Auf Mastodon ansehen
Serienverzeichnis
- Einleitung
- Threema
- Signal (das ist dieser Artikel)
- Matrix
Vielen Dank für die zahlreichen Kommentare, die ihr zu den ersten beiden Artikeln geschrieben habt. Bevor ich mit dem Messenger Signal beginne, möchte ich kurz darauf eingehen. Relevant fand ich die Kommentare, die den Unterschied zwischen zentraler (Threema, Signal) und dezentraler Datenhaltung (Matrix) bezüglich der Privatsphäre erwähnt haben. Auch die Herkunft (USA versus Europa) war ein Thema. Das sind schwierige Themen, die eines eigenen Artikels bedürfen. Die Einmalzahlung für Threema hat polarisiert, sowohl in unseren Kommentaren als auch bei Mastodon. Hier waren die Meinungen klar auf der Bezahlseite.
Genug zu den bisherigen Beiträgen in dieser Serie. Jetzt möchte ich mich dem Messenger Signal widmen. In der freien Tech-Bubble wird dieses Produkt in den höchsten Tönen gelobt. Bei Signal hat man vorgeblich die beste Verschlüsselung, die beste Geschäftsleitung, das beste Geschäftsmodell und die sympathischste Geschäftsführerin, Meredith Whittaker. Zugegeben, die Präsidentin der Signal-Foundation sagt mir mehr zu als ihr Vorgänger Matthew Rosenfield; doch das ist rein subjektiv und tut nichts zur Sache.
Nachher: Meredith Whittakter Vorher: Matthew Rosenfield
Ihr ahnt es, ich bin bei der Beurteilung des Signal-Messengers etwas voreingenommen. Dennoch versuche ich, das Produkt so objektiv wie möglich zu beschreiben. Los geht es.
Installation
Für Smartphones (Android) findet man den Signal-Messenger auf F-Droid. Gebt mir einen Moment ... ich suche noch ... nein, Signal gibt es für Android-Smartphones nicht im F-Droid Repository. Damit endet dieser Artikel an dieser Stelle vorschnell. Halt, so schnell gebe ich nicht auf. Was bietet die Homepage von Signal an?
Ok, Signal verweist auf Google Play. Dann versuche ich es einmal auf meinem Smartphone (Fairphone 5 mit /e/OS). Der Paketmanager sucht dort in F-Droid und im Aurora-Store. So sieht das aus:
Paketname: org.thoughtcrime.securesms
Das ist dann wohl Moxies Humor. Es gibt Signal auch als APK direkt von der Signal-Webweite. Die Anwendung hat einen eigenen Update-Mechanismus.
Wie sieht es auf dem Desktop aus? In Manjaros Pamac finde ich das native Paket und das Flatpak. Ich entscheide mich für das Flatpak, weil es die neuere Version liefert.
Nach der erfolgreichen Installation starte ich Signal als Flatpak.
An dieser Stelle endet das Wohlwollen vermutlich für viele Leute, insbesondere für die wenig Technik-affinen. Aber wartet, es geht noch weiter, wenn man Ja klickt:
Wenn man hier Ja klickt, startet Signal auf dem GNOME-Desktop:
Android-App
Nun gut, ich installiere Signal in der Version 7.33.2 aus dem Aurora-Store, also über Bande aus dem Google-Play-Store:
Wie wir oben gesehen haben, braucht man zwingend die Installation der App auf dem Smartphone, bevor man mit der Electron-Anwendung auf dem Desktop etwas anfangen kann.
Nach dem Willkommensbildschirm werden drei Berechtigungen abgefragt. Ich habe lediglich den Zugriff auf die Kontakte erlaubt, um einen Vergleich der Teilnehmenden zwischen Signal und Threema anstellen zu können. Dann kann man seine Telefonnummer angeben oder stattdessen einen Proxy einschalten. Gibt man seine Telefonnummer preis, wird per SMS ein Code zugeschickt, der für nichts benötigt wird; zumindest wurde er an keiner Stelle abgefragt.
