diff --git a/Messenger-Security-Guide.md b/Messenger-Security-Guide.md new file mode 100644 index 0000000..5ddc0aa --- /dev/null +++ b/Messenger-Security-Guide.md @@ -0,0 +1,133 @@ +**Signal · WhatsApp · Telegram · iMessage** +*Für technisch versierte Nutzer* + +--- + +## 1. Kontaktverifikation + +### Signal +- **Safety Numbers**: Unter Kontaktinfo → „Sicherheitsnummer anzeigen" → QR-Code scannen oder 60-stelligen Code per Sprachanruf vergleichen. +- Nach Gerätewechsel des Kontakts erscheint ein Hinweis „Sicherheitsnummer hat sich geändert" → immer neu verifizieren. +- Einstellung: `Einstellungen → Datenschutz → Erweitert → Sicherheitsbenachrichtigungen` aktivieren. + +### WhatsApp +- **Sicherheitscode**: Kontakt öffnen → „Verschlüsselung" → 60-stelligen Code vergleichen oder QR-Code scannen. +- Einstellung: `Einstellungen → Account → Sicherheit → Sicherheitsbenachrichtigungen` aktivieren → bei Schlüsselwechsel wird gewarnt. +- **Limitation**: WhatsApp ist closed-source; Metadaten (mit wem, wann) bleiben beim Anbieter. + +### Telegram +- Standardchats sind **nicht** E2E-verschlüsselt. E2E nur in „Geheimen Chats". +- **Geheimer Chat** starten: Kontakt antippen → `⋮ → Geheimen Chat starten`. +- Verifikation: Im Geheimen Chat erscheint ein Emoji-Block oben rechts → beide Seiten müssen identische Emojis sehen. +- Gruppen und normale Chats: MTProto-Verschlüsselung nur zum Server, nicht E2E. + +### iMessage +- E2E-Verschlüsselung automatisch zwischen Apple-Geräten (blaue Bubbles). Grüne Bubbles = SMS, unverschlüsselt. +- Kontaktschlüssel-Verifikation (iOS 16.2+): `Einstellungen → [Name] → Kontaktschlüssel-Verifikation` aktivieren → Kontakt direkt vergleichen. +- **Achtung iCloud-Backup**: Ohne „Erweiterter Datenschutz" liegen Nachrichtenschlüssel bei Apple. Aktivieren unter `Einstellungen → iCloud → Erweiterter Datenschutz`. + +--- + +## 2. Gerätewechsel & Schlüsseltransfer + +### Signal +- **Neues Gerät einrichten**: + 1. Signal auf neuem Gerät installieren, mit gleicher Nummer registrieren. + 2. Altes Gerät: `Einstellungen → Account → Konto übertragen` (iOS→iOS / Android→Android direkt; Cross-Platform via Backup). + 3. Nach Transfer: Alle bestehenden Kontakte erhalten eine Benachrichtigung über geänderte Sicherheitsnummer → erneute Verifikation nötig. +- **Backup** (Android): Verschlüsseltes lokales Backup via `Einstellungen → Chats → Chat-Backup` mit 30-stelligem Passphrase. +- **Kein Cloud-Backup** vorgesehen (bewusste Design-Entscheidung). + +### WhatsApp +- **Backup**: Google Drive (Android) oder iCloud (iOS) – Backup ist standardmäßig **nicht** E2E-verschlüsselt. + - E2E-Backup aktivieren: `Einstellungen → Chats → Chat-Backup → Ende-zu-Ende-verschlüsseltes Backup` → Passwort oder 64-stelliger Key. +- **Transfer**: Neues Gerät mit gleicher Nummer → Backup wiederherstellen. +- Kontakte sehen keinen expliziten Schlüsselwechsel-Hinweis, es sei denn Sicherheitsbenachrichtigungen sind aktiv. + +### Telegram +- **Kein Transfer nötig** für normale Chats → alles liegt auf Telegram-Servern, Login auf neuem Gerät reicht. +- Geheime Chats sind gerätespezifisch und **nicht übertragbar** → bei Gerätewechsel verloren. +- Sessions verwalten: `Einstellungen → Datenschutz → Aktive Sitzungen` → alte Sitzungen beenden. + +### iMessage +- iCloud-Sync: Bei gleichem Apple-Account sofort auf neuem Gerät verfügbar (wenn iCloud-Backup aktiv). +- Ohne iCloud: Nachrichten sind nicht übertragbar. +- Nach Gerätewechsel: Altes Gerät aus `Einstellungen → [Name] → Gerät entfernen`, sonst können beide Geräte Nachrichten empfangen. +- **Wichtig**: SIM-Karte oder verifizierte Nummer muss auf neuem Gerät aktiv sein. + +--- + +## 3. Mehrere Geräte (Multi-Device) + +| Messenger | Multi-Device | Anmerkung | +|-----------|-------------|-----------| +| **Signal** | Ja (Linked Devices) | Desktop & iPad als Sekundärgeräte; eigene Schlüssel pro Gerät | +| **WhatsApp** | Ja (bis 4 Geräte) | Companion Mode; jedes Gerät hat eigenen Schlüssel | +| **Telegram** | Ja, unbegrenzt | Normale Chats sync via Server; Geheime Chats nur auf Ursprungsgerät | +| **iMessage** | Ja (alle Apple-Geräte) | Sync via iCloud; Handoff zwischen Geräten | + +**Signal Linked Devices**: `Einstellungen → Verknüpfte Geräte` → QR-Code scannen. Jedes Gerät hat eigenen Identitätsschlüssel-Anteil. + +--- + +## 4. Telefonnummernwechsel + +### Signal +- `Einstellungen → Account → Nummer ändern` → neue Nummer eingeben → Kontakte werden automatisch benachrichtigt (optional). +- Chathistorie bleibt erhalten. + +### WhatsApp +- `Einstellungen → Account → Nummer ändern` → Kontakte und Gruppen werden migriert. +- Backup bleibt erhalten, wenn Backup vor dem Wechsel erstellt wurde. + +### Telegram +- Nummer ändern: `Einstellungen → Nummer ändern` → alle Daten bleiben erhalten (serverseitig gespeichert). + +### iMessage +- Alte Nummer aus iMessage deregistrieren: [appleid.apple.com/de](https://appleid.apple.com) oder `Einstellungen → Nachrichten → iMessage abmelden` vor SIM-Wechsel. +- **Kritisch**: Ohne Deregistrierung gehen iMessages an alte Nummer verloren (bekanntes Apple-Problem bei Wechsel zu Android/anderer Nummer). + +--- + +## 5. Kompromittierung & Account-Übernahme + +### Allgemein +- **2FA überall aktivieren**: + - Signal: `Einstellungen → Account → Registrierungssperre` (PIN) + - WhatsApp: `Einstellungen → Account → Verifizierung in zwei Schritten` + - Telegram: `Einstellungen → Datenschutz → Zwei-Schritt-Verifizierung` + - iMessage: Apple-ID 2FA unter `Einstellungen → [Name] → Passwort & Sicherheit` + +### Verdacht auf Kompromittierung +1. Aktive Sessions prüfen und fremde beenden (Telegram, WhatsApp Web). +2. Signal/WhatsApp: Alle verknüpften Geräte entfernen. +3. Nummer re-registrieren (setzt alle Schlüssel zurück). +4. Kontakte informieren, dass bisherige Kommunikation als kompromittiert gilt. + +### SIM-Swapping +- Besonders relevant für Signal und WhatsApp (SMS-basierte Registrierung). +- Mitigierung: Registrierungssperre (Signal-PIN / WhatsApp-2FA) verhindert Re-Registrierung ohne PIN, selbst bei SIM-Zugriff. + +--- + +## 6. Metadaten & Angriffsfläche + +| | Inhalt E2E | Metadaten beim Anbieter | Open Source | +|---|---|---|---| +| **Signal** | ✅ | Minimal (nur letzter Login-Zeitpunkt) | ✅ Client + Server | +| **WhatsApp** | ✅ | Umfangreich (Kontakte, Zeitpunkte, Gerätedaten) | ❌ | +| **Telegram** | ⚠️ Nur Geheime Chats | Vollständig (normale Chats) | ✅ Client, ❌ Server | +| **iMessage** | ✅ | Gering (bei aktiviertem erweitertem Datenschutz) | ❌ | + +--- + +## 7. Empfehlungen (Priorisiert) + +1. **Höchste Sicherheit**: Signal mit Registrierungssperre + Safety Numbers verifiziert + kein Cloud-Backup. +2. **Apple-Ökosystem**: iMessage mit erweitertem Datenschutz + Kontaktschlüssel-Verifikation. +3. **WhatsApp**: Nur mit E2E-Backup + 2FA + Sicherheitsbenachrichtigungen aktiv. +4. **Telegram**: Ausschließlich Geheime Chats für sensitive Kommunikation; normale Chats als unverschlüsselt behandeln. + +--- + +*Stand: April 2026*