Getagged: Chat

ChatSecure: Ein Update zu Jabber statt Whatsapp

Vor einer ganzen Weile habe ich experimentellerweise versucht, WhatsApp durch XMPP aka. Jabber zu ersetzen.

Die damals von mir präferierte App imo hat allerdings im Langzeittest mehrere Schwächen offenbart. Zum einen ist der Nachrichtenversand nicht immer zu 100% zuverlässig, zum anderen ist die Weiterverarbeitung der Anwenderdaten durch den geschlossenen, proprietären Quellcode nicht gerade durchschaubar. Unter anderem das war ja aber eines der Argumente gegen den Einsatz von WhatsApp.
Darüber hinaus bietet imo anscheinend keine vernünftige Verschlüsselung und hat ein weiteres Alleinstellungsmerkmal, den Support für Skype, nach einem Update ebenfalls eingebüßt. Damit sind seine Vorteile größtenteils neutralisiert. Außer zu einem Experiment habe ich die VoIP-Funktion von imo außerdem auch nie benutzt, und vielleicht wurde dies ohnehin nur vermittels eines Skypetunnels umgesetzt.

Nun es gibt einen Nachfolger in meiner Gunst: ChatSecure.

Hinter dem Namen, der wegen des inhärenten, vollmundigen Versprechens erst einmal Skepsis in mir weckte, steckt allerdings offenbar ein vollwertiger Jabberclient für den Mobileinsatz unter Apachelizenz. Und sogar OTR (Off the record-Messaging) ist mit an Bord. Gerade, wo der NSA-Skandal immer größere Wellen schlägt, ein interessantes Feature. (Die Schwächen von OTR im mobilen Einsatz sind mir bekannt, aber auch hier darf wohl gelten: besser ein bisschen Verschlüsselung als gar keine. Aber OTR ist auch optional und muss nicht benutzt werden. Und im WLAN ist das Problem dann ohnehin passé.)
Endlich also ein Player mit der richtigen Attitüde, hier der Hauptwerbetext auf der Homepage:

ChatSecure is a free open-source encrypted messaging application that uses Cypherpunks‘ Off-the-Record protocol to secure a communication channel over XMPP (Google Talk, Jabber, etc) or Oscar (AIM).

This project is *100% free* because it is important that all people around the world have unrestricted access to privacy tools. However, developing and supporting this project is hard work and costs real money. Please help support the development of this project!

Ich bin kein Kryptologe. Wer sich da aber besser auskennt und das möchte kann hier den Code überprüfen und die Implementation der Krypto auf Fehler analysieren. Open Source ahoi!

Die Benutzung und Einrichtung entspricht weitestgehend dem, was ich im oben verlinkten Artikel bereits beschrieben habe. Hier nur ein Kurzabriss:
App installieren, beim ersten Start sich mit einem existenten Jabber-Account einloggen oder einen neuen anlegen (geht über die App selbst), und schon geht’s los. Freunde addet man über deren Jabbernamen, der aussieht wie eine Emailadresse.
Unpraktisch? Wo ist der Unterschied, ob man eine Telefonnummer austauscht oder einen Jabbernamen? Außer, dass man sich letztgenannten sogar besser merken kann?
Charmant an Jabber für unterwegs ist natürlich überdies, dass man wie bei Facebook auch an der erwachsenen Tastatur seines Laptops oder Desktoprechners tippen kann, wenn man sich gerade zuhause befindet – anders als bei WhatsApp, Threema und wie sie alle heißen. Die Vorteile liegen also alle bei Lösungen mit Jabber + z.B. ChatSecure, in Komfort wie in der Sicherheit. Der einzige Haken ist deren Verbreitung – und hier kommt ihr ins Spiel!

Der Erfolg meines bisherigen Jabberexperimentes war begrenzt, um es vorsichtig zu sagen. Derzeit gehe ich aber wieder aktiver vor und habe mit ChatSecure einige neue Argumente auf meiner Seite, die insbesondere jene anschlussfähig finden dürften, die sich bislang auch Facebook verweigern, gerade in Konkurrenz zu WhatsApp.

Ein kurzes erläuterndes Wort zu OTR noch: Jedes Gerät erzeugt in Zusammenspiel mit dem Account einen sogenannten Fingerprint. Dies ist sozusagen die Identität, die eure Freunde sehen können. Damit eine OTR-verschlüsselte Verbindung zustande kommen kann, muss der Fingerprint bestätigt werden, (meist, indem beide Chatpartner eine Frage stellen, deren Antwort idealerweise nur die beiden kennen und die Antwort vorgeben) und zwar auf jedem Gerät von neuem. Das klingt unkomfortabel, wenn ihr allerdings eure Geräte mit Zugangscodes sichert, kann euer Gegenüber bei jeder Nachricht sicher sein, dass sie auch wirklich von euch kommt.
Ein weiterer Vorteil von OTR ist überdies, dass bei dessen korrekter Anwendung hinterher niemand einen technischen Beweis führen kann, dass die Gesprächspartner wirklich miteinander gesprochen haben. Das entschärft die Metadatensituation ein wenig.

