Signal schafft PIN-Zwang wieder ab

Mo, 13. Juli 2020, Ralf Hersel

Der Messenger Signal ist bekannt und beliebt für seine gute Ende-zu-Ende Verschlüsselung und die Wahrung der Privatsphäre seiner Anwender, soweit dies bei einer Firma unter US-Jurisdiktion überhaupt möglich ist. Diese Vorteile führen jedoch auch zu Einbussen bei der Benutzungsfreundlichkeit. Um die Wiederherstellung von Account-Daten zu vereinfachen, führte Signal vor einigen Wochen eine PIN ein. Diese dient zum Verschlüsseln von Profildaten, App-Einstellungen und der Kontakte, die nun auf den Signal-Servern gespeichert werden sollten. Langfristig wollte man mit der PIN auch die Abhängigkeit von der Telefonnummer als Identitätsmerkmal ersetzen.

Die Anwender wurden zum Erstellen der PIN gezwungen, was zu scharfen Reaktionen insbesondere von Sicherheitsexperten führte. Der ganze Grund für die Existenz von Signal sei, dass man hier nicht gezwungen werde, seine Daten auf irgendeinen Server hochzuladen. Auch die technische Umsetzung der PIN steht in der Kritik. Signal lässt auch sehr einfache PINs zu (4-stellig), da man serverseitig auf Intel SGX setze, um die Datensicherheit zu gewährleisten. SGX hat jedoch in der Sicherheits-Community einen sehr schlechten Ruf.

Als Reaktion auf die negativen Rückmeldungen hat Signal-Erfinder Moxie Marlinspike am 9. Juli auf Twitter angekündigt, dass diese Funktion künftig optional sei und abgeschaltet werden könne, was in der aktuellen Beta-Version von Signal bereits der Fall ist. Damit würden dann aber auch die Vorteile des automatischen Abgleichs verloren gehen, so Marlinsike.

Quellen:

https://signal.org/blog/signal-pins/

https://twitter.com/moxie/status/1280955018460315648?ref_src=twsrc%5Etfw