Signal ohne eigenes Smartphone

Screenshot von Signal Desktop

Screenshot von Signal Desktop

So könnt ihr Signal auch ohne ein eigenes Smartphone verwenden.

Signal etabliert sich immer mehr zum Standard für sichere Kommunikation. Es hat die aktivste Community, die mordernste Verschlüsselung und mit Edward Snowden und der Oscar-Preisträgerin Laura Poitras auch die prominentesten Fürsprecher. Die Bedienung ist super einfach und lehnt sich an den Marktführer WhatsApp an. Dies ist eine gute Entscheidung um den Massen einen einfachen Umstieg zu ermöglichen. So gut und richtig die Entscheidung auch ist, sich an einem Dienst zu orientieren der bereits 800 Millionen Nutzer hat, so bringt dieser Schritt auch einige Nachteile mit. Unter anderem den, dass eine Nutzung nur am Computer ohne ein eigenes Smartphone nicht vorgesehen ist. Trotzdem ist es mit ein paar Tricks möglich genau dies zu erreichen. Dafür braucht ihr nur während der Installation ein Android Smartphone eines Freundes. Danach könnt ihr Signal auch am Computer verwenden. Dieser Text ist eine Anleitung und beschreibt euch genau, wie es funktioniert.

Vor dem Start

Vor dem Start einige Hinweise: Für die Installation benötigt ihr das Android Smartphone eines Freundes. Nach der Installation könnt ihr Signal aber ohne eigenes Handy verwenden. Dies führt Allerdings zu einigen Einschränkungen – insbesondere ist es so nicht möglich Kontakte anzulegen. Im Chat seht ihr also nur die Telefonnummern der Gesprächspartner. Trotzdem ist die Verwendung von Signal Desktop ohne Smartphone immer noch komfortabler als die meisten anderen sicheren Kommunikationsmethoden – wie zum Beispiel PGP mit manuellem Schlüsselaustausch. Des Weiteren ist zu beachten, dass sich Signal Desktop noch im Betastadium – also in der Testphase befindet. Das bedeutet, es ist nicht ausgeschlossen, dass die aktuelle Version noch Fehler enthält.

Um Signal Desktop während des Betastadiums regulär zu verwenden, wäre es eigentlich erforderlich sich mit einem validen Google-Account in eine Warteliste einzutragen. In dieser Anleitung zeigen wir aber wie ihr dies auch umgehen könnt um Signal Desktop ohne Wartezeit und ohne Google-Account installieren und verwenden zu können. Wenn ihr euch dafür entscheidet Signal Desktop nicht über mit Google-Account und Warteliste über den Chrome Web Store zu beziehen, so führt dies aber auch dazu, dass die Anwendung nicht automatisch aktualisiert wird. Ihr seid also selbst dafür zuständig die Anwendung regelmäßig zu aktualisieren. Dafür könnt ihr die Schritte dieser Installation einfach wiederholen.

Keine Haftung

Wie bereits erwähnt handelt es sich bei der Software noch um eine Testversion. Wir können keine Haftung für Schäden übernehmen die durch das Programm oder das Ausführen unserer Anleitung entstehen.

Das wird benötigt

Um Signal Desktop ohne eigenes Smartphone zu verwenden benötigt ihr die folgenden Dinge:

- Ein geliehenes Android Smartphone (Wird nur für die Installation benötigt

- Einen PC, MAC oder Linux-Rechner mit der aktuellen Version des Browser Chrome oder Chromium

- Eine Telefonnummer mit der ihr euch bei Signal registriert

Schritt 1: Besorgt euch Signal Desktop

Wie bereits in der Einleitung erwähnt, gibt es zwei Wege um zum jetzigen Zeitpunkt Signal Desktop zu beziehen. Möglichkeit A über die Warteliste und Möglichkeit B über GitHub. Weg A ist deutlich einfacher, dafür braucht ihr einen Google-Account und müsst mit ein paar Tagen Wartezeit rechnen. Möglichkeit B ist etwas komplizierter und ihr müsst euch später selber um Aktualisierungen kümmern. Je nachdem wofür ihr euch entscheidet müssen jetzt ihr Schritt 1 A oder 1 B ausgeführt werden.

Schritt 1 A: Besorgt euch Signal Desktop über Warteliste

Geht auf den Artikel https://whispersystems.org/blog/signal-desktop/ und klickt auf „Joint he Beta“. Tragt euren Google-Account ein. In ein paar Tagen solltet ihr eine Nachricht erhalten und ihr könnt Signal Desktop wie eine normale Chrome Erweiterung installieren.

Sollte Signal nach der Installation nicht automatisch starten so geht auf Seite chrome://extensions/. Dort solltet ihr Signal Desktop als Erweiterung aufgelistet sehen. Ihr könnt es durch einen Klick auf „Launch“ starten.

