Liebe Wissenden!

Ich wurde gerade (geschäftlich) zu einer Gruppe im Signal Messenger eingeladen. Also habe ich mir Signal auf das iPhone geladen und nach der Aufforderung meine Kontakte freizugeben abgebrochen.
Meine Kommunikation lief bislang nur mit Bordmitteln - hat bis jetzt immer gelangt. Den Gerüchten zufolge soll Signal (neben Threema) unproblematisch sein, was den Datenschutz anbelangt. Muss ich also zwingend meine kompletten Kontakte freigeben um diesen Messenger zu nutzen?

Grübel…

Na ja, die Messenger erkennen automatisch, ob jemand in deinen Kontakten ebenfalls diesen Messenger benutzt. Dazu müssen sie halt auf deine Kontakte zugreifen können.
Könnte man auch anders machen, aber dann müsste man im Prinzip bei jedem Kontakt nachfragen. Das ist den meisten Menschen zu umständlich.

Einen guten und umfangreichen Überblick über die div. Messenger bietet Mike Kuketz an: damit geht es los, und unter geht es direkt zu Signal.
Ich hoffe, du hast heut nix anderes mehr vor

Mike Kuketz fällt eigentlich ein ziemlich gutes Fazit im oben von maculi verlinkten Artikel:

Eigentlich deswegen, weil Signal seit einiger Zeit versucht, ein Payment-System einzupflegen, was durchaus auch kritisch gesehen wird. Alles in allem ist Signal als Messenger aktuell immer noch ziemlich gut. "crypto for the masses", wie im Kuketz-Artikel zitiert wird.

Wenn Du Deine Kontakte für Signal nicht freigeben willst, sag doch einfach nein und mache weiter mit der Einrichtung. Wo ist da das Problem?

Bei Signal gebe ich immer manuell meinen anderen Gesprächspartner bei Erstkontakt „frei“., sprich: keine Freigabe des Adressbuches.
Ich will auch gar nicht das jeder der in meinem Adressbuch steht weiss das ich auch Signal nutze.

Gilt übrigens auch für alle anderen verwendeten Messanger.

Guten Morgen,
gilt das auch für Whatsup?
Denn das ist der Hauptgrund weshalb ich Whatsup nicht nutzen will.
Vor Jahren habe ich versucht Whatsup ohne zugriff auf die kompletten Kontakte zu installieren, aber es ging nicht.
Hat sich das geändert?
Kann ich Whatsup einzelne Kontakte freigeben?
Danke

Im Gegensatz zu WA, wo das Adressbuch (verschlüsselt) tatsächlich übertragen wird, bildet Signal lokal auf dem Smartphone Hashes deiner Kontakte, sowie den Hash deiner registrierten Nummer. Letzterer wird zu Signal geschickt.
Anschließend werden die Hashes abgeglichen, um herauszufinden, welcher deiner Kontakte Signal benutzt. Dieser Abgleich findet ebenfalls lokal auf dem Smartphone.
Einfach gesagt. Ziemlich ok, wie ich finde.

Einfach den Kontaktzugriff ablehnen. Da kommt dann alle paar Wochen eine Anfrage, dass Signal gerne den Zugriff will, was ich logischerweise immer ablehne

Wie caMpi schon geschrieben hat: Signal bekommt im Gegensatz zu Whatsapp (Facebook/Meta) nicht die Kontakt-Daten, sondern nur Hashes der Handynummern.

Das nun sicher nicht. Den Abgleich kann man nicht auf dem Telefon lokal machen.

Was man machen kann, ist die von Dir geschickten Hashes mit bei Signal gespeicherten Hashes abzugleichen - das muß bei Signal passieren, weil sie sonst eine Liste aller ihrer Hashes zu Dir übertragen müßten - und die Liste der Treffer zurück an Dein Telefon zu senden. Damit kannst Du dann wieder umgekehrt den Abgleich mit dem Telefonbuch lokal machen.

