Has SimpleGo been independently security audited?

The SimpleX Protocol SMP component was reviewed by Trail of Bits in July 2024. SimpleGo firmware has been verified byte-for-byte against the Haskell reference but awaits formal audit.

Is SimpleGo safe for high-risk users?

SimpleGo is currently alpha software (v0.1.x). Users in high-risk situations should evaluate this status carefully.

Disclaimer

SimpleGo SMP Relay Servers & Hardware Devices
Effective: March 1, 2026 · Version 1.0
Operator: IT and More Systems, Recklinghausen, Germany

General Disclaimer
Security Representations and Limitations
No Absolute Security Guarantee
Cryptographic Software Disclaimer
Hardware Prototype Status
Third-Party Dependencies
Regulatory and Export Compliance
Not Legal, Medical, or Professional Advice
Threat Model Limitations
Open Source Software
Availability and Performance
Relationship to Other Documents
Contact

Summary: We are building high-security communications infrastructure and hardware, but no security system is perfect. This document honestly discloses the limitations of our technology, the risks you should be aware of, and the boundaries of what we can guarantee. We believe transparency about limitations builds more trust than false promises of absolute security.

1. General Disclaimer

All services, software, hardware, and information provided by SimpleGo (operated by IT and More Systems) are provided on an "as is" and "as available" basis, without warranties of any kind, either express or implied, to the fullest extent permitted by applicable law.

While we strive to provide the highest quality secure communications infrastructure, we do not warrant that our services will be uninterrupted, error-free, completely secure, or free from vulnerabilities. The information on our website (simplego.dev) is provided for general informational purposes and may contain technical inaccuracies or typographical errors.

2. Security Representations and Limitations

We make specific security claims about our technology based on verifiable engineering facts. This section clarifies what we do and do not claim.

2.1 What we do claim

Our SMP relay servers implement the SimpleX Messaging Protocol, which provides end-to-end encryption using established cryptographic primitives (X25519, XSalsa20, Poly1305, Double Ratchet with X3DH). The SimpleX Protocol's SMP component has undergone a cryptographic design review by Trail of Bits (July 2024). Our server software is open source and available for independent review. We do not possess encryption keys for user messages and cannot decrypt message content.

2.2 What we do not claim

We do not claim that our systems are invulnerable to all attacks. We do not claim that no undiscovered vulnerabilities exist in the SimpleX Protocol, its implementations, or the cryptographic libraries we depend on. We do not claim that our infrastructure has undergone a full production security audit (the Trail of Bits review covered protocol design, not our specific server deployment). We do not claim that metadata is perfectly protected in all threat scenarios. We do not claim protection against state-level adversaries with unlimited resources and physical access to infrastructure.

3. No Absolute Security Guarantee

Important

No communications system, no matter how well-designed, can guarantee absolute security. This is a fundamental principle of information security, not a limitation specific to SimpleGo.

Security depends on a chain of components, many of which are outside our control. These include: the security of your endpoint device (phone, computer, or SimpleGo hardware), the security of the operating system and software running on your device, the physical security of your device, the strength and secrecy of any passwords or PINs you use, the trustworthiness and security practices of people you communicate with, the security of the network infrastructure between you and our servers, and the absence of undiscovered vulnerabilities in cryptographic algorithms and their implementations.

A compromise of any single element in this chain can undermine the security provided by all other elements. We can only be responsible for the components we directly control: our server infrastructure, our software, and our hardware designs.

4. Cryptographic Software Disclaimer

Our software implements cryptographic algorithms and protocols that are currently considered secure by the international cryptographic research community. However, cryptography is a rapidly evolving field, and the following risks should be understood.

Algorithms considered secure today may be broken in the future through advances in mathematics, computing, or cryptanalysis. The emergence of large-scale quantum computers could threaten current asymmetric cryptographic schemes (RSA, ECDH, ECDSA). The SimpleX Protocol has begun integrating post-quantum cryptography (hybrid CRYSTALS-Kyber + classical), but this transition is ongoing and post-quantum algorithms are newer and less battle-tested than classical ones.

