Signal: Mit LibreSignal auch ohne Google vertraulich texten

Aus den beiden separaten Apps Textsecure (Messenger) und Redphone (Telefonie) wurde auf Android eine Anwendung: Signal
Nutzer eines Apple Gerätes kommen schon länger in den Genuss von Signal als eine App, die sowohl Messenger und Telefonie vereint – und das Ganze natürlich Ende-zu-Ende-verschlüsselt.

An sich ja eigentlich eine super Gelegenheit endlich auf einen sicheren und dazu noch quelloffenen Dienst am Handy zu wechseln. Dennoch gibt es leider einige nicht ganz banale Gründe, warum viele zögern oder auf „Alternativen“ wie ChatSecure ausweichen: „Proprietäre Software Abhängigkeiten“

Google Play

Eines der wichtigsten Gegenargumente ist, dass man zur Installation Signals von Whispersystems den Google Playstore braucht. In alternativen Appstores wie Fdroid sucht man Signal vergebens. Zu Zeiten von TextSecure und RedPhone waren die Anwendungen zwar kurz in Fdroid verfügbar, wurden aber nach Bitten der Entwickler wieder entfernt.

Soweit so gut schlecht, aber mittlerweile gibt es ein inoffizielles Repository, welches Signal wieder bei Fdroid anbietet. Um weitere Streitigkeiten zu vermeiden wurde der Name abgeändert zu:

LibreSignal

LibreSignal in Fdroid
LibreSignal in Fdroid

Auf der Projektseite Eutopia.cz F-Droid Repository lässt sich durch Öffnen des Links https://eutopia.cz/fdroid/repo mit Fdroid die neue Paketquelle zum Appstore hinzufügen und danach LibreSignal installieren. Die Version ist bis auf den Namen nicht verändert worden und wird laut dem Bereitsteller des Repos regelmäßig mit den neuen Updates versorgt.

Paketquelle mit Fdroid öffnen
Paketquelle mit Fdroid öffnen

GCM

Der nächste gute Punkt, Signal nicht einzusetzen ist, dass die App Google Cloud Messaging (GCM) vorraussetzt bzw. verwendet und ohne erstmal unbenutzbar wird. Doch auch dafür gibt es glücklicherweise eine Lösung. Auf github betreut der Benutzer JavaJens einen Fork von TextSecure ohne GCM. Als Alternative kommt WebSocket zum Einsatz.
Auch diese Version wird vom Eutopia.cz F-Droid Repository bereitgestellt und zwar im Experimental Repository: https://eutopia.cz/experimental/fdroid/repo

LibreSignal
LibreSignal

Ob die Websocket Version irgendwann auch in die offiziellen Builds von Signal einfließen wird steht derzeit noch in den Sternen. Liest man sich einigen Github Kommentare durch, erhält man den Eindruck, dass man nicht davon ausgehen kann.

Der Server von Whispersystems selbst unterstützt Websocket unter anderem auch für die in der Entwicklung steckende Version von Signal als Chrome-Erweiterung. Daher kann darauf gehofft werden, dass der WebSocket-Fork trotzdem funktionstüchtig weitergeführt werden kann.

In meinem KURZEN Test läuft die WebSocket-Version durchaus alltagstauglich.

LibreSignal Chatverlauf
LibreSignal Chatverlauf

31 Gedanken zu „Signal: Mit LibreSignal auch ohne Google vertraulich texten“

  1. Mein erster Versuch hier zu schreiben hat nicht geklappt, nun versuch ich es nochmal, ich hoffe das kommt jetzt nicht zweimal.

    Also ich habe eine Frage:
    Habe Libresignal auf Android4.4.2 Handy installiert, alles prima soweit.
    Frage mich jedoch was „send a custom contact“ bedeutet.
    Werden da alle meine Kontakte auf den Server von Signal geschickt?
    Hab es noch nicht aktiviert, da ich nicht verstehe was das zu bedeuten hat.
    „This increases privacy …“ ist es nun sinnvoll das zu aktivieren oder eben nicht?

  2. Ich hätte mal ne Frage:
    Habe gerade LibreSignal entdeckt und versuche die Einstellungen zu verstehen.
    Was bedeutet die Aktivierung „send a custom contact“, darunter steht „this will increase your privacy“?
    Bedeutet das, dass man dann die eigenen Kontakte an den Server von LibreSignal (bzw. vermutlich ist es der gleiche wie der von Signal) sendet?
    Im Moment habe ich das noch nicht aktiviert, aktivieren bedeutet ja die Kontakte weiterzugeben, oder ?

    Würde mich sehr über eine Antwort freuen.
    Die App scheint eine wirkliche gut Alternative zu Whatsapp und ich frage mich ob ich wechsle.

  3. Ich verstehe nicht, warum der GooglePlayStore nur Signal verbreitet und F-Droid nur LibreSignal? Woran liegt es, dass man LibreSignal nicht auf dem PlayStore anbietet?