Nach dem Captcha kann man seinen Namen eingeben, wobei der Nachname optional ist. Danach legt man Wiederherstellungsschlüssel an. Nun kann Signal als Messenger und Telefonapparat verwendet werden. Die Benutzeroberfläche sieht so aus:
So weit, so üblich. Neben den normalen Chats, die auch in Gruppen organisiert werden können, gibt es die Möglichkeit, Telefonanrufe zu tätigen. Das funktioniert natürlich nur mit Personen, die ihre Telefonnummer angegeben haben. Apropos Telefonnummer: Signal hat 34 meiner Kontakte angegeben, die ebenfalls Signal verwenden. Das sind 11 % meiner Kontakte. Bei Threema waren es 24 Kontakte, also 8 %. Wie bei Threema, kann Signal Audio- und Video-Anrufe.
Zusätzlich gibt es Storys; das sind Bild- und Video-reiche Geschichten zur Selbstbeweihräucherung, auf die andere nicht antworten können und die nach 24 Stunden (zum Glück) automatisch gelöscht werden. Wenn ihr mich fragt, ist das überflüssiger Influencer-Bullshit. Was mir fehlt, ist eine Umfragefunktion, wie sie Threema kennt. So viel zur Android-App.
Desktop
Wie man die Desktop-Anwendung installiert, habe ich oben bereits gezeigt. Da ich nun die App auf dem Handy installiert habe, sollte sie sich auf dem Desktop in Betrieb nehmen lassen. Der erste Start des Electron-basierten Flatpak dauert ziemlich lange (ca. 5 bis 7 Sekunden).
Beim ersten Start erhält man die Möglichkeit, Nutzernamen einzurichten. Dies verhindert, dass die Telefonnummer eines Kontaktes (falls vorhanden) im Chat immer eingeblendet wird. Ich habe einen Nutzernamen eingerichtet, der aus dem Namen und einer automatisch vergebenen Nummer besteht, z. B. DonaldDuck.80. Falls man den Nutzernamen einer anderen Person kennt, kann man diese zum Chat einladen, ohne die Telefonnummer zu kennen.
Die Desktop-Erscheinung von Signal ist aufgeräumt, gefällig und bietet Funktionen, die sich einem leicht erschliessen. Diese Anwendung gefällt mir viel besser als das Threema-Pendant. Ein grosser Vorteil von Signal im Gegensatz zu Threema ist, dass man die Desktop-Anwendung nur einmal koppeln muss. Ich habe mein Smartphone heruntergefahren und den PC neu gebootet, um das zu überprüfen. Für mich ist das ein Killer-Kriterium.
Bis hierher gefällt mir Signal besser als Threema, obwohl ich das Gegenteil vermutet habe, als ich mit dieser Artikelserie begann. Leider hat Signal ein riesengrosses Problem, für das die Signal-Foundation nichts kann:
Es gibt US-Gesetze, die Regierungsbehörden den vollen Zugriff auf Daten von US-Firmen und Organisationen garantieren, nämlich der CLOUD Act und der Patriot Act. Das Perfide an diesen Gesetzen ist, dass euch die US-Firmen anlügen müssen; sie dürfen nicht sagen, dass sie Daten ausleiten.
But wait, there is more! Wusstet ihr, dass Signal die Kryptowährung Mobilecoin integriert hat? Klickt doch mal in den Einstellungen auf Zahlungen. Mehr dazu findet ihr bei Golem.
Fazit
Leider gibt es Signal nicht bei F-Droid; dafür gibt es ein Flatpak. Die Installation von beiden Anwendungen geht in Ordnung. Im Betrieb bietet die Android- und Desktop-Variante fast alles, was man von einem Messenger erwartet. Mir fehlt lediglich die Umfragefunktion im Chat. Signal ist weiter verbreitet als Threema. Dafür haftet Signal das USA-Stigma an. Threema punktet mit europäischer Herkunft und einem glaubwürdigen Geschäftsmodell.
Ich weiss nicht, welchen Messenger ich euch empfehlen soll, wenn es nur um diese beiden geht. Beide sind gut. Der grösste Nachteil von Signal ist die US-Jurisdiktion; der grösste Nachteil von Threema ist die Desktop-Anwendung. Die Reichweite ist bei beiden schlecht, doch das haben alle guten Messenger gemeinsam. Entscheidet selbst, was euch wichtiger ist.
Zum Schluss verweise ich auf einen aktuellen Artikel von Mike Kuketz, der Signal und Threema als gute und gleichwertige Lösungen vorschlägt und auf die kleinen Unterschiede hinweist. Dort lest ihr auch eine Bewertung anderer Messenger.
