Ägypten blockiert den Krypto-Messenger Signal

Seit dem Wochenende berichten ägyptische Nutzer der verschlüsselnden Messenger-App Signal, nicht mehr darüber kommunizieren zu können. Nun hat das Unternehmen bestätigt, dass der Dienst offenbar auf Netzwerkebene blockiert wird. Man arbeite bereits an Techniken, um die Netzsperren zu umgehen.

Das ägyptische Regime blockiert seit dem Wochenende den verschlüsselnden Messenger-Dienst Signal. CC0 1.0, via Unsplash/Baher Khairy

Ägypten blockiert offenbar seit einigen Tagen den Krypto-Messenger Signal. Das hat das Unternehmen „Open Whisper Systems“ auf Twitter bestätigt, nachdem man einige Nutzerbeschwerden überprüft hatte. Zugleich kündigte der Dienst an, innerhalb der kommenden Wochen eine Technik entwickeln zu wollen, mit der sich Zensurmaßnahmen umgehen lassen könnten. Bis dahin rät Open Whisper Systems betroffenen Nutzern, das Anonymisierungsnetzwerk Tor oder ein VPN (Virtual Private Network) zu verwenden, um die Blockierung auf Netzwerkebene in Ägypten zu umgehen.

Signal macht Mitlauschen unmöglich

Signal zeichnet sich durch seine konsequente Ende-zu-Ende-Verschlüsselung aus, die es Behörden und sonstigen neugierigen Lauschern unmöglich macht, bei der Kommunikation mitzuhorchen. Daneben setzt der Dienst auf Datensparsamkeit, um möglichst wenige Daten der Nutzer vorzuhalten, sollte eine einschlägige richterliche Aufforderung eingehen.

Unklar bleibt derweil der Grund der Blockierung. In den vergangenen Monaten und Jahren kam es regelmäßig zu Repressionswellen gegen jeweils unterschiedliche politische Gruppen. Dabei kam es auch zu Netzsperren, die sich beispielsweise gegen verschlüsselte HTTPS-Verbindungen oder gegen das Tor-Netzwerk richteten, wie das Open Observatory of Network Interference (OONI) berichtet hatte. Die dem Tor-Projekt nahestehende Organisation dokumentiert weltweit Zensurmaßnahmen im Internet und hat seit Ende 2012 mehrere davon aufgedeckt.

Mehr Details und Hintergründe zur aktuellen Lage in Ägypten liefert die Online-Zeitung Mada Masr und listet zudem mehrere Alternativen zu Signal und Tor auf, die ägyptische Bürger zur Kommunikation nutzen könnten.

Update, 22. Dezember 2016: Eine neue Version von Signal setzt auf „domain fronting“, um die Blockierung zu umgehen.

19 Ergänzungen

  1. Indirekt macht auch Facebook Probleme bei der Nutzung im Zusammenhang mit Tor. Accounts, die sich über das Tornetzwerk mit dem Datensammler verbinden, werden zur Verifizierung des Accounts mit Personaldokument genötigt. Als Grund wird ein nichtautorisierter Zugriffsversuch auf besagtem Account genannt.

    1. Der Grund wird wohl eher sein, dass Facebook unter Tor Datensammelprobleme hat. Das heißt, dessen Dienstleistung refinanziert sich aus den Nutzerdaten bei TOR-Nutzung so schlecht, dass Facebook aus marktwirtschaftlichen Gesichtspunkten „zu“ macht. Facebook ist nur so lange an seiner Community interessiert, solange sie Geld einbringen. Alles Andere von Zuckerberg ist haltloses Gerede.