Aber noch ein Wort zu "da werden keine Telefonnummern übertragen, sondern nur Hashes". Das ist kryptographisch ein wenig Augenwischerei. Die Menge der Klartext-Werte (mögliche Telefonnummern) ist im Unterschied zu z.B. E-Mails ziemlich klein und überschaubar, da ist es nicht wirklich ein unlösbares Problem, aus einem Hash auf eine Telefonnummer zu schließen. Man kann es erschweren, indem z.B. man einen langsamen Hash-Algorithmus verwendet und zusätzlich zur Nummer ein paar Stellen "Salt" mit einbaut, aber unmöglich ist es beileibe nicht.

Dann habe ich aber nur eine Liste mit Telefonnummern und keine Namen dazu.
Eine reine Telefonnummern-Liste bekomme ich auch mit einem Call-Bot zusammen, der einfach alle möglichen Nummern durchprobiert und schaut welche tatsächlich funktioniert.

Ganz so einfach ist es nicht.

Wenn Signal daran ein Interesse hätte (was ich nicht annehme, aber annehmen kann man viel), dann hätten sie damit nicht nur eine Liste von Telefonnummern, sondern auch den "social graph" der Beziehungsgeflechte zwischen den Nutzern dieser Nummern. Das ist etwas, das man nicht mit einem Call-Bot hinbekommt.

Das ist Haarspalterei. Natürlich kann der Client nur die Adressen bei Signal anfragen, die er selbst hat.
Im Link von athlonet und in dem Folgelink ist der Vorgang genau beschrieben.
Kryptographisch sind die Hashes auf einem aktuellen Stand.
Auch Microsoft bietet den Sync von Passwort-Hashes an, wo ein ähnliches Verfahren verwendet wird. Das wird momentan auch noch nicht als unsicher erachtet - abgesehen davon, dass es Microsoft ist.
Natürlich sind Rufnummern in ihrer Länge begrenzt, aber Signal vertritt nicht den Ansatz, Nutzerdaten zu sammeln.
Um auf die Ausgangsfrage zurück zu kommen: Aus Sicht des Datenschutzes und der Sicherheit ist das Verfahren von Signal in Ordnung.

Das bezweifle ich nicht. Ebensowenig wie ich bezweifle, daß Signal nicht die Absicht hat, irgendetwas in dieser Art zu tun. Da erfreulicherweise der Betreiber eine gemeinnützige Stiftung ist, kann auch niemand sie kaufen und andere Ziele definieren. Insofern betrachte ich Signal auch als relativ sichere Bank.

Mein Argument zielt auf "Da werden nur Hashes übertragen, keine Telefonnummern". Und das ist, genügend bösen Willen vorausgesetzt, kein Freibrief. Der Unterschied darin, ob Signal Hashes von Telefonnummern überträgt oder ob das Microsoft oder Facebook tun, ist genau der, daß Signal vertrauenswürdig ist und die beiden anderen nicht. Das Verfahren an sich ist nicht wasserdicht.

Abgesehen davon ist auch Signal nicht gegen Datenleaks gefeit. Und wenn Daten da sind, die in falsche Hände geraten können, ist es grundsätzlich schlechter als wenn es gar nicht erst Daten gibt.

Kann ich persönlich nichts zu sagen; hab schon viele Jahre kein WA mehr "in der Hand gehabt".

Und wie soll der Dienst deiner Meinung nach überhaupt funktionieren, ohne dass Signal die gehashten Telefonnummern speichert?
Wenn du eine Nachricht verschickst, ist die an eine Telefonnummer adressiert. Signal muss die Nachricht dem entsprechenden Account zuordnen können.

Das definitiv. Der Unterschied von Signal zu den anderen ist auch die Absicht, an Daten zu gelangen. Natürlich speichert Signal auch Daten, aber eben nur die gehashten Nummern der Nutzer - was außer bei p2p halt irgendwie notwendig ist - aber nicht die gesamten Telefonbücher.Wegen mir könnten sie meine Rufnummer auch in Klarschrift übertragen, so lange sie mein Adressbuch und sonstige Daten nicht von mir ausschnüffeln.

