Meine Gemeinschaft wechselt von WhatsApp zu Signal
Es geschehen noch Zeichen und Wunder: Meine Gemeinschaft ist jetzt tatsächlich mit der internen Kommunikation von WhatsApp zu Signal gewechselt!
Mein erster Versuch mit Wire war ja kläglich gescheitert, dann war WhatsApp der Anlass, mir ein Smartphone schenken zu lassen ;-).
Dann hatte ich einen erneuten Versuch mit Nextcloud Talk gestartet, der allerdings auch im Sande verlief, vor allem weil Nextcloud Talk bei All-Inkl wohl eher suboptimal ist.
Den Ausschlag für den Wechsel haben übrigens die externen Masseur:innen gegeben, mit denen unser Massageteam eine Signal-Gruppe eingerichtet hat.
Mit dem Wechsel zu Signal ist nun mein persönlicher Messenger-Salat ein kleines aber wesentliches Stück ausgedünnt. Tschakka!
Vorher habe ich natürlich noch meinen WhatsApp-Chatverlauf gesichert, denn was man hat, das hat man.
Stellt sich raus, was man hat, das hat man noch lange nicht – es gibt nämlich seitens Facebook/WhatsApp keine Möglichkeit, den gesamten Chatverlauf in einem für Menschen lesbaren Format herunterzuladen. Die Account-Info habe ich auch angefordert, aber:
Bitte beachte, dass der Bericht keine deiner Nachrichten enthält.
Das bringt mich in dieser Hinsicht also nicht weiter. Nach einer längeren Odyssee über den WhatsApp Viewer und den dort verlinkten Forenthread sowie den wiederum darin verlinkten Forenthread zum Extrahieren des WhatsApp-Backups aus dem Google Drive bin ich nun endlich beim WhatsApp Parser Toolset gelandet, mit dem mir zumindest der Download des Backups aus dem Google Drive gelungen ist.
Damit habe ich zwar schon mal alle Mediendateien versammelt, der eigentliche Chatverlauf ist allerdings verschlüsselt und nützt mir so noch nichts. Deshalb bin ich im Zuge dessen so tief wie noch nie in mein Android-Smartphone eingetaucht – per USB Debug Mode. Das nötige Tool findet sich im oben verlinkten ersten Forenthread nebst Anleitung es zu benutzen.
Leider tut das in meinem Fall nicht so wie es soll, weil ich WhatsApp Business statt des normalen WhatsApp benutze.
Unfassbar, wie schwer dieser Scheissverein von Facebook es einem macht, die eigenen Daten aus WhatsApp rauszukriegen. Die meisten Leute hätten schon nach der Account-Info aufgegeben.
Übrigens, diese “Account-Info” ist ein Witz, das sind mit Sicherheit nicht alle personenbezogenen Daten, die die von mir gespeichert haben. Mal sehen, vielleicht wende ich in diesem Fall das erste Mal den freundlichen Folterfragebogen der c’t an. Stellt sich nur die Frage, wo schicke ich ihn hin? Laut Impressum ist die WhatsApp Ireland Limited in Dublin zuständig. Der Mutterkonzern Facebook sitzt in Europa ebenfalls in Dublin. Nun, schaun mer mal.
Hier hat jemand seine diversen Selbstauskunft-Versuche bei verschiedenen Unternehmen und Institutionen dokumentiert; für mich besonders interessant ist natürlich sein Tagebuch der WhatsApp-Selbstauskunft. Es ist ein harter Kampf…
Nachtrag: WhatsApp ist damit ein Beispiel dafür, dass man Kryptographie auch dafür missbrauchen kann, Nutzern ihre eigenen Daten vorzuenthalten. Signal geht den entgegengesetzten Weg.
Nachtrag vom 13.07.2020: Anlässlich der Entscheidung von Signal, Kontaktdaten nun doch auf ihren Servern zu speichern, geht eine große Erschütterung durch die Security-Community. Was genau dahinter steckt, erläutert Matthew Green in seinem Beitrag A few thoughts about Signal’s Secure Value Recovery. Das hat mich jetzt dazu gebracht, einen eigenen Beitrag über Signal, die PIN und die Cloud zu verfassen.
Nachtrag vom 16.12.2020: Endlich hat Mike Kuketz in seiner Messenger-Artikelserie auch über Signal geschrieben. Insgesamt ist er recht zufrieden mit Signal. Zur (Un-) Sicherheit von SGX-Enklaven hatte ich mich ja schon anderswo ausgelassen.
Nachtrag vom 19.01.2021: Mike Kuketz hat Hintergründe, die den Userinnen nicht vorenthalten werden sollten: Jegliche Kommunikation erfolgt über Tech-Giganten wie Amazon, Microsoft, Google und Cloudflare.
Das bedeutet: Jegliche Kommunikation wird über zentrale Server der Tech-Giganten abgewickelt. Gerade datenschutzsensible Nutzer mag das abschrecken, was ich nachvollziehen kann. Zumindest aus der IT-Sicherheitspersektive halte ich die Verwendung der angemieteten Server allerdings für vernachlässigbar, da Signal mit dem Zero-Knowledge-Prinzip arbeitet. Sicherlich wäre es wünschenswert, wenn die Signal Foundation die Server selbst hosten würde. Einen Sicherheitsgewinn würde dies allerdings nicht zwangsläufig bedeuten. Dennoch ist das ein Kritikpunkt, da dies natürlich auch Geld in die Kassen der Tech-Datenkraken spült.
Nachtrag vom 08.04.2021: Langsam aber sicher kriege ich ein schlechtes Gewissen, dass ich meinen Leuten ausgerechnet Signal empfohlen habe. Andererseits, was wäre denn eine sichere & gleichzeitig Nicht-Nerd-taugliche Alternative? Bin gerade etwas ratlos.
Nachtrag vom 08.11.2022: Das Interview mit der neuen Signal-Chefin Meredith Whittaker bei Tarnkappe.info gehört unbedingt zur Meinungsbildung hier mit rein.
Nachtrag vom 27.08.2024: Den Jungs von Positive Technologies ist es gelungen, den Root Provisioning Key einer SGX-Hardware zu extrahieren. Als ich nachgeschaut habe, was genau dieser Schlüssel macht, fand ich noch diesen Hinweis:
Intel stores all RPKs as they are the basis of how SGX processors demonstrate their genuineness through an online provisioning protocol. For this reason, the iKGF also forwards different derivations of each RPK to Intel’s online servers.
Das klingt nach einem sehr lohnenden Angriffsziel im Netzwerk von Intel…