Ich habe schon öfter gelesen, dass die Signal-Version von der Signal-Seite keine Google-Dienste benutzt (z.B. auch im Privacy-Handbuch).
Ich habe aber auch schon öfter das Gegenteil gelesen.
Weiß jemand eine Primärquelle, wo man das nachlesen kann?
@nudel: VIelen Dank fürs kritische Hinweisen. Ich habe gerade noch einmal meinen AdGuard Home Log angeschaut. Nachdem ich die „Danger-Zone“-Variante lud, hatte ich erst keine Verbindungen mehr zu storage.signal.org wahrgenommen, nun aber gesehen, dass ein bis zwei Mal am Tag eine Verbindung dahin aufgebaut wurde und damit zu ghs.googlehosted.com (CNAME). Das ist in der Tat blöd. Zwar ist google bei mir vollständig geblockt, sodass ich sagen kann, dass Signal vollständig funktioniert, auch ohne, dass diese Seite aufgerufen wird, aber dennoch ist das irgendwie natürlich unbefriedigend.
Vielleicht ist aber im PHb mit Google-Services gemeint, dass die Maps eben nicht über google laufen etc.? Denn laut SIgnal werden auf den Storage-Servern „lediglich“ einige „Settings, Contacts, Groups“ etc. verschlüsselt gespeichert. Es könnte also sein, dass das Blocken dieser Seite nur für Backups und Wiederherstellungsaktionen relevant ist, insofern, dass diese dann nicht sauber laufen könnten…??
Ich meine mich zu erinnern, dass entweder in Mikes Blog oder im alten Forum auch schon einmal genau diese Feststellungen getätigt worden sind.
Im Blog wurde die Vrbindung zu storage.signal.org erwähnt:
Der Nachrichtenaustausch (textsecure-service.whispersystems.org) erfolgt bspw. über Amazon AWS, während die Google Data Server (storage.signal.org) für die Erstellung und Verwaltung der Gruppen zuständig sind. […]
Quelle: Die verrückte Welt der Messenger - Teil 9 (Kapitel 3)
Bezüglich der Frage, ob sich die Version von der Webseite und jene aus dem Play Store unterscheiden:
Sie unterscheiden sich kaum. Auch die Version von der Webseite verwendet die Play Services, wenn sie verfügbar sind. Jene aus dem Play Store kommt ebenfalls ohne die Play Services aus.
Nur, dass sich die Version von der Webseite selbst aktualisiert, bzw. dies kann.
Entsprechend beinhalten beide „Google Code“, sind also nicht „entgooglet“ wie Signal-Foss von Twinhelix, oder Molly-FOSS. Die nicht FOSS Variante von Molly beinhaltet auch „Google Code“.
Trotzdessen nutzt Signal serverseitig Googles Cloudservices, mietet also bei Google Server:
Daher haben auch diese Versionen Kontakt zu Google Servern.
Sicherungen laufen eigentlich Lokal. Deine Kontakte werden bei Signal verschlüsselt auf dem Server gespeichert, ebenso einige Einstellungen. Das kam, wenn Ich mich richtig erinnere, eine Weile nach der Einführung der Pin, und wird mitunter mit dieser verschlüsselt. Wenn du keine Pin festlegst, wird nur ein zufällig generierter Schlüssel genutzt, das ganze lässt sich also nicht verhindern.
Falls sich daran nichts geändert hat.
Diese Übertragungen könnten dadurch gegebenenfalls unterbunden werden, darauf verlassen würde Ich mich jedoch nicht. Zumal das bei einer einmaligen Freigabe meiner Meinung nach irrelevant wird, da es spätestens dann hochgeladen wird.
Das ist nur bei Signal-Foss von Twinhelix und Molly-FOSS der Fall, diese ersetzen die Kartenfunktion durch OSM. Beim originalen Signal ist das nicht umgesetzt, nein.