      1. Das passiert nicht nur „sehr eingeschränkt“. Signal schützt lediglich Deine Privatsphäre, in dem es die Nachrichten verschlüsselt. Deine Metadaten werden jedoch munter mit Google geteilt (GCM). Und nicht vergessen: Die Serversoftware ist auch nicht OpenSource.
        Die Ironie an der Story oben ist doch, wie Moxie (Openwhispers) über „federated protocols“ hergezogen ist und ein „centralized service“ rechtfertigte, um bloß nicht die Zügel aus der Hand geben zu müssen:
        „Indeed, cannibalizing a federated application-layer protocol into a centralized service is almost a sure recipe for a successful consumer product today. […]In each case, the federated service is stuck in time, while the centralized service is able to iterate into the modern world and beyond.“ https://whispersystems.org/blog/the-ecosystem-is-moving/
        „The ecosystem is moving“ ? Klar, das Internet™ verkommt zu einer Zensurbutze, gerade wegen solchen bewussten Designfehlern wie in Signal. Aber egal, weil $$$ u know…

  2. „Deine Metadaten werden jedoch munter mit Google geteilt (GCM).“
    Stimmt nur eingeschränkt: Durch Einsatz von GCM erfährt Google nur, für wen eine Nachricht eingetroffen ist – nicht von wem.

    „Und nicht vergessen: Die Serversoftware ist auch nicht OpenSource.“
    Stimmt nicht. Hier kannst du den Quelltext runterladen: https://github.com/WhisperSystems/Signal-Server

    Ich selbst stehe Signal sehr kritisch gegenüber, trotzdem ist es wenig hilfreich, Fehlinformationen rauszutrompeten.

  3. Blöd halt so ein zwangs-zentralisierter Messenger der einen zwingt Google seine Daten in den Rachen zu werfen.

    1. „Google seine Daten in den Rachen zu werfen.“
      Trotz des kleinen wahren Kerns, so überspitzt ist diese Aussage eher falsch. Richtig ist, Signal nutzt einen Google Dienst um Nutzer bei längerer Inaktivität der App über neue Nachrichten zu informieren. Google erfährt dabei die Uhrzeit und das es eine Nachricht gibt, sonst nichts.
      „Daten in den Rauchen zu werfen“ ist was anderes…

      1. „Signal nutzt einen Google Dienst um Nutzer bei längerer Inaktivität der App über neue Nachrichten zu informieren.“ Ein eigener Dienst wäre ja nicht nicht möglich gewesen, da dieser von ISPs, im Gegensatz zu Googles, nicht offen gehalten wird (yay, Netzneutralität).

        Anbei hat Open Whisper Systems das Problem der Blockierung anscheinend gelöst:
        „Today’s Signal release uses a technique known as domain fronting. Many popular services and CDNs, such as Google, Amazon Cloudfront, Amazon S3, Azure, CloudFlare, Fastly, and Akamai can be used to access Signal in ways that look indistinguishable from other uncensored traffic. The idea is that to block the target traffic, the censor would also have to block those entire services. With enough large scale services acting as domain fronts, disabling Signal starts to look like disabling the internet.“ https://whispersystems.org/blog/doodles-stickers-censorship/

        Unschön, wenn man von vornherein seine App von den üblichen Internetgrößen abhängig macht, die alles andere Datenschutz und Anonymität im Kopf haben, nur um von dem Zwei-klassen-Internet, welches die Großen etabliert haben, zu profitieren.
        Bitte nicht falsch verstehen: Ich finde die Bemühungen von Openwhisper im Vergleich zu den anderen schon bemerkenswert. Einen faden Beigeschmack hat das ganze für mich aber schon.
        (@badger: Danke für Deine Richtigstellung. Der Quellcode wurde „damals“ nicht freigegeben.)

          1. Die Frage selbst zeigt ein Problem auf: Es geht nicht um einen Dienst, sondern um einen offenen Standard für Messaging. Und den gibt es: XMPP mit OMEMO-Verschlüsselung. Mobile Clients dafür sind zur Zeit Conversations (Android), ChatSecure (iOS), Gajim mit OMEMO-Plugin.

