Da Session eine Abspaltung von Signal ist, hat es die starke Sicherheit von Signal geerbt. Darauf aufbauend hat das Session-Team ein anonymisiertes, dezentralisiertes System entwickelt, das seinen Nutzern ein Höchstmaß an Datenschutz und Anonymität bietet. Sind Sie bereit, mehr über diesen Herausforderer auf den Thron der besten sicheren und privaten Messenger-App zu erfahren? Dann lassen Sie uns mit dieser Session-Bewertung eintauchen.
Session Messenger Grundlagen.
Hinter den Kulissen unterscheidet sich Session grundlegend von den meisten anderen sicheren Messaging-Diensten. Um den Rest dieses Session-Beitrags leichter zu verstehen, müssen wir jetzt einige Grundlagen erläutern.
Konversationen in Session werden durch clientseitige E2E-Verschlüsselung gesichert. Nur der Absender und der Empfänger einer Nachricht können diese lesen. Aber Session bietet nicht nur Nachrichtensicherheit. Session schützt auch die Identitäten seiner Benutzer. Es macht Ihre Kommunikation nicht nur sicher, sondern auch privat und anonym.
Session ist dazu in der Lage, weil es die Benutzer über ein Tor-ähnliches Netzwerk mit Tausenden von Serviceknoten verbindet. Service Nodes sind Server, die Nachrichten im Netzwerk hin- und herleiten und zusätzliche Dienste anbieten. Das Zwiebelanfragesystem, das Session zum Schutz von Nachrichten verwendet, stellt sicher, dass kein Service-Knoten im Netzwerk jemals sowohl den Ursprung (deine IP-Adresse) als auch das Ziel (die IP-Adresse des Empfängers) einer Nachricht kennt. Dadurch können Sie Ihre IP-Adresse standardmäßig verbergen.
Session unternimmt eine Reihe zusätzlicher Schritte, um Ihre Identität zu schützen:
Für die Registrierung ist keine Telefonnummer erforderlich
Für die Registrierung ist keine E-Mail erforderlich
Es werden keine Geolokalisierungsdaten, Gerätedaten oder Metadaten gesammelt.
Die Serviceknoten sind in Schwärmen gruppiert. Schwärme sorgen für Redundanz im Netzwerk und für die vorübergehende Speicherung, wenn Nachrichten nicht an ihr Ziel zugestellt werden können. Jeder Sitzungsclient stellt eine Verbindung zu einem Schwarm her, um Nachrichten in Echtzeit zu senden und zu empfangen und um relevante Nachrichten abzurufen, die im Schwarm gespeichert sind und auf ihre Zustellung warten.
Sie werden feststellen, dass wir hier nicht von einem zentralen Server gesprochen haben. Das Session-Netzwerk ist dezentralisiert, es gibt keinen einzigen Ausfallpunkt und keinen Hauptserver, den Bösewichte hacken könnten. Session überträgt Nachrichten über ein Onion-Routing-System.
In einem Onion-Routing-System sind die Nachrichten von mehreren Verschlüsselungsschichten umgeben und durchlaufen mehrere Knoten im System. Jeder Knoten entschlüsselt eine Verschlüsselungsschicht, bevor er die Nachricht weiterleitet. Aufgrund der Art und Weise, wie die Nachrichten verschlüsselt werden, kann kein Knoten sowohl den Ursprung der Nachricht als auch ihr Ziel kennen. Außerdem ist Ihre IP-Adresse am Zielort nie sichtbar, d. h. Ihr Gesprächspartner hat keine Möglichkeit, Sie zu identifizieren, wenn Sie Session verwenden. Der Session-Dienst sollte sich als sehr widerstandsfähig erweisen und auch dann noch funktionieren, wenn einzelne Dienstknoten dem Netz beitreten oder es verlassen.
Das Onion-Routing-System von Session läuft über das Oxen Service Node-Netzwerk. Dieses Netzwerk (früher bekannt als Lokinet) dient auch als Teil der Infrastruktur für die Kryptowährung $OXEN. Mehr über OXEN erfahren Sie auf der Website Oxen.io.
Während Session jetzt grundlegende Messaging-Funktionen sehr gut handhabt, verfügt es nicht über einige der Funktionen, die Konkurrenten wie Signal oder Telegram haben. Unter anderem kann es noch keine Sprach- oder Videoanrufe tätigen. Wenn Sie diese speziellen Funktionen benötigen, sollten Sie sich vielleicht eine andere Messenger-App ansehen.