Ich schätze, im Privacy-Handbuch ist das nur schlecht formuliert. Es ist einfach nur ein alternativer Beschaffungsweg der originalen App, die du nur so sicher erhältst, wenn du keine Play Services, und somit keinen Play Store, verwendest. Und der restliche Bestandteil als Hinweis, dass diese (wie jene aus dem Store) ohne Play Services lauffähig ist.
Zu der Frage: Welche Signal Variante oder Fork ist die/der richtige für mich?
Die Forks sind keine offiziellen Varianten. Historisch hat Signal oft über diese herumgeflennt, und den Hinweis in den Raum geworfen, dass sie diese jederzeit vom Service absägen würden, wenn sie wollen. Sie werden auch von anderen Leuten entwickelt, welchen du vertrauen musst.
Da die Forks oft aber nur einzelne Funktionen verändern/entfernen, und ständig auf dem Originalcode aufbauen, wird das absägen wohl nicht geschehen.
Das ganze benötigt aber Zeit: Sie veröffentlichen später als Signal selbst Aktualisierungen. Kritisch wird das dann bei Sicherheitslücken, die möglicherweise aktiv ausgenutzt werden. Jedes weitere Glied in der Kette verlängert die Zeit, bis eine Fehlerbehebung bei dir ankommt.
Molly sagt hierbei, dass sie ca. alle 2 Wochen „Feature Updates“ liefern, dabei alles auf die neueste Version angleichen, und bei bekannten Sicherheitslücken zum nächstmöglichen Zeitpunkt eine neue Version veröffentlichen. Ähnlich wird das wohl beim Twinhelix Fork aussehen.
Wenn es dir also um sehr zeitige Sicherheitsaktualisierungen geht, solltest du eher das originale Signal nutzen. Egal ob von der Webseite oder aus dem Store.
Ich sehe das Risiko bei mir nicht als hoch an. Ich versende keine extrem sensiblen Daten, und falls Ich Freunde oder Familie nach Hilfe frage, tu Ich dies auf anderem Wege, das wissen diese auch.
Zusätzlich bin Ich kein direktes Ziel irgendwelcher Angreifer.
Daher ist für mich Molly in Ordnung, Ich vertraue dessen Entwickler.
Schlimmstenfalls passiert nichts gravierendes bei einer Kompromittierung meiner Signal-App, und falls durch eine/weitere zusätzliche Lücke/n im System des Mobilgerätes das Gerät kompromittiert wird, bricht mir das auch nicht das Genick.
–
Bezüglich der Akkubelastung gibt es keinen Unterschied, wenn man keine Play Services nutzt.
Alle Apps nutzen dann, soweit Ich weiß, den gleichen Websocket Code.
Den größten negativen Einfluss hierauf hat wohl die Nutzung von Mobilfunk, anstelle von WLAN.
–
Ansonsten sind es die angepriesenen Features der Forks, die deine Entscheidung beeinflussen:
Entgoogelt, OSM statt Google Maps, Mollys Verschlüsselung der Datenbank (während diese Datenbank geschlossen ist, empfängt Molly jedoch auch keine Nachrichten), …
Was dir zusagt, musst du für dich selbst entscheiden. Diese Dinge sind größtenteils auf den Webseiten der Forks aufgelistet.
Ich mag (historisch) an Molly-FOSS vorallem das entfernen von vielen Google basierten Features, das Pechschwarze Farbschema, und dessen Schlankheit (keine Integration der Bezahlfunktionen über MobileCoin) im Vergleich zum originalen Signal.
Außerdem die Aktualisierungen über Neostore, da die Signal Variante von der Webseite die Aktualisierungen auch über Mobilfunk lädt, und das, eventuell nur „früher“, vor der Anfrage zur Installation tat. Ebenso gefällt mir das „Aktualisierungsmodell“ mehr, dieses führt beim Umstieg vom Original aber gelegentlich zu Problemen mit dem importieren der Sicherung (Mollys Version ist den größten Teil der Zeit niedriger als die von Signal, daher lässt sich die Sicherung bis zur Aktualisierung nicht importieren).
