Signal App ist kostenlos nutzbar und wird von der Signal Foundation finanziert. Die Kapitaleinlagen der Fondation stammen u.a. von WhatsApp Gründer Brian Acton ($105 Mio.) und von der Shuttleworth Foundation. Der Quellcode ist bei Github verfügbar.
Signal wird von Security-Experten aufgrund der guten Ende-zu-Ende Verschlüsselung empfohlen.
I'm not really into advertising for stuff here but the recent update of TextSecure made a gigantic impression on me. The application works well, is user friendly and looks great. (C. Mulliner)
For the record - @moxie writes crypto software that blinds the #NSA & #GCHQ. He is their nightmare. Usable crypto developer with a backbone! (J. Appelbaum)
Für Forensikexperten von Elcomsoft und Cellbrite ist Signal "state of the art" unter Messengern.
Aus Sicherheitsgründen kann man Signal App nur mit einem Smartphone nutzen. Mehrere Smartphones mit dem gleichen Account sind nicht möglich. Zusätzlich kann man bis zu 5 Desktop Clients mit dem Account verbinden. Um Signal-Desktop mit einem Account zu verbinden, muss man den QR-Code von der Desktop App mit dem Smartphone scannen.
Neben der Verschlüsselung setzt Signal auch konzeptuell neue Standards für Messenger. Alle Nachrichten, Mitgliedschaften in Gruppenchats, persönliche Daten wie das Profilfoto usw. werden lokal auf dem Smartphone gespeichert. Die Server transportieren nur verschlüsselte Nachrichten und Statusinformationen zu den Empfängern, ohne die Absender zu kennen (Sealed Sender).
Für brisante Inhalte gibt es verschwindene Nachrichten. Wenn diese Option für einen Chat aktiviert wird, werden die Nachrichten eine einstellbare Zeit nach dem Lesen auf beiden Seiten gelöscht. In den Einstellungen kann man einen Standardwert für alle neuen Chats definieren.
Dass Signal App die Telefonnummer als Identifier verwendet, wird oft kritisiert (Datensparsamkeit usw.) Dabei wird unterschlagen, dass die Verifizierung des Gegenüber anhand der Telefonnummer ein Sicherheitsfeature sein kann. Man kann relativ sicher sein kann, dass man wirklich mit der Person verbunden ist, mit der man die Telefonnummer ausgetauscht hat, die im Adressbuch gespeichert ist, und nicht irgendein unbekannter Dritter sich durch Vorspielung einer falschen Identität Vertrauen erschleicht. Außerdem erleichtert es das Finden von Kontakten und Etablieren einer sicheren Kommunikation mit Freunden und Bekannten, was das Hauptziel von Signal App ist.
Signal bietet auch verschlüsselte Audio- und Videotelefonie. Ein Telefonanruf oder Videocall mit einer anderen Person startet man am einfachsten im Chatfenster:
Ob Signal-Anrufe in der globalen Call History angezeigt und damit in die iCloud oder Google Cloud synchronisiert werden, ist in den Einstellungen unter "Datenschutz" konfigurierbar.
Videokonferenzen (Group Calls) mit bis zu 40 Teilnehmern sind möglich. Für eine Videokonferenz erstellt man eine Gruppe mit den gewünschten Teilnehmern und tippt auf "Group Call".
Man kann ein Foto knipsen und/oder einen kurzen Text verfassen und an eine vorbereitete Empfängergruppe schicken. Bei den Empfängern werden die Storys für 24h wenig störend im Story-Tab angezeigt und dann automatisch gelöscht. In den Einstellungen kann man unter "Storys" mehrere Gruppen von Empfängern vorbereiten (Familie, Freunde…) oder die Funktion abschalten.
Ähnlich arbeitet Signal App. Die (verschlüsselten) Nachrichten werden an Kontakte gesendet, die über die Telefonnummer addressiert werden. Die Namen als Bezeichner (Anzeige) und die Telefonnummern als Adressen von Kontakten holt sich Signal primär aus dem Adressbuch.
Beim Zugriff auf das Adressbuch bemüht sich Signal um einen Kompromiss zwischen einfacher Benutzbarkeit und Privatsphäre. Wenn man nach neuen Kontakten sucht, werden die Hashwerte der Telefonnummern aus dem Adressbuch zu den Servern hochgeladen aber dort nicht dauerhaft gespeichert. In einem Blogartikel erklärt M. Marlinspike das Verfahren.
Wenn man sein Smartphone verliert oder wechselt, dann verliert man ohne Backup auch alle Daten, die Signal App gespeichert hat, da alle Daten ausschließlich lokal auf dem Smartphone gespeichert werden und nicht auf Servern. Das Backup-Konzept von Signal App ist dreistufig:Ein Blogartikel erläutert die Voodoo Magie, wie aus einer einfachen, numerischen PIN ein starker Schlüssel für die Verschlüsselung abgeleitet wird. Man kann beim Festlegen der PIN aber auch eine alphanumerisches Passphrase als PIN wählen.
Die Erinnerungsfunktion soll dabei helfen, die PIN auswendig zu lernen. Wenn man PIN bzw. Passphrase in einem Passwortspeicher wie KeepassXC speichert, braucht man es nicht.
Außerdem kann eine Registrierungsperre für die Übernahme des Accounts auf ein anderes Smartphone aktiviert werden, wenn die PIN aktiviert wurde. Nach Ansicht der Entwickler reichen 7 Tage aus, um alle Kontakte zu informieren, dass man einen neuen Account hat.
In der Sektion "Erweitert" kann man die Signal-PIN auch wieder deaktivieren.
Signal App verwendet keine eigenen Server für die Infrastruktur sondern die Clouds von Microsoft, Google, Amazon und Cloudflare. Die Software nutzt Features wie Azure Confidential Computing oder SGI Secure Enclave, um die sensiblen Daten gegenüber dem Cloud Provider zu schützen.