Hier sind die Vor- und Nachteile, die wir in dieser Session-Bewertung festgestellt haben:
+ Vorteile
Die Ende-zu-Ende-Verschlüsselung (E2E) sichert Text- und Sprachnachrichten sowie Anhänge
Verschlüsselung: Session-Protokoll
Erfordert keine Telefonnummer oder E-Mail-Adresse zur Anmeldung
Offene Quelle
Onion-Routing-System bietet Dezentralisierung und Anonymität
Zeichnet keine IP-Adressen oder Metadaten auf
Verschlüsselte geschlossene Gruppen (jetzt bis zu 100 Personen) und offene Gruppen (ohne Größenbeschränkung)
Erfolgreich abgeschlossene Sicherheitscodeprüfung von Desktop-, Android- und iOS-Anwendungen
- Nachteil
Unterstützt keine 2FA (Zwei-Faktor-Authentifizierung)
Neu gestaltete geräteübergreifende Synchronisierung (frühe Beta-Version)
Perfect Forward Secrecy wurde entfernt
Wichtig: Die Tatsache, dass Session keine Metadaten sammelt, ist ein großes Plus. Wir halten das Problem der Metadaten für die Achillesferse vieler sicherer Messaging-Dienste und sicherer E-Mail-Dienste. Selbst die beliebtesten sicheren E-Mail-Dienste wie ProtonMail haben keine gute Lösung für das Metadatenproblem.
Im Folgenden werden wir die wichtigsten Funktionen von Session messenger untersuchen.
Session-Funktionen im Überblick.
Hier sind die Funktionen, die Sie bei der Bewertung von Session berücksichtigen sollten:
Es verwendet das von Signal inspirierte Session-Protokoll, das auf einem verteilten Onion-Routing-System für anonyme, dezentralisierte Kommunikation aufbaut.
100% Open-Source-Code (Der Code ist auf GitHub verfügbar).
Clients für Android, iOS, macOS, Windows, Linux.
Das System ist nach mehreren Monaten des Redesigns und Refactorings deutlich stabiler geworden.
Informationen zum Unternehmen Session.
Session ist ein Projekt der Loki Foundation. Die Loki Foundation (eingetragen als LAG Foundation, LTD) ist eine eingetragene gemeinnützige Stiftung mit Sitz in Victoria, Australien. Die Stiftung gibt an, dass es ihr Ziel ist, "...quelloffene, metadatenfreie Kommunikationswerkzeuge und Anwendungen zu entwickeln, die die Privatsphäre in der digitalen Welt schützen."
Hinweis: Loki-Produkte ändern ihren Namen in Oxen. Es wird wahrscheinlich einen längeren Zeitraum geben, in dem Loki und Oxen synonym verwendet werden.
Wo werden Ihre Sitzungsdaten gespeichert?
Nachrichten, die an Sie gesendet werden, werden tatsächlich an Ihren Schwarm gesendet. Die Nachrichten werden vorübergehend auf mehreren Serviceknoten innerhalb des Schwarms gespeichert, um Redundanz zu gewährleisten. Sobald Ihr Gerät die Nachrichten aus dem Schwarm abruft, werden sie automatisch von den Serviceknoten gelöscht, die sie vorübergehend gespeichert haben.
Hinweis: Dies ist nicht dasselbe wie eine Peer-to-Peer-Architektur. Siehe die Session-FAQ hier,
Session-Clients agieren nicht als Knoten im Netzwerk und leiten oder speichern keine Nachrichten für das Netzwerk weiter. Die Netzwerkarchitektur von Session ähnelt eher einem Client-Server-Modell, bei dem die Session-Anwendung als Client und der Service-Knoten-Schwarm als Server fungiert. Die Client-Server-Architektur von Session ermöglicht im Vergleich zu Peer-to-Peer-Netzwerkarchitekturen eine einfachere asynchrone Nachrichtenübermittlung (Nachrichtenübermittlung, wenn eine Partei offline ist) und eine auf Onion-Routing basierende IP-Adressenverschleierung.
Tests und Audits von Session durch Dritte.