    1. Warum sollte jemand im PlayStore LibreSignal runterladen wollen? Der Sinn von LS ist, dass man NICHT auf Google angewiesen ist. Wer den PlayStore hat, muss zwangsläufig auch sämtliche GooglePlay-Dienste auf seinem Handy haben…

  4. Ich hätte da noch eine Frage bzgl den Metadaten. Wenn ich jetzt LibreSignal benutze und schreibe aber mit einem Signal Nutzer, gehen dann doch wieder die Metadaten an Google oder nicht ?
    Google kassiert doch allgemein die Metadaten ein, wenn ich mit irgendeinem Messenger mit jemandem schreibe, der ein Android Gerät besitzt, egal ob ich ein Android, iPhone, BlackBerry oder Windowsphone oder sonst eins benutze. Oder verwechsele ich da etwas ?

    1. Jein.
      Ansich nutzt Signal GCM nur, um zu überprüfen, ob neue Nachrichten vorhanden sind.
      Das Betriebssystem selbst, ob jetzt Android, iOS oder WindowsPhone kann natürlich immer ein Risikofaktor sein. Zur not lässt sich aber Cyanogenmod ohne Google Dienste betreiben. Nur dann musst duch auch ohne den PlayStore auskommen…

  5. Signal ab Version 3.9 verlangt die neuesten Google Play Services (GMS) wegen neu hinzugekommener Geolocation in Signal. Jetzt also auch Geolocation über Google…
    Signal-Desktop wird bekanntlich auch nur für Google-Chrome entwickelt. Dieser Moxie ist entweder von allen guten Geistern verlassen oder fremdbestimmt.

    Daher läuft LibreSignal 3.9 bei mir. Texten funktioniert damit genauso gut.

    1. Dieses Geolocation Feature wird aber doch nur benutzt, wenn man seinen Standort teilen möchte oder?
      Gut, warum da nicht auf Openstreetmaps etc. gesetzt wird ist mir auch nicht ganz klar.

      Signal-Desktop funktioniert aber auch unter Chromium. Ehrlich gesagt nutze ich seit Jahren schon Chromium auf meinen Linux Systemen. Alternativen wie Firefox hinken einfach in Sachen Geschwindigkeit meilenweit hinterher und sind zu aufgebläht mit sinnlosen Features. Leichtgewichte wie Midori oder Qupzilla funktionieren einfach oft nicht.

      Moxie setzt wohl vor allem auf das, was die größte Nutzerbasis hat.

      Mit größerer Verbreitung von Signal kommen hoffentlich auch von anderen Entwicklern Apps für mehr mobile Betriebssysteme und auch für Browser wie Firefox.

      Auf Github wird gerade diskutiert, ob man einen Fork von JavaJens anlegt und um Funktionen erweitert, wie etwa die SMS Verschlüsselung: https://github.com/JavaJens/TextSecure/issues/72

  6. Ich weis ihr seid nicht der Support für SIGNAL/Android, aber vielleicht könnt ihr mir trotzdem helfen: Ich bin zu einer GRUPPE eingeladen und kann auch die Nachrichten innerhalb der GRUPPE lesen, kann aber nicht drauf antworten. Der richtige Gruppenname wird auch nicht mehr angezeigt, sondern „Unbenannte Gruppe“, obwohl vorher (ich habe SIGNAL neu installiert) vorhanden. Vielleich hilft mir auch ein sinnbringender Link… Danke!!!

    1. Das stimmt leider. Wenn du die Websocket Version nutzt, sind Telefonate zur normalen Version nicht möglich. Wenn du GCM LibreSignal verwendest, müsste es schon funktionieren.

      Sind die Logs von dir? Falls nicht:
      Es gibt in Signal unter „Einstellungen“ -> „Weitere Einstellungen“ den Punkt „Diagnoseprotokoll übermitteln“. Das dann bei github hochladen oder an den Support schicken.

  7. Ich habe hier noch eine interessante Entwicklung gefunden:
    https://github.com/JavaJens/TextSecure/issues/50

    Das Projekt „microG GmsCore“ bildet den im GAPPS-Paket enthaltenen GCM nach (als Open Source), so dass das original Signal (ob aus dem Play Store oder selbst kompiliert) funktioniert. Einige Leute haben das anscheinend schon zum Laufen gekriegt, wenn auch nur mit Xposed-Framework (oder OmniROM).

    1. Wäre natürlich super, wenn das genutzt werden könnte – am Besten natürlich ohne selbst mit Xposed tätig zu werden.
      Leider kenne ich mich damit zu wenig aus um beurteilen zu können, ob man das in Signal implementieren kann.

    2. [Vorwarnung: Fremdsprache]

      Das eigentliche Problem ist, dass fast keiner von den Custom-ROM-Entwicklern Signatur-Spoofing aus Sicherheitsgründen ermöglichen will bzw. darf. Eine nicht-Google-App die Google-Apps imitieren zu können sei halt zu gefährlich, zumindest gemäß den CyanogenMod Entwicklern.