Implementation flaws can undermine theoretically secure algorithms. Side-channel attacks, timing attacks, and other implementation-level vulnerabilities represent ongoing research areas. We mitigate these risks by using established, audited cryptographic libraries (libsodium/NaCl, mbedTLS) rather than implementing cryptographic primitives ourselves, but no mitigation is complete.

Regulatory Notice

Cryptographic software may be subject to import/export restrictions in some jurisdictions. Users are responsible for compliance with their local laws regarding the use, import, or export of cryptographic technology.

5. Hardware Prototype Status

SimpleGo hardware devices are currently in development. The following disclaimers apply to hardware in any stage prior to final production release.

5.1 Development hardware (Model 1 "Maker")

The Model 1 "Maker" is based on commercially available development boards (LilyGo T-Deck Plus) running custom firmware. It is intended for enthusiasts, developers, and early adopters who understand the inherent limitations of prototype hardware. It has not undergone formal security certification. The development board's hardware design is not under our control. Physical security features (tamper detection, secure elements) are limited to what the development board provides, which is minimal.

5.2 Future production hardware (Models 2 and 3)

Models 2 ("Shield") and 3 ("Vault") are planned production devices with custom PCB designs and enhanced security features. Any security claims about these devices apply only to final production versions. Pre-production prototypes, engineering samples, and beta units may not include all security features described in marketing materials. Specific security certifications (CC, FIPS, etc.) will be documented upon completion and should not be assumed in advance.

5.3 Hardware modification

The hardware designs are released under the CERN Open Hardware Licence v2 (Weakly Reciprocal). Users who modify hardware designs do so at their own risk. We cannot warrant the security or functionality of modified hardware. Users who build SimpleGo devices from our open-source designs bear full responsibility for component quality, assembly quality, and resulting security properties.

6. Third-Party Dependencies

SimpleGo's software and services depend on third-party components over which we have limited or no control.

6.1 SimpleX Protocol

SimpleGo implements the SimpleX Messaging Protocol developed by SimpleX Chat Ltd. SimpleGo is an independent project and is not affiliated with, endorsed by, or officially supported by SimpleX Chat Ltd. The SimpleX name and protocol are used for interoperability purposes. Changes to the SimpleX Protocol by its maintainers may affect SimpleGo's functionality or compatibility.

6.2 Cryptographic libraries

We rely on third-party cryptographic libraries (including but not limited to libsodium, mbedTLS, and NaCl). Vulnerabilities discovered in these libraries may affect our security. We monitor security advisories and update dependencies promptly, but there may be a window of exposure between disclosure and patch deployment.

6.3 Hardware components

Our devices use semiconductor components from multiple vendors. Hardware vulnerabilities (such as the Eucleak attack on Infineon SLE78 secure elements, or Spectre/Meltdown class attacks on processors) are possible in any hardware component. Our multi-vendor secure element strategy for Model 3 is specifically designed to mitigate single-vendor supply chain risk, but cannot eliminate hardware-level vulnerabilities entirely.

6.4 Network infrastructure

Communication between users and our servers traverses public internet infrastructure, Tor network relays, and hosting provider networks. We do not control and cannot guarantee the security or availability of these networks.

7. Regulatory and Export Compliance

SimpleGo hardware and software contain cryptographic functionality. Users are solely responsible for ensuring that their use, import, export, or re-export of SimpleGo products complies with all applicable laws and regulations in their jurisdiction.

Within the European Union, dual-use export controls under Regulation (EU) 2021/821 may apply to cryptographic technology. Mass-market cryptographic products generally qualify for the License Exception ENC or are exempt under Category 5, Part 2, Note 3 of the Wassenaar Arrangement. However, we do not provide legal advice on export classification, and users should consult qualified legal counsel if they intend to export SimpleGo products outside the EU.