Session verwendet jetzt sein Onion-Routing-Netzwerk. Letztes Jahr hat das Unternehmen eine Sicherheitsprüfung der Session Desktop-, Android- und iOS-Apps durch Quarkslab in Auftrag gegeben. Dieses Audit ist nun abgeschlossen und bietet gute Nachrichten für Session und seine Nutzer. Der Prüfbericht kommt unter anderem zu folgendem Schluss:
Oxen Session verbessert den Datenschutz und die Ausfallsicherheit von Signalen durch die Verwendung eines Overlay-Netzwerks für die bestehende Instant-Messaging-Lösung mit Ende-zu-Ende-Verschlüsselung erheblich. Die Zwiebel-Routing-Mechanismen nutzen die Snodes von Oxen zum Speichern und Austauschen von Nachrichten. Es gibt jedoch noch einige andere zentralisierte Standard-Webdienste, die über das Overlay-Netzwerk genutzt werden (für den Push-Dienst und die Übermittlung von Dateianhängen). Alle größeren Probleme sind schnell behoben worden.
Quarkslab Oxen Session Audit, Technischer Bericht
Session ist nun für den Einsatz in Fällen geeignet, in denen nachweislich und unabhängig verifizierte Sicherheit eine Voraussetzung ist.
Wie sicher und privat ist die Session?
Sobald die Session fertiggestellt und voll entwickelt ist, sollte sie super sicher, extrem privat, anonym und generell ausgezeichnet sein. Es ist jedoch unklar, wie weit das Produkt wirklich schon fertig ist.
Das Onion-Routing-System ist jetzt funktionsfähig, was ein großer Gewinn für die Sicherheit und den Datenschutz ist. Und der Quarkslab-Sicherheitsaudit zeigt, dass die Desktop-, Android- und iOS-Apps alle sicher sind.
Bedenken über Australien und Datensicherheit.
Was den Datenschutz und die Sicherheit Ihrer Daten angeht, müssen wir darüber sprechen, wo Session seinen Sitz hat. Wie bereits erwähnt, befindet sich der Sitz von Session in Australien. Leider ist Australien aus mehreren Gründen kein perfektes Land für den Datenschutz.
Wie wir kürzlich in unserem Leitfaden über die besten VPNs für Australien erörtert haben, hat das Land 2018 ein Gesetz zur Untergrabung von Verschlüsselung und Datensicherheit verabschiedet. Hier ist ein kurzer Überblick über dieses Gesetz:
Das australische Parlament hat am Donnerstag ein umstrittenes Verschlüsselungsgesetz verabschiedet, das Technologieunternehmen dazu verpflichtet, Strafverfolgungs- und Sicherheitsbehörden Zugang zu verschlüsselter Kommunikation zu gewähren. Datenschützer, Technologieunternehmen und andere Unternehmen hatten sich vehement gegen das Gesetz gewehrt, doch die Regierung von Premierminister Scott Morrison erklärte, es sei notwendig, um Kriminelle und Terroristen zu vereiteln, die verschlüsselte Messaging-Programme zur Kommunikation nutzen.
In Datenschutzkreisen wird das "Assistance and Access Bill" manchmal als "encryption-busting law" oder "anti-encryption law" bezeichnet, weil es so viel erlaubt. Dieses Gesetz würde sich grundlegend auf Unternehmen auswirken, die verschlüsselte Kommunikationsdienste anbieten, darunter Session, VPN-Dienste und andere auf den Schutz der Privatsphäre ausgerichtete Unternehmen. Dieses Thema stößt bei Datenschützern auf der ganzen Welt auf Kritik.
Nach dem Vorbild Australiens haben auch die US-Regulierungsbehörden vorgeschlagen, Technologieunternehmen zu zwingen, die Verschlüsselung zu brechen und damit die Überwachung zu erleichtern.