      Sie haben mir oft im IRC gesagt, man könne sein eigenes CM-Build mit den entsprechenden Patches machen, aber ansonsten müsse man Xposed verwenden um microG benutzen zu können (in deren Fall werden/wollen sie dich nicht unterstützen, denn Xposed könne IRGENDETWAS tun!). Solange keine andere upstream Möglichkeit erscheint (wahrscheinlich nie, weil Google alles als „alles Google oder nichts“ haben will).

      Auf jeden Fall verwende ich Xposed auf meinem Handy und microG mit Signal-Anrufen läuft gut! Die Nachrichten gingen immer schon mit der -websockets Version aber ich hatte missgönnt dass ich entweder keine Anrufen machen dürfte oder die proprietären Google-Apps auf meinem Handy haben müsste.

      Ich glaube dass es gar nichts gibt, das die App-Entwickler machen könnten, um dieses Problem zu lösen, statt nicht mehr von GCM abzuhängen. Und Moxie macht nur was Moxie will…

    3. Ich habe selten so wenig verstanden, wie die Aussage von dir, Adam.
      Kannst du nun zwischen LibreSignal und Signal telefonischen Kontakt herstellen oder nicht?

  8. Und doch darf man sich wohl sicher sein, dass es wohl gute Gründe gibt, warum dies nicht so ist. Ich meine auch schon mal die Gründe irgendwo gelesen zu haben, kann mich jedoch bedauerlicherweise nicht mehr dran erinnern, wo :(

    Ich glaube, die folgenden beiden Artikel fassen es zusammen:

    http://support.whispersystems.org/hc/en-us/articles/212477858-Why-do-I-need-Google-Play-installed-to-use-TextSecure-on-Android-

    https://en.wikipedia.org/wiki/TextSecure

    Übrigens: die GCM-Plattform wird ja (seit März 2015) eben NICHT mehr für die eigentliche Nachrichtenzustellung verwendet, sondern lediglich für die Benachrichtigung, dass Nachrichten zur Abholung bereitstehen („wakeup event“). Die Nachrichtenzustellung erfolgt durch die App selber (ohne GCM).

    1. Das mag sein, aber es gibt etliche Menschen, die nach der Installation von alternativen Roms ganz bewusst auf Google Apps verzichten wollen.
      Zum ersten Link:
      1. „Users who install the application outside of the Play Store do not receive timely software updates.“
      Wie lange dauert es denn, bis Google Updates frei gibt? Klar muss bei Fdroid erst wieder jemand die App bauen und einstellen. Aber da der Quellcode frei verfügbar ist sollte es da kaum Verzögerungen geben, sofern der Bereitsteller zügig arbeitet.
      Aus dem Grund verstehe ich auch nicht, warum die Entwickler das nicht einfach selbst übernehmen…

      2. „Outside of Google’s GCM, the fact is that there are no alternative push messaging frameworks for Android that can scale to the millions of users that TextSecure has. GCM requires Google Play.“
      Wie gesagt, manche möchten bewusst auf Google Play verzichten. Es mag sein, dass Websocket nicht so effizient wie GCM arbeitet, aber für die Browsererweiterung wird Websocket verwendet. Also warum nicht jetzt aktiv daran arbeiten und damit für die Zukunft gerüstet sein?
      Und warum nicht Websocket als Ausweichslösung implementieren, für den Fall, dass der Playstore eben fehlt?

    2. Das über GCM die Nachrichtien nicht direkt abgerufen werden ist kjlar. Nur es werden trotzem „Metadaten“ verschickt die auch sehr gut ausgewertet werden können, das ist was viele nicht wissen. Und das ist was viele daran stört, die es wissen! Wenn man schon Google und Co vermeidet, sollte man auch die Finger von GCM lassen, genau aus diesem Grund ;).

    1. Naja, das Problem hat man grundsätzlich mit allen Apps aus dem Fdroid Store.
      Natürlich könnte man sich jede App selbst kompilieren, aber bei dem Aufwand brauche ich gleich kein Smartphone mehr.
      Grundsätzlich kannst du dir vor jeder Installation oder jedem Update einer Fdroid-Anwendung den Quellcode vorher ansehen.

      Auf der anderen Seite siehts nicht viel besser aus. Du kannst zwar den Leuten vertrauen, musst aber den Playstore plus proprietäre Software bei jedem Senden/Empfangen einsetzen.

      Die Frage von Stock Android vs. CyanogenMod etc. läuft auf die gleichen Fragen hinaus…

    2. Ich kenne weder Moxy noch Snowden.
      Allerdings find ich es schon irgendwie unsympathisch daß Signal sich so gegen die veröffentlichung ausserhalb von Google Play wehrt.

    3. Das verstehe ich auch nicht. Schön wäre natürlich, die Entwickler Signal selbst über andere Wege angbieten würden. Den Websocket Fork scheint man auch nicht zu beachten anstatt sich darüber zu freuen und versuchen so schnell wie möglich von GCM wegzukommen.
      Wer da genauere Infos hat bitte immer her damit :D

      Wenigstens sollte es nun mit der Namensänderung und dem extra Fdroid Repo keinerlei Schwierigkeiten mehr geben – hoffentlich…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.