Some countries restrict or prohibit the use of strong encryption. It is your responsibility to determine whether the use of SimpleGo products is lawful in your jurisdiction. We do not provide legal guidance on the legality of encryption in specific countries.

8. Not Legal, Medical, or Professional Advice

Nothing on our website, in our documentation, or in communication with our team constitutes legal advice, medical advice, or professional security consulting. Our descriptions of legal frameworks (GDPR, German criminal procedure, export controls) are provided for transparency and general information only and should not be relied upon as authoritative legal guidance.

If you require legal advice regarding encryption use, data protection compliance, or the legal implications of using secure communications in your jurisdiction, you should consult a qualified attorney. If your personal safety depends on secure communications, you should also consult with a qualified security professional who can assess your specific threat model.

9. Threat Model Limitations

SimpleGo and the SimpleX Protocol are designed to protect against specific threat categories. Understanding what is and is not within the threat model is essential for responsible use.

9.1 Protected against (by design)

The system is designed to protect against passive network surveillance and traffic analysis, server compromise (messages remain encrypted even if our server is seized), metadata correlation between message queues, user identification by the relay server operator, and message content interception during transit.

9.2 Partially protected against

The system offers partial protection against active network adversaries (mitigated by TLS, but certificate pinning may be incomplete), traffic timing analysis (mitigated by padding but not fully eliminated), and server-side denial of service (mitigated by rate limiting but not bulletproof).

9.3 Not protected against

The system does not protect against compromise of the endpoint device (if an attacker has access to your device, encryption is irrelevant), physical coercion or legal compulsion to reveal passwords, a compromised communication partner sharing your messages, advanced persistent threats with sustained physical access to hardware, undiscovered zero-day vulnerabilities in the cryptographic stack, or user error (sharing invitation links on insecure channels, not verifying contact identity, etc.).

Critical

If your life, freedom, or safety depends on the security of your communications, do not rely solely on any single technology. Use multiple independent security measures, consult with security professionals, and follow operational security best practices appropriate to your specific threat environment.

10. Open Source Software

SimpleGo's software is released under the GNU Affero General Public License v3.0 (AGPL-3.0), and hardware designs under the CERN Open Hardware Licence v2 (Weakly Reciprocal, CERN-OHL-W-2.0). As stated in these licenses, the software and hardware designs are provided WITHOUT WARRANTY OF ANY KIND, either express or implied, including but not limited to the implied warranties of merchantability, fitness for a particular purpose, and non-infringement.

The availability of source code allows independent security review, which we actively encourage. However, the fact that code is open source does not by itself guarantee that it has been reviewed, that all vulnerabilities have been found, or that the code is free from defects.

11. Availability and Performance

Our SMP relay servers are operated on a best-effort basis. We do not guarantee any specific level of uptime, availability, throughput, latency, or message delivery reliability. Server maintenance, hardware failures, network outages, and other events may cause service interruptions without advance notice.

The relay service is provided free of charge. We reserve the right to discontinue the service at any time, with reasonable notice where practicable (see our Terms of Service for details).

We strongly recommend that users who require high availability or guaranteed message delivery do not rely solely on our relay infrastructure. The SimpleX Protocol's federated design allows users to run their own SMP servers, which we encourage for high-assurance use cases.

12. Relationship to Other Documents

This Disclaimer supplements our Terms of Service, Privacy Policy, and Acceptable Use Policy. In the event of a conflict between this Disclaimer and the Terms of Service, the Terms of Service shall prevail. All documents together form the complete legal framework governing the use of SimpleGo's services and products.