          2. Kurzantwort: Im Moment keinen.
            Der einzige den ich momentan verwenden würde, wäre Conversations https://conversations.im/#features (im Moment aber leider nur für Android) mit OMEMO (https://de.wikipedia.org/wiki/OMEMO ).
            badger hat es ja schon grob angerissen.
            Conversations und Chatsecure stehen eng in Kontakt (https://chatsecure.org/blog/chatsecure-conversations-zom/ ).

            Eine Übersicht über einige aktuell gängige Messenger und deren Risiken und die Problematik von zentralen und dezentralen Servern hat Kuketz auf seinem Blog im Mai sehr sehr schön dargestellt:
            https://www.kuketz-blog.de/conversations-sicherer-android-messenger/
            Aktuell bring er es in Bezug auf den neuen Signal-Fork „Noise“ wieder auf den Punkt:
            „Egal ob Signal oder ein Fork davon: Lasst die Finger von diesem Messenger. So brillant der Hauptverantwortliche Moxie Marlinspike auch sein mag, auf seine zentralisierte Infrastruktur würde ich mich nicht verlassen. Nochmal in aller Deutlichkeit: Wir müssen weg von (proprietären) Messengern mit zentralisierten Servern hin zu Federation über freie, offene Protokoll wie zum Beispiel XMPP. Walled Gardens, Gated Communities und Co. verfolgen langfristig nur die egoistischen, wirtschaftlichen Interessen von Unternehmen und ihren Stakeholdern – und ihr seid ihrem Wohlwollen ausgeliefert. Noch dazu bewegen wir uns zurück in der Zeit, nämlich in die Steinzeit der IT, wenn wir weiter zentralisierte Infrastrukturen fördern.
            Aktuell können wir vor allem eines beobachten: Jedes Unternehmen strickt seine eigenen Protokolle und Dienste, die zueinander nicht kompatibel sind. Das ist kein Fortschritt, das ist Rückschritt!“
            https://www.kuketz-blog.de/noise-weiterer-signal-fork/
            Kann dem nur beipflichten.
            Euch allen einen guten rutsch!

        1. Das wirkliche Problem bei der symbiotischen Google-Nähe von Signal sehe ich weniger darin, dass über einen Google-Server die Benachrichtigung eines Messaging-Events ausgelöst wird, sondern darin, dass mein Endgerät vergoogelt sein muss, um die Signal-App zu nutzen. Ich soll mir proprietäre Spyware aufs Gerät holen, damit ich unbelauscht kommunizieren kann? Erscheint mir widersinnig. (MM’s Gegenargument: 99% der Leute benutzen ihre Android-Geräte sowieso „out of the box“, statt sich ein sauberes Custom ROM zu installieren.)
          Und: Die Server-Software ist zwar quelloffen, aber Marlinspike verweigert strikt den Nachrichtenaustausch mit anderen Servern, die unter dieser Software laufen.
          Ich verstehe deswegen den faden Beigeschmack, den du erwähnst, sehr gut – bei mir ist er mittlerweile schon zu einem ziemlich ekligen Geschmack geworden.

      2. Wenn ich ein Android Phone habe, dann „MUSS“ ich mir das GAAPS Paket draufinstallieren um GSF nutzen zu können.
        Play Store kann man schon ersetzen mit f-droid. Aber da weigert sich ja OWS/Moxie ja noch immer das zu akzeptieren, weil eben kein GSF da mit dranhängt.

        Da gibts dann eben keine Abstufung mehr. Entweder ich habe Google auf meinem Handy installiert und das telefoniert nach hause und nistet sich seine backdoor ein.
        Oder eben ich installiere google nicht auf meinem Handy. Dann kann ich aber kein Signal verwenden.

        Deshalb verweise ich gerne auf die Empfehlung der FSFE https://blogs.fsfe.org/h2/2015/02/23/secure-texting-part-ii/

        Kontalk ist zwar (noch) nicht feature complete zu Signal, ist aber zu bevorzugen aus mehreren Gründen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.