UrlaubMitStalin schrieb:
Hab ich das behauptet?
Die E2E Verschlüsselung haben sie von Signal übernommen, die gilt als ziemlich sicher.
Du hast behauptet, die E2EE wäre Schlangenöl. Jetzt behauptest du, sie wäre ziemlich sicher - ja was denn nun?
UrlaubMitStalin schrieb:
Aber was nützt eine sichere Transportverschlüsselung wenn die App drum herum ein schweizer Käse ist?
Aber was nützt Dir eine sichere Haustüre, wenn alle Fenster im Erdgeschoss offen sind?
Nicht alles was hinkt... usw.
UrlaubMitStalin schrieb:
Die Telegram-Macher haben den Quellcode offen gelegt, da weiß man genau, was die App macht und Sicherheitslücken würden, wenn sie denn auftauchen sehr schnell geschlossen... Bei WhatsApp gabs katastrophale Lücken, die über Jahre offen waren.
Ein Angriff auf den Telegram Client ist extrem schwer, bei WhatsApp extrem leicht.
Und obwohl dazu schon was geschrieben hatte, kommst du trotzdem mit der alten Mär, das OSS automatisch ganz viel sicherer ist.
Ist es nicht.
WA fixt Lücken sobald sie entdeckt wurden auch zügig, nach allem, was man weiß.
Bei Telegram (und anderer OSS, siehe z.B.
https://de.wikipedia.org/wiki/Heartbleed) können genauso Bugs drin sein, und da auch einige Zeit unentdeckt sein, denn kaum eine Codebase wird kontinuierlich aufwändig auditiert.
Auch in OSS wird eine Lücke häufig dann erst gefixt, wenn sie irgendwie ausgenutzt wurde. Mit etwas Glück durch einen White-Hat Forscher und ohne negative Folgen, eventuell aber auch nicht.
Eventuell findet ein Bad Player auch erst durch OSS eine Lücke, die er bei Closed Source so nicht gefunden hätte, und kann sie dann lange ausnutzen. Security by Obscurity ist nix, was auf lange Sicht eine tolle oder erfolgreiche Strategie ist, im Einzelfall kann es aber durchaus mal etwas verbergen, was sonst bösartig genutzt worden wäre.
Da ist gar nix bei Telegram "extrem schwer" und bei WA "extrem leicht". Die möglichen Angriffsvektoren sind quasi identisch.
UrlaubMitStalin schrieb:
Das mit dem E2EE ist natürlich wahr, aber die Daten sind auf den Tg Servern natürlich auch durch ein ausgeklügeltes Verschlüsselungssystem gesichert... bisher hat das noch niemand überwinden können, zumindest ist von sowas noch nichts an die Öffentlichkeit gelangt.
Jaja, das tolle "ausgeklügelte" System. Das hilft, wenn einer den Server physisch aus dem RZ klaut - wobei Festplatten-Verschlüsselung und Daten über verschiedene Systeme im RZ aufspliten da auch nix ausgeklügeltes mehr ist, sondern eher seit Jahren verbreitet, weil eben Hardware-Diebstahl ein beliebter Angriffsvektor war / ist.
Vielleicht hilft das ausgeklügelte Ding noch ein bisschen, wenn jemand nur einen einzelnen Server hackt - wobei im laufenden Betrieb ja die ganze Zeit Keys & Inhalte zusammen gebracht werden müssen, um es an den User auszuspielen, die Klartext-Daten laufen also gerade über die aus dem Internet erreichbaren Systeme. Nach einem Hack kann man da also eventuell auch recht gut rankommen.
Und schon gar nichts hilft es, wenn ein Staatsplayer ankommt und eine Kooperation erzwingt.
Aluhut auf
Vielleicht liest man nur nix von Hacks des Telegram Clients, weil die im Hintergrund die Staatsplayer direkt alles vom Server abschnorcheln lassen. Dazu ein bisschen PR vonwegen das man Russland mal irgendwas nicht geben wollte, damit sich alle sicher fühlen.
Aluhut ab in den Müll
Es bleibt bei dem, was ich schon in meinem ersten Post dazu geschrieben hab:
Telegram hat es geschafft, irgendeinen diffusen Hype um ihre ach so tolle Sicherheit zu erzeugen, am Ende des Tages gibt's keinen Beleg, dass da irgendwas sicherer wäre als woanders, und es gibt nur sehr begrenzt E2EE, womit es in dem Punkt gesichert schlechter ist als WA, Signal und co.