Titelbild: https://signal.org/brand/
Quellen und Bildquellen:
https://www.northdata.de/Threema+GmbH,+Pf%C3%A4ffikon/CHE-221.440.104
https://de.wikipedia.org/wiki/Meredith_Whittaker
https://de.wikipedia.org/wiki/Moxie_Marlinspike
https://mastodon.world/@Mer__edith
https://signal.org/android/apk/
https://de.wikipedia.org/wiki/MobileCoin
https://www.kuketz-blog.de/whatsapp-ade-signal-und-threema-ueberzeugen-als-sichere-alternativen/
Auf F-Droid gibt es einen Signal-Fork ohne Google-Play namens Molly. Keine Ahnung, ob und wie gut der funktioniert.
Molly funktioniert genau wie Signal. Das App Icon ist anders, alles Andere ist Signal.
Wer noch mehr Open Source will, nutzt Molly:
Quelle: https://github.com/mollyim/mollyim-android
Ich nutze schon lange Molly-FOSS auf /e/ ohne aktivem microG und stelle keine Unterschiede zu Signal auf /e/ mit aktivem microG fest.
@Ralf: Deine Quote von Threema zu Signal ist gering. Ich habe bei Threema halb so viele Kontakte, wie bei Signal.
Signal lässt sich durchaus über f-droid herunterladen: https://guardianproject.info/fdroid/repo/Signal-Android-website-prod-universal-release-7.32.3.apk Aber hätte das einen Vorteil gegenüber Aurora?
Hallo Ralf, erstmal ein riesiges Dankeschön für diese Artikelreihe 🙏.
Es gibt ein FOSS Pendant...so nennt es sich zumindest: fdroidrepos://fdroid.twinhelix.com/fdroid/repo?fingerprint=7B03B0232209B21B10A30A63897D3C6BCA4F58FE29BC3477E8E3D8CF8E304028. Dies kann man als Repo in F-Droid hinzufügen.
Was würdest du dazu sagen?
Gruß Olaf
Gibt es dazu noch mehr Infos?
Wenn TwinHelix ins Repository von f-droid aufgenommen wird (fdroid.twinhelix.com/fdroid/repo), dann findet man signal-foss
Bezüglich F-Droid - Wenn das "Guardian Repository" (https://guardianproject.info/fdroid/repo/) im F-Droid hinzugefügt wird, kann Signal ganz einfach auf einem Google-freien Smartphone installiert werden.
Signal-FOSS
Hallo,
schau dir mal Signal-FOSS an: https://www.twinhelix.com/apps/signal-foss/ an. (GitHub, F-Droid Repository)
Ist ohne "Google Software". Verwendet meine Familie und ich ohne Problem (inkl. Spenden-Funktion)
Das reine APK reicht nicht, um Google-Frei zu sein.
Aber ja, USA bleibt USA..
grEEtZ
Ich wurde bei meinem Artikel zu Androidanwendungen darauf hingewiesen, dass es mit Molly (https://github.com/mollyim/mollyim-android) einen per F-Droid-Repo installierbaren freien Fork von Signal gibt.
Langis: Signal without Google Play Services support: https://langis.cloudfrancois.fr/
Hallo,
F-Droid(Neostore) bietet unter der Paketquelle 'Guardian Project' Signal an. Funktioniert. Muß man halt wissen, ob man die Quelle einbindet. Grüße Ralf
Interessanterweise ist deren Kommunikationsprotokoll https://de.wikipedia.org/wiki/Signal-Protokoll seit 2016 Standard bei WhatsApp. Selbst Skype benutzt es. Der Facebook Messenger setzte es zunächst bei „secret conversations“ ein und seit 2023 ist es dort ebenfalls Standard zur Verschlüsselung aller Chats. Wobei Gruppenchats, wegen der Verwendung von zentralen Servern, angreifbar sind https://www.heise.de/news/WhatsApp-und-Signal-Forscher-beschreiben-Schwaechen-verschluesselter-Gruppenchats-3942046.html Solange die Signal Foundation ihren Sitz in den USA hat, ist das natürlich nicht besonders vertrauenswürdig.
