CleanPress

Schlagwort: Signal

  • Server-Code des Signal-Messenger auf GitHub veraltet

    Signal-Server
    Screenshot: ft

    In letzter Zeit migrieren angeblich Millionen von Anwendern von WhatsApp zu Signal. Die Frage, ob das unter Open Source-Gesichtspunkten die richtige Entscheidung ist, stellt sich gerade jetzt wieder. Es erscheint nämlich derzeit so, als ob der serverseitige Code, der auf GitHub zu finden ist und unter der GNU AGPL steht, nicht der Code ist, der von der Firma Signal Messenger LLC aktuell als Server eingesetzt wird, wie die Webseite Linuxreviews berichtet.

    Seit 11 Monaten nicht aktualisiert

    Anlass zu dieser Vermutung gibt die Tatsache, dass der Code auf GitHub am 22. April 2020 zum letzten Mal aktualisiert wurde. Allerdings wurde auch in der Vergangenheit der Code nur einmal im Jahr aktualisiert. Auf Reddit ist zu lesen, dass einige APIs im Produktivbetrieb laufen, die nicht auf GitHub zu finden sind. Auch auf Twitter wird derzeit Druck aufgebaut, um die Signal-Betreiber zu einer Erklärung zu bewegen.

    Produktiv genutzter Quellcode muss öffentlich sein

    Damit ist der Code, der derzeit im Produktivbetrieb läuft, nicht quelloffen, denn die GNU AGPL sagt ganz klar, dass der Quellcode für Anwender zugänglich sein muss, auch wenn die Software lediglich auf einem Server als Dienst betrieben wird und nicht direkt zum Download bereitsteht. Das Kuketz-Blog hat bereits vor zwei Monaten über dieses Verhalten berichtet und die ursprüngliche Bewertung in seinem Ampelsystem von Grün auf Gelb zurückgestuft.

    Transparenz erzwingen

    Es gibt von der Firma Signal Messenger LLC keinerlei Informationen, warum der aktuelle Code nicht auf GitHub eingepflegt wird. Es kann aus entwicklungstechnischer Sicht durchaus Gründe dafür geben, aber als Unternehmen, das seinen Dienst als Open Source bewirbt, ist es schlechter Stil, die Anwender über das Warum im Dunkeln zu lassen. Vielleicht verhilft ja hier etwas Öffentlichkeit zu mehr Transparenz.

    Keine Auswirkungen auf die Clients

    Anwender der mobilen Clients sowie der Desktop-App des Signal-Messengers müssen sich derweil keine Sorgen machen, denn alle Clients sind Ende-zu-Ende verschlüsselt (E2EE) und diese Verschlüsselung findet clientseitig statt. Das Signal-Protokoll gilt im Übrigen als sehr sicher und wird auch von anderen Messengern wie Wire oder WhatsApp verwendet.

  • Messenger Signal als Desktop-App vorgestellt

    Messenger Signal
    Bild: WhisperSystems

     

    Der auf Sicherheit und Schutz der Privatsphäre ausgelegte Messenger Signal hat eine Stand-Alone-Desktop-App herausgegeben und wird die bisherige Desktop-Lösung in Form einer Chrome-Erweiterung einstellen. Das geht aus der Ankündigung vom Open Whisper Systems, der 2013 von Sicherheitsexperten Moxie Marlinspike gegründeten Softwareschmiede, hervor.

    Verschlüsslte Kommunikation

    Der Messenger Signal ist eine freie App zur vertraulichen Kommunikation für Android, iOS und den Desktop unter Linux, macOS und Windows. Neben verschlüsselten Textnachrichten und Telefongesprächen über das Internet kann Signal auch für das unverschlüsselte Senden und Empfangen von SMS und MMS verwendet werden.  Die Ende-zu-Ende-Verschlüsselung von Nachrichten wird über das freie Signal-Protokoll realisiert, Gespräche werden mit ZRTP verschlüsselt. Der Messenger wird unter der GPLv3-Lizenz verteilt und auf GitHub entwickelt.

    Messenger Signal
    Screenshot: ft

    Künftig ohne Browser

    Künftig wird der Chrome-Browser nicht mehr zum Betrieb von Signal benötigt, er kann aber unabhängig davon gleichzeitig laufen. Der neue Desktop-Client steht für auf Debian basierte Distributionen, für macOS über 10.9 und für Windows 64-Bit 7, 8, 8.1 und 10 sowie im Quellcode zur Verfügung. Nach der Installation des Desktop-Client kann dieser mit dem Smartphone gekoppelt werden und so Nachrichten auf einer normalen Tastatur verfasst werden. Für Bestandsanwender der Chrome-App besteht die Möglichkeit, die vorhandenen Daten während der Ersteinrichtung zu exportieren und in die neue Desktop-App zu laden.

    Installation in drei Schritten

    Die Installation und das Eintragen in die Quellenliste für künftige Updates ist mit drei Befehlen erledigt:

    $ curl -s https://updates.signal.org/desktop/apt/keys.asc | sudo apt-key add -
$ echo "deb [arch=amd64] https://updates.signal.org/desktop/apt xenial main" | sudo tee -a /etc/apt/sources.list.d/signal-xenial.list
$ sudo apt update && sudo apt install signal-desktop

    Zunächst werden die Schlüssel installiert, dann wird das Ubuntu-Repository des Signal-Pakets eingetragen. Der dritte Befehl aktualisiert die Quellen und installiert die Anwendung.