Matthew Rosenfeld (aka Moxie Marlinspike) ist Mitgründer der Signal Foundation und CEO der Signal Messenger LLC. Sein Produkt, der Signal Messenger, gilt in der Tech-Presse als sicherer Messenger, der auf einer freien Lizenz basiert (GPL-3.0 und AGPL-3.0) und die Privatsphäre seiner Anwenderinnen schützt. Gerne wird Edward Snowden zitiert, der Signal empfohlen hat. Nun sieht sich Moxie mit einer wachsenden Spam-Welle konfrontiert, der er mit proprietärer Server-Software entgegnen will.
Sein Hauptargument ist, dass sich Spam im Signal-Messenger nur durch den Einsatz von Closed Source Software auf der Server-Seite bekämpfen lässt:
Im Gegensatz zu Verschlüsselungsprotokollen, die so konzipiert sind, dass sie nachweislich sicher sind, auch wenn jeder weiss, wie sie funktionieren, ist die Spam-Erkennung eine ständige Aufgabe, für die es keine konkrete Lösung gibt und bei der Transparenz ein grosser Nachteil ist. Wenn wir diesen Code zusammen mit allem anderen ins Internet stellen würden, würden die Spammer ihn einfach lesen und ihre Taktik anpassen, um sich einen Vorteil im Katz-und-Maus-Spiel zu verschaffen, bei dem es darum geht, Spam vom Netz fernzuhalten.
Dieses Argument wurde bisher nur von Verfechtern proprietärer Lösungen angebracht. Wie Moxie selbst schreibt, gilt es nicht für Verschlüsselungsprotokolle. Aber warum sollte es ausgerechnet für die Bekämpfung von Spam gelten? Wenn wir bestimmte Arten (oder Zwecke) von Code von freien Lizenzen ausschliessen können, wäre das eine Zäsur. Die Frage ist: Gibt es tatsächlich Code, der nicht frei sein kann? Ich bezweifle es.
Die vollständige Argumentation von Signal findet ihr in der Quelle:
Ich verstehe das nicht. Wenn die Nachrichten voll verschlüsselt sind, wie soll dann Spam in der Payload erkannt werden, ohne diese zu entschlüsseln? Handelt es sich hier also um ein trojanisches Pferd?
Bezweifle ich ebenfalls. Speziell hier ist mit E2EE doch gut nachvollziehbar, wer einem schreibt, daher sollte sich Spam auch so eindämmen lassen (wie es ja schon getan wird) – müsste man eben die Limits niedriger ansetzen (oder verhindern, dass mir eine unbekannte Nummer schreibt). Aber ich verwende ohnehin keine zwingend zentralisierten Messenger :)
"Spam" bedeutet hier wegen der Verschlüsselung ja keine Inhaltskontrolle, sondern viel tiefer liegend Zugangs- und Kommunikationskontrolle. Wer des "Spammings" verdächtigt wird, kann Signal nicht mehr nutzen bzw. nicht mehr frei Nachrichten versenden. Und gerade der dafür verantwortliche Code soll nichtöffentlich sein? WhatsApp hat vorgemacht, was das intransparente Aussperren on Leuten bedeuten kann.
Mir ist schleierhaft, warum es die Funktion "keine Nachrichten von Leuten außerhalb meines Telefonbuchs" nicht gibt (Signals "Disallow messages from everyone" hat eine andere Funktion, klingt nur so). Das Problem wäre damit ohne closed source erledigt.
Signal war schon immer mit seiner Politik suspekt. Da zentralisierter Dienst. Der einzige zentralisierter Dienst den ich halbwegs traue ist zur Zeit Threema. Aber sobald Matrix gute Alternative Clients wie neon hat, welche auch Verschlüsselung beherrschen ist der Weg zu Matrix die beforzugte Wahl.
By the way, gibt es eine Signal bridge unter matrix?