Schritt 1 B: Besorgt euch Signal Desktop über Warteliste über GitHub

Die aktuelle Version von Signal Desktop könnt ihr euch herunterladen unter: https://github.com/rmoorman/Signal-Desktop. Dort auf der Seite auf „Download ZIP“ klicken, das ZIP-Archiv herunterladen und in einen Ordner eurer Wahl entpacken. Wir nehmen hier einfach den Pfad C:\ an. Die Installation befände sich also in dem Ordner: C:\Signal-Desktop-master

Bei der heruntergeladenen Version handelt es sich nur um eine Testversion. Um diese mit den anderen Signal-Mitgliedern nutzen zu können müsst ihr noch zwei Links ändern. Dafür müsst ihr die folgenden beiden Dateien zum Beispiel mit dem Windows Editor öffnen.

C:\Signal-Desktop-master\Gruntfile.js

C:\Signal-Desktop-master\js\background.js

In den Dateien müsst ihr jeweils den String „textsecure-service-staging.whispersystems.org“ finden und ihn durch den String: „textsecure-service.whispersystems.org“ ersetzen. Danach abspeichern.

Euer Browser muss noch die Zertifikate vom Signal Server lernen. Dafür reicht es die Adresse „textsecure-service.whispersystems.org“ mit eurem Chrome oder Chromium aufzurufen. Nun sollte eine Fehlermeldung erscheinen wie „Your Connection is not private“. Klickt auf „Advanced“ und auf „Proceed to textsecure-service.whispersystems.org (unsafe)“.

Hinweis: Dies muss gemacht werden, da das Zertifikat von Signal dem Browser Chrome noch nicht bekannt ist. Sobald aber das Teststadium vorbei ist und eine richtige Version von Signal Desktop erscheint, sollte dieser Schritt überflüssig werden.

Um Signal Desktop zu starten öffnet ihr euren Chrome und geht auf die Seite chrome://extensions/. Aktiviert oben rechts „Developer Mode“. Klickt dann auf „Load unpacked extension…“ wählt nun den Ordner aus, in dem Signal Desktop liegt. In diesem Fall also „C:\Signal-Desktop-master“. Falls Signal nicht automatisch startet klickt auf „Launch“ bei der Erweiterung „Signal Private Messenger“.

Schritt 2: Signal auf leih Smartphone installieren

Nun müsst ihr Signal auf dem Smartphone eures Freundes installieren. Die App findet ihr unter „Signal“ in Googles Playstore. Beim ersten Start werdet ihr nach einer Handynummer gefragt – gebt hier nicht die Nummer des Leih-Handys ein, sondern die Nummer mit der ihr euch selbst bei Signal registrieren wollt. Ihr müsst unter dieser Nummer anrufbar sein. Die App wartet nun zwei Minuten auf eine Registrierungs-SMS die aber nur an die andere Nummer gesendet wird. Danach könnt ihr auswählen: “Mich anrufen”. Ihr bekommt dann nach ein paar Sekunden (Kann bis zu 2 Minuten dauern) einen Anruf unter der angegebenen Nummer. Auf Englisch wird euch eine sechsstellige Zahlenkombination durchgegeben. Diese notiert ihr und gebt sie anschließen ein. Nun kann Signal auf dem geliehenen Smartphone verwendet werden.

Hinweis: Sollte Signal bereits installiert sein, so ist es am einfachsten Signal einmal zu löschen und wieder neu zu installieren. Beachtet dabei auch die Hinweise in dem Artikel: http://support.whispersystems.org/hc/en-us/articles/212535818-What-do-I-do-if-I-get-a-new-number-What-if-I-am-switching-to-a-new-phone-
Schritt 3: Geräte koppeln

Als letzten Schritt müsst ihr die Gräte koppeln. Dafür klickt ihr bei Signal Desktop auf „Get Started“ und auf „I have Signal für Android“. Wenn alles richtig funktioniert sollte jetzt ein QR-Code erscheinen. Nun greift wieder zum Smartphone eures Freundes. Öffnet Signal und öffnet hier das Menü (Drei Punkte oben rechts) und geht auf „Einstellungen“. Wählt nun „Verknüpfte Geräte“ aus und klickt auf das „+“. Nun seht ihr ein Bild der Kamera das ihr auf den QR-Code halten müsst. Bei Erfolg werden ihr auf dem Handy gefragt „Dieses Gerät Verknüpfen?“. Wählt „Gerät verknüpfen“ aus. Auf Signal Desktop wird euch eure Handynummer angezeigt. Geht auf „Looking Good“. Es werden nun Schlüssel generiert. Danach seit ihr Fertig und könnt Signal Desktop normal verwenden. Ihr könnt Signal jetzt auf dem Smartphone eures Freundes löschen.

