data. Ob er es nutzt oder jemals nutzen wird und für was weiß wohl keiner von uns beiden mit gewissheit.
Kenne genügend Leute die Telegram als WA alternative nutzen und von secret Chats gar nichts wissen, von VPN oder Proxies auf dem Handy ganz zu schweigen. Die fühlen sich einfach besser, sicherer, obwohl da die Chatverläufe meist tatsächlich im Klartext auf den unbekannten Servern liegen, zumindest für den Betreiber. Die Vertrauen halt einfach blind das es nicht Five Eyes ist durch Mundpropaganda. Kuketz kennt übrigens auch keiner von denen. Und Anti Telgram berichte von den Medien die hier auch kritisiert werden bestärken sie meist mit dem Argument „Klaro, wir sollen WA nutzen sagt die Regierungszeitung“, oder so ähnlich, meist etwas abgemilderter. Und nein, ich spreche weder von rechten oder linken sondern quasi von OttoNormal der Technik einfach nicht kann und nicht hinterfragt.

Weil ich persönlich einen Messenger auf dem Smartphone brauche um mit jemanden anders vertraulich zu kommunizieren nutze ich Signal für einfache Chats.
Für Gruppen in denen ich mit einem Pseudonym unterwegs bin nutze ich auch Telegram, dafür scheint es mir O.K…

Wie gesagt kommt es auf den Usecase an. Als islamistischer Terrorist der Fliegen lernt würde ich keins von beiden nutzen. Ist aber auch bei mir Vertrauenssache, wirklich nachvollziehen kann ich es trotz Open Source trotzdem nicht. Muss mich da wie gesagt auf andere verlassen.

Schön ist doch das jeder nutzen kann was er mag.

Sorry, aber wie schon mal gesagt und nicht geschafft, hier bin ich raus.

Danke

Nö…sondern um allen die mitlesen und noch nicht einmal wissen, wer oder was Diffie-Hellmann ist, die Chance zu geben, es auch zu verstehen!
Weiterhin sind die technischen Schwachstellen (egal welches Produkt) immer vorhanden, weil es in der IT leider nicht dieses perfide „schwarz-weiß Denken“ gibt, auch wenn dir das lieber wäre!

Nö…denn ich behaupte ja schlichtweg nicht, dass das Signal-Protokoll unsicher ist! Ich antworte lediglich auf deine eigene Fragestellung:
"Wieso sollten da Klartextdaten auf den Google/AWS Servern sein?
Es wird doch keineswegs nur auf Transportverschlüsselung gesetzt."
Hinzu kommt, dass sind in dem Sinne keine positiven Eigenschaften, sondern rein technische Eigenschaften, die für dich einen positiven Nebeneffekt haben und die hier nicht unbedingt jeden interessieren!

Weil die genannten Produkte alle das Signal-Protokoll verwenden, wie Signal selber natürlich auch! Die Gruppen-Chats stehen doch im Wiki nur für die Negativ-Beispiele, aufgrund einer anderen Messenger-Infrastruktur!

Du bezichtigst mich nun des Framings, oder wie soll ich das verstehen?! Und das, weil ich Text von Wiki und meinen Text gemischt habe? Findest du das nicht selber lächerlich und überzogen? Wenn ich hier was kopiert habe, dann ist das meiner Faulheit geschuldet und nicht, weil ich Fakten verdrehen will. Im Gegensatz zu anderen, weiß ich zumindest wovon und was ich da schreibe, da ich es mal gelernt habe. Das heißt jetzt nicht, dass mir keine Fehler passieren können - In dem Fall aber eher weniger!
Bringt mich auch wieder direkt zu deinem nächsten Punkt…

Nichts…denn jeder Anbieter kocht da sein eigenes Süppchen mit der finalen Aussage, der Beste in seinem Gebiet zu sein! Hab ich auch nicht behauptet…Das entspringt schließlich deiner eigenen subjektiven Einordnung!

Wieder mal beim Thema Framing?? Geschmackssache ist dies bestimmt nicht, denn alleine die US-Gesetzgebung gewährt den Behörden und Diensten dort, viel einfacher den Zugriff auf private Daten bei amerikanischen Unternehmen! Alleine schon deswegen, haben Anbieter wie Signal oder auch Telegram und viele andere, immer einen Pluspunkt beim Thema allgemeine Datensicherheit / Datenhoheit, der durch den Unternehmensstandort begründet ist!
Was hat das nun, bitte schön, mit persönlichem Geschmack zu tun??

Habe ich auch nie behauptet!

Hat doch jetzt nichts mit mir zu tun, oder?? Verstehe nur nicht so ganz, warum das dann in deiner Kritik an mich erscheint!

Wieso ist das überhaupt so ein emotionales Thema? Natürlich hat jeder Anbieter so seine Vor- und Nachteile, das ist doch klar.

Problematisch sehe ich die Nutzung von AWS- bzw. Google-Servern, weil Außenstehende dann sehen können, wer mit wem kommuniziert. Und sei es auch nur die jeweilige IP-Adresse. Solche Metadaten wertet die NSA bekanntlich gerne aus.

Warum eigentlich lauter *.telegram.com Domains?
telegram.com hat nichts mit dem Messenger Telegram zu tun. Der ist unter telegram.org zuhause …

Danke…hatte vergessen, dass letzte Wpoche rauszulöschen!