Moin Ralf,
schau dir mal für Fdroid die Paketquelle https://guardianproject.info/fdroid/repo/ an. :)
Hallo, ich nutze den NeoStore (fdroid) und habe in den Einstellungen das Guardian Project mit eingebunden. Dort wird Signal angeboten. Beste Grüße
Kurzer Hinweis bzgl. Deines Verweises auf den Cloud Act: man legt bei Signal ziemlich viel Wert darauf, möglichst wenig Daten von seinen Nutzern überhaupt zu speichern. Soll bedeuten: was man nicht hat, kann man auch nicht herausgeben. Was Signal für Anfragen erreichen und wie sie damit umgehen, machen sie transparent. Unter der launigen URL https://signal.org/bigbrother/ wird (angeblich) jede einzelne Anfrage aufgelistet. Wie das in Bezug auf die unrühmlichen „Gag-Orders“ Bestand hat, kann ich allerdings nicht sagen – es sind erstaunlich wenige Fälle gelistet.
Wer aber mehr über Signal und ihre sympathische Chefin wissen möchte, dem sei der Podcast Logbuch:Netzpolitik Folge 504 sehr ans Herz gelegt: https://logbuch-netzpolitik.de/lnp504-the-politics-of-intellectual-shame
Es gibt Signal-FOSS als eigenes Rep.
https://www.twinhelix.com/apps/signal-foss/
Molly funktioniert ohne Probleme und ohne Google ;-), entweder über websocket oder unified push
Wen du das TwinHelix https://fdroid.twinhelix.com/fdroid/repo/ F-Droid Repository in den Paketquellen hinzufügst kannst du Signal über den f-Droid Store installieren und updaten. Auch ich finde Threema besser als Signal und auch bei mir hat es leider weniger Kontakte die Threema benutzen.
Ich verwende auch die Signal-Variante Molly mit UnifiedPush (ntfy) auf einem Fairphone5 mit CalyxOS (microG). Für Molly kann man sich das Repository in f-droid abonnieren. Molly ist 100% kompatibel und enthält, im Gegensatz zu Signal, keine binary blobs. Im übrigen habe ich UnifiedPush dadurch erst kennengelernt und nutze das mittlerweile in Shell-Scripten, um mir Nachrichten auf das Smartphone zu schicken, z. B. von Servern/NAS etc.
Nachtrag: Messenger: Wechsel von Signal zu Molly UnifiedPush (MollySocket, ntfy) • Kuketz IT-Security Blog
F-Droid > Signal > Guardia Repo installieren > Signal installieren. S.a.: https://guardianproject.info/apps/org.thoughtcrime.securesms/
Hallo zusammen, vielen Dank für die Arbeit der Autoren. Da Signal und Threema mehr oder weniger ein Nischendasein fristen, würde ich mich in diesem Zusammenhang über Artikel zu Session und SimpleX freuen. Immerhin innerhalb der Familie und mit engen Freunden ist eine Nutzung realistisch. Sehr viel anders ist es bei Signal real meist nicht. LG Thomas
Signal nutze ich, da es deutlich verbreiteter ist, als europäische Alternativen. Mein größter Kritikpunkt ist auch, dass die US based sind und die Spenden an Big Tech schicken, da die die Infrastruktur bereitstellen. Damit unterstützen sie die Monopolstellungen der Datenkraken, obwohl es (europäische) Alternativen gibt.
Letzendlich ist es eine Frage des Vertrauens in die Autoren und Reviewer der jeweiligen Software, da nur wenige über das KnowHow verfügen den Sourcecode und die Kryptographie nachvollziehen zu können. Moxie Marlinspike hat in der Kryptoszene einen guten Ruf, die Krypto ist auch reviewed worden
danke. im moment macht nebst 'xmpp' eigentlich nur 'deltachat' sinn, da es keinen zentralen server gibt und so die behörden keine master-keys verlangen können. längerfristig gesehen macht für menschen welche die demokratie und meinungsfreiheit schätzen 'reticulum' und 'nomadnet' sinn. alle anderen messenger werden gegen uns verwendet.
Warum schreibt niemand eine App, der es egal ist, welchen Messenger der Empfänger hat, sodass die Nutzererfahrung besser wird und man von diesen Insellösungen wegkommt?
das gibts: mit hilfe von mautrix bridges oder als abo bei beeper... bei mir laufen sämtliche messenger in matrix