(Ironie an)
Eine Verschwörungstheorie besagt, dass Krytowährungen nur geschaffen wurden, um Freiwillige zu finden, die per Distributed Computing richtig viele Hashes aus Daten berechnen. Könnte man dann schön fein säuberlich in einer Datenbank einpflegen und per Suche nach den Hashes den Datensatz, für den er berechnet wurde, auflösen. Könnte am Ende billiger sein als per Brute-Force Hashes für Datensätze zu generieren, nach denen man sucht.
(Ironie aus)

So wie z.B. Threema mit einer eindeutigen ID.

Nochmal: Ich habe kein Problem damit, wie Signal arbeitet. Es ist aber nicht alternativlos.

Die Identifikation über Telefonnummern mag für Apps auf Telefonen naheliegend sein, ist aber gegenüber frei gewählten Benutzernamen wie früher bei Chatprogrammen auf Computern ein ziemlicher Rückschritt. Nicht nur wegen des Datenschutzes, sondern auch weil es viel schwieriger ist, verschiedene Geräte und verschiedene Accounts so zu benutzen, wie es für einen sinnvoll ist.

Geht nicht für einzelne Kontakte. Es gibt für WhatsApp nur ein "ganzes Adressbuch oder gar nichts".
Hab den Zugriff auf das Adressbuch schon seit langem abgestellt für WhatsApp.
Lässt sich schon auch so benutzen. Es fehlt lediglich die Nummernauflösung zu Namen - d.h. die ganze Liste besteht nur noch aus Telefonnummern und keine Namen von Individuen mehr. Falls es ein Gruppenchat ist, ist der Gruppenname ersichtlich, ansonsten musst du entweder die Nummern gut kennen oder falls aussagekräftiges Profilbild hinterlegt wurde daran deinen Chatpartner erkennen. Spätestens wenn du in einen Chat klickst sollte der Kontext oder erwähnte Namen in Nachrichten helfen sich zu erinnern mit wem man da chattet

WhatsApp hab ich zwar grundsätzlich durch Signal ersetzt, aber wegen vereinzelter Personen noch nicht ganz löschen können.

@waldemarmac
Einen wichtigen "Komfort"-Punkt habe ich vergessen:
wenn man den Zugriff auf das Adressbuch deaktiviert hat, kann man als Benutzer keine neuen Chats starten. Beispiel: du hast einen neuen Kontakt, dann kannst du nicht als erstes einen 1:1-Chat mit der Person in WhatsApp starten. Dein Gegenüber (unter der Annahme, dass die Person den Zugriff auf das Adressbuch nicht unterbunden hat) muss den Chat starten. Das mag für viele nicht praktikabel sein, da man immer die Gegenseite erst bitten muss den Chat initial aufzumachen, weil man selbst die Möglichkeit dazu nicht mehr hat.

Wenn sich also 2 Personen treffen, die beide den Adressbuch-Kontakt unterbunden haben, haben die keine Chance sich via WA zu unterhalten

Grad was getestet: sollte die "neue Person" bereits in einem Gruppenchat Teilnehmer sein, dann kann man eine neue 1:1 Konversation selber starten. Wäre noch ein "kleiner Work-Around", der aber nur dann funktioniert, sollte die Person wie gesagt bereits in einem Gruppenchat dabei sein.

Wenn es um einen enger begrenzten Kreis gehört (zB Mitglieder eines Vereins) kann man theoretisch Signal oder Threema selbst aufsetzen. Der Source-Code ist ja verfügbar. Man muss dann nur den Server selbst hosten (lassen) und die App mit der entsprechenden URL bereitstellen. Hat aber dennoch Haken und Ösen.

Ich habe bei mir schon mal einen "Rocket-Chat" in einer Linux-VM aufgesetzt - wir wollten da an einem Bot arbeiten. Lässt sich auch machen. Funktioniert dann im Browser und in den Apps (Desktop und Mobil-Geräte) kann man die Server URL selbst konfigurieren - auch mehrere und dann dazwischen wechseln). Wenn man selbst hostet hat man eindeutig die Kontrolle darüber, was mit den Daten passiert - aber dafür auch die Verantwortung.
Neben RocketChat gibt es sicher noch andere Lösungen...