Die feinen Details des Signal Protokolls kenne ich auch nicht. Der Punkt ist aber das der Nutzer alle Daten zum entschlüsseln haben muss und damit die App auch. Ohne Quellcode Einsicht weiß man nicht ob das Protokoll überhaupt richtig implemtiert ist, oder was mit meinen geheimen Keys passiert / den entschlüsselten Daten.

Falls ich einen private Key senden wollen würde ohne das jemand das mitkriegt würde ich natürlich den key verschlüsselt wegschicken.

Ich kann nicht beweisen das WhatsApp backdoors hat oder Daten absaugt, es ist halt nicht überprüfbar (soweit ich das sehe) und damit ein Trust me bro.

Selbst bei Signal bin ich mit den trusted execution environments skeptisch, da kommen wir dann zum Verlagern von Vertrauen zu Hardware Herstellern. Wo ich es auch nicht unplausibel finde das der schlüssel irgendwo rumschwirrt.

Deswegen ja Metadaten sind ein großes Thema und genau deshalb ist eine überprüfbare Implementierung vom Signal Protokoll und der Software die auf den Servern läuft so wichtig, beides bei WhatsApp schwierig.