Natürlich glaube ich nicht, dass sich mit ChatSecure von heute auf morgen WhatsApp erledigt haben wird und alle nur noch verschlüsselt miteinander chatten. Auch ist Verschlüsselung nicht die Lösung für ein politisches Problem. Ich darf aber sagen, dass sich in Zeiten nicht abreißender Überwachungsnachrichten ein wirklich privater Chat überraschend angenehm anfühlt. Und: Jedes verschlüsselt übertragene Bit erhöht für Lauscher wie die NSA den Aufwand, zwischen Relevantem und Geplapper zu unterscheiden – insbesondere, wenn man Jabber für das gleiche einsetzt, für das man WhatsApp so gern benutzt: Fürs Übertragen völlig belangloser Handyfotos. 🙂

ChatSecure gibt es im Playstore und für iOS. Wenn ihr es benutzt und sich keine Designfehler finden, dann spendet dem Projekt auch gern ein paar Euro über den Link auf dessen Homepage.

Wer übrigens bisher Gibberbot benutzt, ChatSecure scheint dessen Nachfolger zu sein.

Edit: Wegen wiederholter Nachfragen:
Auch Xabber habe ich früher einmal eingesetzt, der Funktionsumfang erscheint mir ziemlich vergleichbar. Unterschiede: Der Quellcode von Xabber steht unter der GPvL, was die etwas „entschiedenere“ freie Lizenz ist und mir persönlich eigentlich auch sympathischer, allerdings gibt es Xabber nur für Android, ChatSecure hingegen auch für iOS. Mein Ansatz für diesen Artikel war eine möglichst breite Anwendbarkeit, daher fiel die Wahl auf ChatSecure.
Wer außerdem einen Client für Windows Phone kennt, der kommentiere hier gern.

Edit 2:
Am Desktop gilt natürlich das Gleiche wie immer: Pidgin für Windows & Linux, Adium für Mac, plus OTR für Pidgin und eine Anleitung für Adium.

Edit 3:Wer mich bei Jabber adden möchte, bitte gern:
Aarkon@jabber.org
Gebt aber immer an, dass ihr das tun möchtet, weil ihr diesen Artikel gelesen habt. Sonst weiß ich nicht wer ihr seid und lasse das eventuell unbeantwortet.
Danke.

Edit 4, Update: Mittlerweile bin ich wieder bei Xabber gelandet. Hier ist mein Text dazu.

Sozialexperiment: Jabber als WhatsApp-Ersatz

Da WhatsApp in Zukunft wohl für viele kostenpflichtig wird und ich ohnehin kein Freund proprietärer Systeme bin, halte ich die Zeit für gekommen, sich Gedanken über Alternativen zu machen.

WhatsApp war angetreten, so etwas wie ein SMS-Ersatz zu sein. Weil die Daten übers Internet versendet werden, kommt man um die Kosten des SMS-Dienstes herum, zusätzlich hat man nicht mit der technologischen Beschränktheit auf eine maximale Anzahl von Zeichen zu kämpfen und kann zusätzlich noch Dateien und Bilder versenden. Durch den geschickten Trick, dem Benutzer gegenüber das Anlegen noch eines Benutzerkontos zu verschleiern, indem man ohne weitere Rückfragen die Mobilfunknummer als Identifikator benutzte, und sämtliche Telefonkontakte zu rastern, ob diese ebenfalls einen Account haben, bestand außerdem so etwas wie ein Komfortvorteil gegenüber anderen Marktteilnehmern und eine gefühlt bessere Durchdringungsrate, so dass sich WhatsApp tatsächlich zu so etwas wie einem Standard mausern konnte.
Leider war WhatsApp schon immer von vorn bis hinten kommerziell, was sich darin äußerte, das die App z.T. Geld kostet(e) und die Technik nicht offenlag. Letzteres führte zu mehreren gravierenden Sicherheitslücken (lange Zeit sendete die App alle Nachrichten als Klartext, sogar in offenen W-LANs, und auch heute noch kann soweit ich weiß mit Bordmitteln ein fremder Account übernommen werden), so dass mancher  WhatsApp sogar schon ein „broken by design“ ausstellte. Welche anderen Pannen noch kommen mögen kann außerhalb des Unternehmens niemand einschätzen, und auch muss jeder für sich selbst entscheiden, wie wohl ihm dabei ist, seine gesamte Kurznachrichtenkorrespondenz einem ausländischen Unternehmen in die Hände zu legen.