Die Loki Foundation, die hinter Session steht, hat dieses heikle Thema in einem Blogbeitrag angesprochen:
Als wir diesen Gesetzentwurf zum ersten Mal sahen, waren wir natürlich entsetzt. Die Möglichkeit, dass das Projekt durch diese Gesetzgebung völlig untergraben werden könnte, blieb nicht unbemerkt. Wir haben uns Gedanken darüber gemacht, wie wir Ausfallsicherheiten einrichten können, um zu verhindern, dass böser Code in unsere Codebasis eingeschleust wird, oder wie wir jemanden außerhalb von Loki dafür bezahlen können, dass er unsere Binärdateien, die wir veröffentlichen, regelmäßig überprüft und sicherstellt, dass sie keine zusätzlichen Informationen preisgeben oder in irgendeiner Weise nicht mit der Codebase übereinstimmen. Wenn wir eine TCN [Technical Capability Notice] erhalten würden, könnten wir niemandem davon erzählen. Wenn wir eine Art Kanarienvogel-System einrichten würden, könnten wir inhaftiert werden. Was auch immer wir also für eine Ausfallsicherung einrichten würden, müsste außerhalb von Loki liegen und uns regelmäßig überprüfen, um sicherzustellen, dass wir nicht kompromittiert wurden, bevor eine TCN ausgestellt wurde.
Letztendlich ist die Loki Foundation davon überzeugt, dass sie auch in diesem gefährlichen rechtlichen Umfeld einen sicheren Kurierdienst betreiben kann. Ihr Blogbeitrag zu diesem Thema geht wirklich tief in die technischen und rechtlichen Details, die Sie untersuchen können, wenn Sie die Zeit und Lust haben. Außerdem wird das Thema im FAQ-Thema mit dem Titel "Stellt die verschlüsselungsfeindliche Haltung der australischen Regierung ein Risiko für Session dar?" sowie in dieser Aktualisierung des ursprünglichen Blogbeitrags behandelt.
Sind Ihre Daten mit Session Messenger also sicher und geschützt?
Ich habe meine Zweifel, nachdem ich das Telecommunications and Other Legal Amendment (Assistance and Access) Bill 2018, allgemein bekannt als AA Bill oder TOLA, untersucht habe, aber Sie können Ihre eigenen Schlussfolgerungen ziehen.
Andere Datenschutzbedenken in Australien.
Es ist auch erwähnenswert, dass die Anti-Verschlüsselungsgesetzgebung nicht das einzige Datenschutzproblem ist, das Australien plagt. Bedenken Sie dies:
Obligatorische Vorratsdatenspeicherung - 2017 führte Australien eine obligatorische Vorratsdatenspeicherung ein. Dadurch sind alle Internetanbieter und Telefongesellschaften gezwungen, Verbindungsdaten für Regierungsbehörden für volle zwei Jahre zu speichern.
Five Eyes - Wir haben bereits darauf hingewiesen, dass Australien Mitglied der Überwachungsallianz Five Eyes ist. Diese Allianz arbeitet zusammen, um Daten zur Massenüberwachung zu sammeln und auszutauschen.
Und wenn Sie glauben, dass verschiedene Behörden diese Gesetze nicht ausnutzen, um Daten über Australier zu sammeln, dann irren Sie sich. Hier ist eine aktuelle Schlagzeile aus The Guardian:
Session Messenger FAQ.
Hier sind einige Fragen, die während der Recherche und des Schreibens dieses Updates häufig auftauchten.
Ist der Session-Messenger sicher?
Die kürzlich abgeschlossene Sicherheitsüberprüfung durch Quarkslab hat bestätigt, was wir schon lange geglaubt haben: der Session Messenger ist sicher. Aber die Maßnahmen der australischen Regierung zur Umgehung des Datenschutzes bei so ziemlich jeder App oder jedem Dienst (nicht nur bei Session) geben uns das Gefühl, dass Ihre Privatsphäre nicht garantiert werden kann, wenn Sie Session nutzen.
Was ist das Session-Protokoll?
Das Session-Protokoll ist ein neues Messaging-Protokoll, das von Session entwickelt wurde. Durch den Wechsel vom Signal-Protokoll zum Session-Protokoll wird die Sicherheit des letzteren beibehalten, während gleichzeitig Funktionen für Datenschutz/Anonymität und Dezentralisierung bereitgestellt werden. Das Ergebnis ist ein Protokoll, das gut mit der einzigartigen Architektur von Session zusammenarbeitet.
Fazit der Session-Bewertung.
Session ist ein vielversprechendes Produkt, das jedoch seine Vor- und Nachteile hat. Sobald es fertiggestellt ist, sollte es genauso sicher wie Signal sein, sogar noch privater als Signal, und auch anonym. Aber es gibt immer noch Bedenken bezüglich Australien, dem Datenschutz und der Fähigkeit der Loki Foundation, die Daten der Nutzer in dieser Umgebung zu schützen.
Last edited by a moderator:
