Benutzer jackieoh schrieb:
Der Artikel hier [1], Abschnitt 2 über die Anforderungen an einen sicheren Messenger im Besonderen, kann sicher so manchem hier noch die Augen öffnen.
(...)
https://www.kuketz-blog.de/conversations-sicherer-android-messenger/
Das Problem mit den (oftmals selbsternannten) "Kryptografieexperten" ist, dass sie nur an die "reine Lehre" glauben und diese so hoch hängen, dass keine Öffnung für weitere zunehmend wichtige Aspekte möglich ist.
Nehmen wir mal exemplarisch, die Fundamentalkritik die die "Experten" immer wieder ggü. Telegram vorbingen:
- Der Serverpart ist aber nicht Open Source!
=> Aus der Sicherheitsperspektive heraus, ist es wahrscheinlich auch besser so, wenn das so bleibt. Ein quelloffener Serverteil lässt problemlos Rückschlüsse und damit zweifellos auch bessere Angriffe (insbesondere Staatlicher Stellen - man bedenke nur die technische Kompetenz der NSA!) auf die bislang gut verborgene Infrastruktur von Telegram zu. Von mir aus kann es serverseitige gerne bei diesem Schwarzen loch blieben. Ein sicherheitsrelevanter Nachteil ist das jedenfalls nicht, je nach Perspektive kann man darin auch einen Vorteil sehen. Von mir aus kann es jedenfalls gerne so bleiben. Entscheidend ist, dass die API clientseitig offen ist. (https://
telegram.org/faq/de#f-warum-nicht-gleich-alles-opensource)
- Die Verschlüsselung via MTProto ist aber eine Eigenentwicklung!
=> Ja und? Warum, ist denn ein "gängiges, offenes Protokoll" per se besser oder gar sicherer als eine Eigenentwicklung. Auch hier gilt im Prinzip das bereits oben genannte. Telegram betreibt aus meiner Sicht an exakt den richtigen Stellen innerhalb des Dienstes seine Eigenbrötlerei! Unumstößlicher Fakt bis heute ist: MTProto tut was es soll und funktioniert bestens. Noch nie ist es einem der Kryptografie-Maulhelden gelungen, das böse, proprietäre Protokoll zu knacken. So lange der Erfolg Telegram recht gibt, können die auch gerne weiter maulen. Die immer wieder ausgelobten Wettbewerbssummen sind auch kein Pappenstiel, für den es sich nicht lohnen würde, die Finger in die Tasten zu werfen. (https://telegram.org/faq/de#f-was-wenn-mein-hacker-freund-behauptet-er-knne-eure-nachrichten)
- Die Verschlüsselung muss aktiv von beiden Chat-Partnern eingeleitet werden
=> Ja, nun... Zum einen stellt das höchstens für überdurchschnittlich Minderbemittelte ein Problem dar und zum anderen ist es für die "Plattformhygiene" elementar, dass die Gruppenchats "nur" Server-Client Verschlüsselt sind. Nur über diesen Umweg war Telegram überhaupt in der Lage, im November '15 ganz gezielt und aus Eigenantrieb über 75 IS-Kanäle dicht zu machen. Sichere Kommunikation - ja! Bevorzugte Koordinationsplattform für Terroristen - nein! Finde ich gut. Denn ein Messengerdienst der komplett darauf scheißt, was mit dem mächtigen Massenkommunikationswerkzeug getrieben wird (ja mit den riesigen Telegram-Gruppen kann man ein ganzes Armeeregiment koordinieren!), weil ausnahmslos alles nur vor dem Hochaltar der absoluten Vertraulichkeit bestehend muss, ist moralisch am Ende genau so verkommen, wie ein Messengerdienst, der die Privatsphäre seiner Nutzer bewusst mit Füßen tritt (https://core.telegram.org/techfaq)
- Telegram hat aber kein Ordentliches Impressum!
Buhuuuu! Wie dubios, böse und ZWIELICHTIG! Es gibt keine ladungsfähige Anschrift. Ein Problem mit dem sich weniger die "Kryptografieexperten" sondern viel mehr die plumpe Journallie und irgendwelche Blutjuristen herumschlagen. Auch das ist kein Problem für irgendwen, sondern gereicht am Ende beiden Seiten (Nutzer wie Diensteanbieter) zum Vorteil. Telegram und der Nutzer hat keine großen Probleme mit möglichen Rechtsverstößen. Telegram setzt auf weltweit verteilte, dezentrale Infrastruktur um keinem festen Jurisdiktionsbereich zugeordnet werden zu können um letztendlich örtliche Rechtsprechung und nationale Regulierung/Gesetzgebung/Exekutiveingriffe auszuhebeln. Wie recht die Gebrüder Durov - nach eigenem Erleben der Verfolgung durch den russischen Staat - bei der Konzipierung der Telegram-Grundstruktur hatten, ist doch erst Ende August wieder deutlich geworden als de Maizière und Cazeneuve ihre Forderungen erhoben... (https://telegram.org/faq/de#f-wer-sind-die-personen-hinter-telegram)
Zusammengefasst:
In puncto "Sicherheit" und "Verschlüsselung" sowie insbesondere den nicht zu unterschätzenden beiden Aspekten "Vertrauenswürdigkeit" und "Intention" des gemeinnützigen Dienstes erhält Telegram zumindest auf meiner erweiterten Scorecard die vorläufige Höchstpunktzahl.