13. Contact

General inquiries: legal@simplego.dev
Security vulnerabilities: security@simplego.dev
Privacy inquiries: privacy@simplego.dev

IT and More Systems
Sascha Dämgen
Am Neumarkt 22
45663 Recklinghausen
Germany / EU

Inhaltsverzeichnis

Allgemeiner Haftungsausschluss
Sicherheitsdarstellungen und Einschränkungen
Keine absolute Sicherheitsgarantie
Kryptografische Software
Hardware-Prototyp-Status
Abhängigkeiten von Drittanbietern
Regulatorische Compliance und Exportkontrolle
Keine Rechts-, Medizin- oder Fachberatung
Grenzen des Bedrohungsmodells
Open-Source-Software
Verfügbarkeit und Leistung
Verhältnis zu anderen Dokumenten
Kontakt

Zusammenfassung: Wir bauen hochsichere Kommunikationsinfrastruktur und Hardware, aber kein Sicherheitssystem ist perfekt. Dieses Dokument legt ehrlich die Grenzen unserer Technologie offen, die Risiken, die Sie kennen sollten, und die Grenzen dessen, was wir garantieren können. Wir glauben, dass Transparenz über Einschränkungen mehr Vertrauen schafft als falsche Versprechen absoluter Sicherheit.

1. Allgemeiner Haftungsausschluss

Alle Dienste, Software, Hardware und Informationen von SimpleGo (betrieben durch IT and More Systems) werden "wie besehen" ("as is") und "wie verfügbar" ("as available") bereitgestellt, ohne Gewährleistungen jeglicher Art, weder ausdrücklich noch stillschweigend, soweit nach geltendem Recht zulässig.

Obwohl wir bestrebt sind, die qualitativ hochwertigste sichere Kommunikationsinfrastruktur bereitzustellen, garantieren wir nicht, dass unsere Dienste ununterbrochen, fehlerfrei, vollständig sicher oder frei von Schwachstellen sind. Die Informationen auf unserer Website (simplego.dev) dienen allgemeinen Informationszwecken und können technische Ungenauigkeiten oder Tippfehler enthalten.

2. Sicherheitsdarstellungen und Einschränkungen

Wir erheben spezifische Sicherheitsaussagen über unsere Technologie auf Basis überprüfbarer technischer Fakten. Dieser Abschnitt klärt, was wir behaupten und was nicht.

2.1 Was wir behaupten

Unsere SMP-Relay-Server implementieren das SimpleX Messaging Protocol, das Ende-zu-Ende-Verschlüsselung mit etablierten kryptografischen Primitiven bietet (X25519, XSalsa20, Poly1305, Double Ratchet mit X3DH). Die SMP-Komponente des SimpleX-Protokolls wurde von Trail of Bits einer kryptografischen Designprüfung unterzogen (Juli 2024). Unsere Server-Software ist Open Source und steht zur unabhängigen Überprüfung zur Verfügung. Wir besitzen keine Verschlüsselungsschlüssel für Nutzernachrichten und können Nachrichteninhalte nicht entschlüsseln.

2.2 Was wir nicht behaupten

Wir behaupten nicht, dass unsere Systeme gegen alle Angriffe unverwundbar sind. Wir behaupten nicht, dass keine unentdeckten Schwachstellen im SimpleX-Protokoll, seinen Implementierungen oder den kryptografischen Bibliotheken existieren, von denen wir abhängen. Wir behaupten nicht, dass unsere Infrastruktur ein vollständiges Produktions-Sicherheitsaudit durchlaufen hat. Wir behaupten nicht, dass Metadaten in allen Bedrohungsszenarien perfekt geschützt sind. Wir behaupten keinen Schutz gegen staatliche Akteure mit unbegrenzten Ressourcen und physischem Zugang zur Infrastruktur.

3. Keine absolute Sicherheitsgarantie

Wichtig

Kein Kommunikationssystem, egal wie gut konzipiert, kann absolute Sicherheit garantieren. Dies ist ein Grundprinzip der Informationssicherheit, keine Einschränkung, die spezifisch für SimpleGo gilt.