5 „Gefällt mir“
Das ist mal eine ausführliche Zusammenfassung. Vielen Dank 
.
Es sind natürlich immer Pros und Cons dabei, wie im Grunde bei jeder Sache.
Ich schwanke nun noch etwas zwischen der Website-Version und der Molly-FOSS Variante.
Eine Nacht werde ich wohl nochmal drüber schlafen und dann eine Version installieren.
Ich danke euch.
Vielen Dank für deinen Beitrag!
Kannst du dazu noch einen Satz spendieren? Meinst du mit „Crypto Kram“ Session Keys, perfect forward privacy oder sowas?
1 „Gefällt mir“
Entschuldigung, da habe Ich mich nicht eindeutig ausgedrückt. Der Begriff ist durch das viele Gerede über Kryptowährungen im Techumfeld inzwischen für ebenjene in meinen Sprachgebrauch übergegangen, und hat die Assoziation mit anderen Bedeutungen für mich verdrängt. 
Mit dem Crypto Kram meinte Ich die Zahlungsfunktionen über MobileCoin, siehe auch den Beitrag Signal Payments: Wie man gewonnenes Vertrauen verspielt, vom Kuketz-Blog. Gerade Absatz 2 & 3 erläutern zum Teil meine Abneigung gegenüber dieser Funktion.
Die kryptographische Umsetzung der Ende-zu-Ende-Verschlüsselung unterscheidet sich nicht, anderenfalls wäre eine Kommunikation zwischen den Nutzern (eher) nicht möglich.
Also keine Sorge, das meinte Ich nicht. Ich werde sicherheitshalber die Textzeile abändern, danke!
Ich votiere für Molly-Foss. Das genialste ist die Link Funktion auf weitere Smartphones oder Tablets. Das bietet die originale App nicht.
1 „Gefällt mir“
Danke für den Tipp. Aber was genau meinst du mit der Link Funktion?
Magst du das genauer erläutern?
Damit kann man mehrere Devices nutzen, unabhängig davon, ob dein erstes Online ist oder nicht.
1 „Gefällt mir“
Ach so! 
Das MobileCoin-Krypto-Gedöns brauch ich auch nicht.
Ein Grund mehr bei Molly-FOSS zu bleiben. 
2 „Gefällt mir“
Was Tealk sagt. Multi Device!
Wer auf höchste Sicherheit angewiesen ist, verwendet den Original-Client von Signal (Play Store oder APK von der Website). Sobald eine Multi-Device-Nutzung hinzukommt, kann dies unter Umständen die Sicherheit und/oder den Datenschutz schwächen. Man muss sich auch immer von Augen halten: Die Forks verändern/ergänzen Code. Diese Änderungen können sich negativ auf die Sicherheit auswirken.
4 „Gefällt mir“
Da wäre noch LANGIS für FDroid:
https://langis.cloudfrancois.fr/
https://community.e.foundation/t/langis-signal-name-inverted-for-android-without-gapps-or-microg-installed/15767
Einfach auf dem Android Browser den folgenden link öffnen https://www.twinhelix.com/apps/signal-foss/ und auf der Seite auf den F-Droid Repository Link tippen - die Seite wird an die F-Droid App weitergeleitet, um die Quelle hinzuzufügen.
Ich verwende die App von der Website, habe keine Probleme damit.
Bei der Übernahme der Daten konnte ich das drahtlose Übertragen nicht benutzen, das ging immer schief.
Aber Export und Import haben funktioniert.
Ich habe heute auf Molly-FOSS umgestiegen und testweise mein Standort geteilt. Es wird zwar OSM benutzt aber wieso zum Teufel wird ein googlemaps link generiert?
1 „Gefällt mir“
Frage
Welches OS nutzt du?
GrapheneOS
Damit Molly mit Signal kompatibel bleibt.
Würde dort ein OSM Link stehen, wäre keine Karte in der originalen Signal-App möglicher Kontakte vorhanden.