Fertig

Ihr könnt Signal Desktop nun ohne das Smartphone verwenden. Support erhaltet ihr auch auf der Seite: http://support.whispersystems.org. Bitte gebt uns doch ein Feedback, wie gut die Installation bei euch geklappt hat. Wir freuen uns über alle Kommentare, Fragen und Hinweise!!!

TextSecure statt Pribook

Nach langer und gründlicher Überlegung habe ich entschieden, mich dem offenen Entwicklerteam um die Messenger-App TextSecure anzuschließen. Die Entwicklung an pribook.com werde ich stattdessen einstellen.

Es sind vor allem zwei Dinge die mich dazu bewogen haben keine neue Version des sozialen Netzwerkes zu veröffentlichen und die alte Version offline zunehmen. Zum Einen hat sich das Nutzerverhalten in den letzte drei Jahren spürbar zu Gunsten von Messenger-Diensten verändert. Diese sind durch ihr Wesen deutlich einfacher gegen Überwachung zu schützen. Zum Anderen hat die Heartbleed-Lücke in OpenSSL die Sichtweise auf sicherheitsrelevante Software stark verändert. Auch wenn pribook.com direkt gar nicht betroffen ist, so dürfte es doch deutlich schwerer sein Vertrauen für ein solches Produkt zu gewinnen.

Gleichzeitig ist TextSecure ein sinnvolle Anwendung die ohne das Zutun der Nutzer SMS und Nachrichten verschlüsselt. Der sicherheitsrelevante Code beschränkt sich auf einen kleinen Teil, so dass Lücken hier deutlich einfacher ausgeschlossen werden können. Die Installation einer App stellt heutzutage keine Hürde mehr für durchschnittliche Endverbraucher dar. Das Projekt ist etabliert, hat eine großer Entwicklergemeinde hinter sich und verfügt über genügend Ressourcen. Daher werde ich ab nun Arbeitszeit in dieses Projekt investieren um TextSecure besser zu machen und so möglichst vielen Menschen die Möglichkeit zu geben ihre Kommunikation zu verschlüsseln.

Hintergrund: pribook.com
Pribook.com ist ein Ansatz für ein sicheres soziales Netzwerk, den ich im Rahmen meiner Diplomarbeit entwickelt habe. Alle Daten der Endanwender werden automatisch schon auf ihrem Computer verschlüsselt. So haben Hacker und Geheimdienste keine Chance an ihre Daten zu kommen. Da alles schon auf dem PC der Endanwender verschlüsselt wird, können selbst die Betreiber des Netzwerkes nicht auf ihre Daten zugreifen. Die Verschlüsselung findet dabei komplett im Webbrowser statt, daher muss keine zusätzliche Software installiert werden. Die Herausforderung hierbei besteht darin, dass potentiell fast alle Bereiche der Software Sicherheitsrelevant sind. Daher muss ein großer Teil des Quellcodes genau untersucht werden. Zudem besteht die Prämisse, dass der Webbrowser nicht komprimiert ist – gerade nach dem großen Fehler in SSL scheint dies nicht unbedingt selbstverständlich.
Weitere Informationen über die Funktionsweise von Pribook sind in der Diplomarbeit und in den Folien des Diplomvortrags zu finden.

Hintergrund: TextSecure
TextSecure ist eine App für Android die SMS-Nachrichten der Nutzer verschlüsselt. Ähnlich wie die Dienste WhatsApp und Threema ersetzt TextSecure die normale SMS-Anwendung von Android. Die Verschlüsselung findet ohne Mithilfe des Nutzers und weitgehend unbemerkt statt. Lediglich ein kleines Schlosssymbol deutet darauf hin, dass die Nachrichten verschlüsselt versendet werden. Die Verschlüsselung funktioniert natürlich nur, wenn beide Seite die App nutzen. In diesem Fall, kann die Nachricht auch über einen Onlinedienst versendet werden, so dass keine SMS-Gebühren anfallen. Lediglich stichprobenartig müssen die Anwender die öffentlichen Schlüssel ihrer Kontakte überprüfen um eine Kompromittierung auszuschließen. Aus meiner Sicht ist es auch dieser einfache Ansatz, der die App zur realistischen Alternative macht.
TextSecure verwendet einen erweiterten Diffie-Hellman-Schlüsselaustausch für den es nicht notwendig ist, dass beide Parteien zur gleichen Zeit online sind. Dieses Verfahren wird TextSecure V2 genannt und es ermöglicht die vier Anforderungen an ein vertrauliches Vier-Augen-Gespräch: Authentizität, Vertraulichkeit, Forward Secrecy und Abstreitbarkeit.
Die Entwicklung von TextSecure unter GPL wird von der Firma Open WhisperSystems betreut, die seit 2011 zu Twitter gehört. Neben dem Messenger-Dienst für Android entwickelt die Firma unter Anderem auch an einer Version für das iPhone und einer App für verschlüsselte Telefonie.