Sicherheit hängt von einer Kette von Komponenten ab, von denen viele außerhalb unserer Kontrolle liegen. Dazu gehören: die Sicherheit Ihres Endgeräts (Telefon, Computer oder SimpleGo-Hardware), die Sicherheit des Betriebssystems und der Software auf Ihrem Gerät, die physische Sicherheit Ihres Geräts, die Stärke und Geheimhaltung aller von Ihnen verwendeten Passwörter oder PINs, die Vertrauenswürdigkeit und Sicherheitspraktiken der Personen, mit denen Sie kommunizieren, die Sicherheit der Netzwerkinfrastruktur zwischen Ihnen und unseren Servern sowie das Fehlen unentdeckter Schwachstellen in kryptografischen Algorithmen und deren Implementierungen.

Eine Kompromittierung eines einzelnen Elements in dieser Kette kann die Sicherheit aller anderen Elemente untergraben. Wir können nur für die Komponenten verantwortlich sein, die wir direkt kontrollieren: unsere Server-Infrastruktur, unsere Software und unsere Hardware-Designs.

4. Kryptografische Software

Unsere Software implementiert kryptografische Algorithmen und Protokolle, die derzeit von der internationalen kryptografischen Forschungsgemeinschaft als sicher angesehen werden. Kryptografie ist jedoch ein sich schnell entwickelndes Feld, und die folgenden Risiken sollten verstanden werden.

Algorithmen, die heute als sicher gelten, könnten in Zukunft durch Fortschritte in Mathematik, Computertechnik oder Kryptoanalyse gebrochen werden. Das Aufkommen großskaliger Quantencomputer könnte aktuelle asymmetrische kryptografische Verfahren bedrohen (RSA, ECDH, ECDSA). Das SimpleX-Protokoll hat mit der Integration von Post-Quanten-Kryptografie begonnen (hybrides CRYSTALS-Kyber + klassisch), aber dieser Übergang ist fortlaufend und Post-Quanten-Algorithmen sind neuer und weniger erprobt als klassische.

Implementierungsfehler können theoretisch sichere Algorithmen untergraben. Seitenkanalangriffe, Timing-Angriffe und andere Schwachstellen auf Implementierungsebene stellen fortlaufende Forschungsbereiche dar. Wir mindern diese Risiken durch die Verwendung etablierter, geprüfter kryptografischer Bibliotheken (libsodium/NaCl, mbedTLS), anstatt kryptografische Primitiven selbst zu implementieren, aber keine Mitigation ist vollständig.

Regulatorischer Hinweis

Kryptografische Software kann in einigen Rechtsordnungen Import-/Exportbeschränkungen unterliegen. Nutzer sind für die Einhaltung ihrer lokalen Gesetze bezüglich der Nutzung, des Imports oder Exports kryptografischer Technologie verantwortlich.

5. Hardware-Prototyp-Status

SimpleGo-Hardware-Geräte befinden sich derzeit in der Entwicklung. Die folgenden Haftungsausschlüsse gelten für Hardware in jedem Stadium vor der endgültigen Produktionsfreigabe.

5.1 Entwicklungshardware (Model 1 "Maker")

Das Model 1 "Maker" basiert auf kommerziell erhältlichen Entwicklungsboards (LilyGo T-Deck Plus) mit kundenspezifischer Firmware. Es ist für Enthusiasten, Entwickler und Early Adopter gedacht, die die inhärenten Einschränkungen von Prototypen-Hardware verstehen. Es hat keine formale Sicherheitszertifizierung durchlaufen. Das Hardware-Design des Entwicklungsboards unterliegt nicht unserer Kontrolle. Physische Sicherheitsmerkmale (Manipulationserkennung, Secure Elements) sind auf das beschränkt, was das Entwicklungsboard bietet, was minimal ist.

