Telegram zahlt 300.000 $, wenn jemand Nachrichten auslesen kann? Und haben das noch nicht zahlen müssen.
Das stimmt so nicht! Telegram zahlt 300.000 USD, wenn jemand eine
geheime Nachricht entschlüsseln kann. Die Auszahlung soll in Bitcoin erfolgen. Da der ja auch mal häufiger extrem schwankt, ist die Frage, welcher Tag gilt als Stichtag und wenn man sie umtauscht, sind sie dann noch 300.000 USD wert? Allerdings stimmt es auch nicht, dass Telegram zahlt, denn
der Cryptocontest lief nur vom 4. November 2014 bis zum 4. Februar 2015:
https://telegram.org/blog/cryptocontest Er ist also längst vorbei! Was weiter besteht, ist ihr Bug Bounty Program, aber das ist auf 100.000 USD begrenzt.
Die Hauptkritik an Telegram entkräftigt ein nicht erfolgreicher Hack aber nicht, denn geheime Nachrichten muss man bei Telegram manuell aktivieren. Nur dann kann man mit
einem anderen Kommunikationspartner Ende-zu-Ende verschlüsselte Nachrichten austauschen. Andere Messenger (auch WhatsApp) erfordern keine Aktivierung. Die sind immer Ende-zu-Ende verschlüsselt und die Verschlüsselung lässt sich nicht abschalten.
Bei Telegram können Gruppennachrichten gar nicht Ende-zu-Ende verschlüsselt werden. Bei WhatsApp und anderen Messengern sind auch diese grundsätzlich und nicht deaktivierbar Ende-zu-Ende verschlüsselt.
Jede nicht geheime Nachricht ist bei Telegram lediglich transportverschlüsselt. Das heißt, vom Absender bis zum Telegram-Server. Für die Zustellung zum Empfänger wird die Nachricht erneut zwischen Telegram-Server und Empfänger verschlüsselt. Transportverschlüsselung setzen andere Messenger noch zusätzlich zur Ende-zu-Ende-Verschlüsslung ein. So auch WhatApp, Threema und Signal.
Das bedeutet, auf dem Telegram-Server liegen die meisten Nachrichten unverschlüsselt vor.
Bleibt die verschlüsselte Speicherung auf den Telegram-Servern, die angeblich die Lücke schließen soll. Was das ist, hat Telegram auf Nachfrage aber nie genauer erläutert. Das ist aber auch gar nicht nötig, denn wenn es eine Dateisystemverschlüsselung ist, wie sie auf Smart Devices seit Jahren Standard sind, dann nützt die im laufenden Betrieb gar nichts. Sie schützt nur für physikalischem Diebstahl der Server oder Festplatten. Denn die müssen dafür ja vom Strom getrennt werden und wenn man sie wieder in Betrieb nehmen will, benötigt man ein Passwort oder einen Key. Für einen Hacker, der Zugriff auf den Server hat und für Administratoren und Eindringlinge liegen die Nachrichten im Klartext vor.
Es könnte sein, dass Telegram eine weitere Verschlüssleung darüber legt. Aber auch das bedeutet, dass Telegram die Schlüssel hat. Die müssten sogar von der Server-Software im automatischen Zugriff sein, denn sonst würden bei den Telegram-Nutzern ja nur unlesbare Nachrichten ankommen. Also ist auch das eine Pseudo-Sicherheit. Daran änder auch die angeblich verteilte Speicherung auf verschiedenen Servern rein gar nichts. Ohne einen Algorithmus, der weiß, wo er den passenden Schlüssel bekommt, käme keine lesbare Nachricht bei den Nutzern an.
Dies alles war vom Cryptocontest nicht abgedeckt. Es ging nur um geheime Nachrichten, die nur ein Sonderfall für eine einzige Nachrichtenart sind und zudem extra gewählt werden müssen. Deshalb darf man getrost davon ausgehen, dass die meisten Nachrichten für Telegram und Eindringlinge im Klartext vorliegen.
Dass der Cryptcontest erfolglos endete, liegt auch daran. dass Telegram jeden Tag eine Nachricht verschickt hat, die es zu knacken galt. Ein typischer Angreifer greift jedoch viele Nachrichten ab und leitet daraud ein Muster ab. So kann er viel schneller den passenden Schlüssel finden als durch blankes Brute Force. Die eine Nachricht kann man mit ganz einfachen Verschlüsselungsverfahren ausreichend verschlüsseln, dass sie in 24 Stunden nicht zu knacken ist. Eine große Anzahl jedoch nicht! Zudem wurden weitere Aspekte von Contest ausgeschlossen. Damit war der Contest wertlos. Es konnte niemand gewinnen!
Wer WhatsApp den Rücken kehren will, weil er mit den AGB nicht mehr einverstanden ist, für den kann Telegram keine Alternative sein. Deren AGB sind im Zweifel gar nichts wert, weil man nie weiß, welches Recht gilt. Da kann dann auch kein Verbraucherschutz etwas erreichen.
Wem Datenschutz im Sinne von Privatsphäreschutz wichtig ist, für den verbietet sich Telegram. Der ist bei WhatsApp besser aufgehoben, aber noch besser bei Signal und Threema.
/cdn.vox-cdn.com/uploads/chorus_asset/file/19327834/verge-whatsapp-notification-2040pxl.0.jpg)