5.2 Zukünftige Produktionshardware (Modelle 2 und 3)

Die Modelle 2 ("Shield") und 3 ("Vault") sind geplante Produktionsgeräte mit kundenspezifischen PCB-Designs und erweiterten Sicherheitsfunktionen. Alle Sicherheitsaussagen über diese Geräte gelten nur für finale Produktionsversionen. Vorproduktions-Prototypen, Engineering-Samples und Beta-Einheiten enthalten möglicherweise nicht alle in Marketingmaterialien beschriebenen Sicherheitsfunktionen. Spezifische Sicherheitszertifizierungen (CC, FIPS usw.) werden nach Abschluss dokumentiert und sollten nicht im Voraus angenommen werden.

5.3 Hardware-Modifikation

Die Hardware-Designs werden unter der CERN Open Hardware Licence v2 (Weakly Reciprocal) veröffentlicht. Nutzer, die Hardware-Designs modifizieren, tun dies auf eigenes Risiko. Wir können die Sicherheit oder Funktionalität modifizierter Hardware nicht gewährleisten. Nutzer, die SimpleGo-Geräte nach unseren Open-Source-Designs bauen, tragen die volle Verantwortung für Komponentenqualität, Montagequalität und resultierende Sicherheitseigenschaften.

6. Abhängigkeiten von Drittanbietern

SimpleGos Software und Dienste hängen von Drittanbieter-Komponenten ab, über die wir begrenzte oder keine Kontrolle haben.

6.1 SimpleX-Protokoll

SimpleGo implementiert das SimpleX Messaging Protocol, entwickelt von SimpleX Chat Ltd. SimpleGo ist ein unabhängiges Projekt und ist weder mit SimpleX Chat Ltd. verbunden noch von dieser unterstützt oder offiziell genehmigt. Der Name und das Protokoll SimpleX werden für Interoperabilitätszwecke verwendet. Änderungen am SimpleX-Protokoll durch seine Maintainer können die Funktionalität oder Kompatibilität von SimpleGo beeinflussen.

6.2 Kryptografische Bibliotheken

Wir stützen uns auf kryptografische Bibliotheken von Drittanbietern (einschließlich, aber nicht beschränkt auf libsodium, mbedTLS und NaCl). Schwachstellen in diesen Bibliotheken können unsere Sicherheit beeinflussen. Wir überwachen Sicherheitshinweise und aktualisieren Abhängigkeiten zeitnah, aber es kann ein Zeitfenster zwischen Offenlegung und Patch-Bereitstellung geben.

6.3 Hardware-Komponenten

Unsere Geräte verwenden Halbleiterkomponenten mehrerer Hersteller. Hardware-Schwachstellen (wie der Eucleak-Angriff auf Infineon SLE78 Secure Elements oder Spectre/Meltdown-Klasse-Angriffe auf Prozessoren) sind bei jeder Hardware-Komponente möglich. Unsere Multi-Vendor-Secure-Element-Strategie für Model 3 ist speziell darauf ausgelegt, das Risiko einer Abhängigkeit von einem einzelnen Lieferanten zu mindern, kann aber Hardware-Schwachstellen nicht vollständig eliminieren.

6.4 Netzwerkinfrastruktur

Die Kommunikation zwischen Nutzern und unseren Servern durchquert öffentliche Internetinfrastruktur, Tor-Netzwerk-Relays und Hosting-Provider-Netzwerke. Wir kontrollieren diese Netzwerke nicht und können deren Sicherheit oder Verfügbarkeit nicht garantieren.

7. Regulatorische Compliance und Exportkontrolle

SimpleGo-Hardware und -Software enthalten kryptografische Funktionalität. Nutzer sind allein dafür verantwortlich sicherzustellen, dass ihre Nutzung, ihr Import, Export oder Re-Export von SimpleGo-Produkten allen geltenden Gesetzen und Vorschriften in ihrem Rechtsgebiet entspricht.

Innerhalb der Europäischen Union können Dual-Use-Exportkontrollen nach Verordnung (EU) 2021/821 auf kryptografische Technologie Anwendung finden. Kryptografische Massenmarktprodukte qualifizieren sich im Allgemeinen für die Lizenzausnahme ENC oder sind nach Kategorie 5, Teil 2, Anmerkung 3 des Wassenaar-Abkommens befreit. Wir erteilen jedoch keine Rechtsberatung zur Exportklassifizierung, und Nutzer sollten qualifizierten Rechtsberater konsultieren, wenn sie SimpleGo-Produkte außerhalb der EU exportieren möchten.

Einige Länder beschränken oder verbieten die Nutzung starker Verschlüsselung. Es liegt in Ihrer Verantwortung festzustellen, ob die Nutzung von SimpleGo-Produkten in Ihrem Rechtsgebiet rechtmäßig ist.

8. Keine Rechts-, Medizin- oder Fachberatung

Nichts auf unserer Website, in unserer Dokumentation oder in der Kommunikation mit unserem Team stellt eine Rechtsberatung, medizinische Beratung oder professionelle Sicherheitsberatung dar. Unsere Beschreibungen rechtlicher Rahmenbedingungen (DSGVO, deutsche Strafprozessordnung, Exportkontrollen) dienen ausschließlich der Transparenz und allgemeinen Information und sollten nicht als maßgebliche rechtliche Orientierung herangezogen werden.

Wenn Sie Rechtsberatung zur Nutzung von Verschlüsselung, Datenschutz-Compliance oder den rechtlichen Auswirkungen der Nutzung sicherer Kommunikation in Ihrem Rechtsgebiet benötigen, sollten Sie einen qualifizierten Rechtsanwalt konsultieren. Wenn Ihre persönliche Sicherheit von sicherer Kommunikation abhängt, sollten Sie zusätzlich einen qualifizierten Sicherheitsfachmann konsultieren, der Ihr spezifisches Bedrohungsmodell bewerten kann.

9. Grenzen des Bedrohungsmodells

SimpleGo und das SimpleX-Protokoll sind zum Schutz gegen bestimmte Bedrohungskategorien konzipiert. Das Verständnis, was innerhalb und außerhalb des Bedrohungsmodells liegt, ist für eine verantwortungsvolle Nutzung wesentlich.

9.1 Schutz besteht gegen (konstruktionsbedingt)

Das System ist zum Schutz gegen passive Netzwerküberwachung und Verkehrsanalyse konzipiert, gegen Server-Kompromittierung (Nachrichten bleiben verschlüsselt, auch wenn unser Server beschlagnahmt wird), gegen Metadaten-Korrelation zwischen Nachrichtenwarteschlangen, gegen Nutzeridentifikation durch den Relay-Server-Betreiber und gegen Abfangen von Nachrichteninhalten während der Übertragung.

9.2 Teilweiser Schutz

Das System bietet teilweisen Schutz gegen aktive Netzwerk-Gegner (mitigiert durch TLS, aber Certificate Pinning möglicherweise unvollständig), gegen Traffic-Timing-Analyse (mitigiert durch Padding, aber nicht vollständig eliminiert) und gegen serverseitige Denial-of-Service-Angriffe (mitigiert durch Rate Limiting, aber nicht unfehlbar).

9.3 Kein Schutz gegen

Das System schützt nicht gegen Kompromittierung des Endgeräts (wenn ein Angreifer Zugang zu Ihrem Gerät hat, ist Verschlüsselung irrelevant), gegen physischen Zwang oder rechtliche Verpflichtung zur Offenlegung von Passwörtern, gegen einen kompromittierten Kommunikationspartner der Ihre Nachrichten weitergibt, gegen fortgeschrittene persistente Bedrohungen mit dauerhaftem physischen Zugang zu Hardware, gegen unentdeckte Zero-Day-Schwachstellen im kryptografischen Stack oder gegen Nutzerfehler (Teilen von Einladungslinks über unsichere Kanäle, fehlende Kontaktverifizierung usw.).

Kritisch

Wenn Ihr Leben, Ihre Freiheit oder Ihre Sicherheit von der Sicherheit Ihrer Kommunikation abhängt, verlassen Sie sich nicht ausschließlich auf eine einzelne Technologie. Verwenden Sie mehrere unabhängige Sicherheitsmaßnahmen, konsultieren Sie Sicherheitsfachleute und befolgen Sie operationelle Sicherheitspraktiken, die Ihrer spezifischen Bedrohungsumgebung angemessen sind.

10. Open-Source-Software

SimpleGos Software wird unter der GNU Affero General Public License v3.0 (AGPL-3.0) veröffentlicht, und Hardware-Designs unter der CERN Open Hardware Licence v2 (Weakly Reciprocal, CERN-OHL-W-2.0). Wie in diesen Lizenzen angegeben, werden die Software und Hardware-Designs OHNE JEGLICHE GEWÄHRLEISTUNG bereitgestellt, weder ausdrücklich noch stillschweigend, einschließlich, aber nicht beschränkt auf die stillschweigenden Gewährleistungen der Marktgängigkeit, Eignung für einen bestimmten Zweck und Nichtverletzung.

Die Verfügbarkeit des Quellcodes ermöglicht eine unabhängige Sicherheitsüberprüfung, die wir aktiv fördern. Die Tatsache, dass Code Open Source ist, garantiert jedoch nicht, dass er überprüft wurde, dass alle Schwachstellen gefunden wurden oder dass der Code frei von Fehlern ist.

11. Verfügbarkeit und Leistung

Unsere SMP-Relay-Server werden nach dem Best-Effort-Prinzip betrieben. Wir garantieren kein bestimmtes Maß an Betriebszeit, Verfügbarkeit, Durchsatz, Latenz oder Zuverlässigkeit der Nachrichtenzustellung. Serverwartung, Hardwareausfälle, Netzwerkausfälle und andere Ereignisse können Dienstunterbrechungen ohne Vorankündigung verursachen.

Der Relay-Dienst wird kostenlos bereitgestellt. Wir behalten uns das Recht vor, den Dienst jederzeit einzustellen, mit angemessener Vorankündigung, soweit praktikabel (siehe unsere Nutzungsbedingungen für Details).

Wir empfehlen nachdrücklich, dass Nutzer, die hohe Verfügbarkeit oder garantierte Nachrichtenzustellung benötigen, sich nicht ausschließlich auf unsere Relay-Infrastruktur verlassen. Das föderierte Design des SimpleX-Protokolls ermöglicht es Nutzern, eigene SMP-Server zu betreiben, was wir für hochsichere Anwendungsfälle empfehlen.

12. Verhältnis zu anderen Dokumenten

Dieser Haftungsausschluss ergänzt unsere Nutzungsbedingungen, Datenschutzerklärung und Richtlinie zur akzeptablen Nutzung. Bei Widersprüchen zwischen diesem Haftungsausschluss und den Nutzungsbedingungen haben die Nutzungsbedingungen Vorrang. Alle Dokumente zusammen bilden den vollständigen rechtlichen Rahmen für die Nutzung der Dienste und Produkte von SimpleGo.

13. Kontakt

Allgemeine Anfragen: legal@simplego.dev
Sicherheitslücken: security@simplego.dev
Datenschutzanfragen: privacy@simplego.dev

IT and More Systems
Sascha Dämgen
Am Neumarkt 22
45663 Recklinghausen
Deutschland / EU

SimpleGo Legal Framework

Terms of ServiceServer usage terms under German law Privacy PolicyZero data collection by design Acceptable Use PolicyResponsible use of encryption Law Enforcement GuidelinesWhat data we can provide Transparency ReportWarrant canary and request statistics

All documents available in English and German. Server infrastructure operated under German and EU law.

Back to Servers