Ich starte daher ein Sozialexperiment: Ich bin die nächste Zeit mobil bevorzugt per Jabber zu erreichen.
Aarkon@jabber.org

Wem Jabber nichts sagt: Das ist, vereinfacht gesagt, ein Kurznachrichtenprotokoll, also die Spezifikation, wie so etwas zu laufen hat. Im Netz steht eine ganze Horde von Servern, auf denen ein solcher Dienst läuft und die so als Vermittlungsstelle fungieren, und auf denen man sich ein Konto klicken kann, das i.d.R. sogar ohne Angabe einer Emailadresse auskommt. Username, Passwort, fertig. Es spricht außerdem nichts dagegen, mehrere zu haben. Beruflich und privat zu trennen ist hier z.B. also kein Problem.
Einer der zentralen Jabberserver (aber bei weitem nicht der einzige) ist dieser hier:
http://www.jabber.org/

Wer z.B. ein Konto bei GMX hat, der hat sowieso bereits einen Jabberaccount, der genauso heißt wie seine Emailadresse. Und gewiss ist GMX da nicht allein. Es spielt übrigens aber überhaupt keine Rolle, wo man seinen Account nun hat, da die Server allesamt miteinander sprechen können.
Generell setzt sich der Name eines Jabber-Accounts grundsätzlich so zusammen:
Accountname@Servername.Domainendung

Der Clou von WhatsApp, der meiner Meinung nach einen nicht unwesentlichen Anteil an dessen Erfolg hatte, war, dass man es dem Nutzer so einfach machte, andere WhatsApp-Benutzer zu finden, indem die App die Liste der auf dem Telefon gespeicherten Nummern mit einer eigenen Liste von WhatsApp-Benutzern abglich. So konnte jedem im Telefon gespeicherten Kontakte, der ebenfalls WhatsApp benutzt, direkt eine Nachricht geschickt werden, ohne diesem eine Anfrage um Erlaubnis vorausschicken zu müssen.
Eine Messengerapp, die dieses Konzept zu adaptieren versucht, ist imo.
https://imo.im/
Hier legt der Benuzter ein Konto an, dem die einzelnen Messenger zugeordnet werden können. Abgesehen von Jabber kann man hier auch Facebookmessenger usw. eintragen, das soll machen wer will. Jabber erscheint mir aber als sinnvoller.
Wer darauf verzichten kann, seine Telefonkontakte nach weiteren imo-Usern durchsuchen zu lassen, kann das auch überspringen und ganz konventionell z.B. Jabberkontakte hinzufügen. Da diese sich wie eine Email lesen sind sie meiner Meinung nach auch deutlich einfacher zu merken als eine Handynummer, was einen Vorteil von WhatsApp auch wieder relativert.
Zusätzlich erlaubt imo grundsätzlich sogar Internettelefonie – unter Umständen spart man hier also Telefonkosten, insbesondere, wenn sich beide Teilnehmer in Reichweite eines W-LANs aufhalten. Wie sich der Durchsatz und Gesprächsqualität ändern, wenn man unterwegs ist, muss noch ausprobiert werden.

Welche Vorzüge hat denn nun Jabber konkret?
–  Es bietet alle technischen Vorteile von Whats App. (SMS-Ersatz ohne Zeichenbegrenzung und kostenlos, da Versand übers Web, Senden und Empfangen von Dateien & Fotos)
– Das Jabberprotokoll hängt nicht wie Whats App an einer Anwendung. Wenn imo kostenpflichtig oder zu invasiv wird, kann man wechseln.
– Man kann, wenn man will, seine Nachrichten verschlüsselt übertragen.
– Das Protokoll ist freie Software und kann von jedem weiterentwickelt werden, so hängt das Fortbestehen der Technik nicht am Erfolg eines Unternehmens.

Außerdem entfällt die Notwendigkeit, auch zuhause stets das Mobiltelefon zu zücken, um jemandem, den man unterwegs wähnt, eine Nachricht zu schreiben – man kann dies auch über seinen Rechner tun, da die gesamte Technologie ursprünglich für Desktopchats gedacht war. Für Windows & Linux empfehle ich persönlich Pidgin, für Mac Adium.
Es gibt auch noch Trillian, das auf allen drei Systemen läuft und das sogar eine mobile App hat, das habe ich aber nicht ausprobiert. Wer damit bereits Erfahrungen gemacht hat, bitte gern in den Kommentarbereich damit.

Die Arbeitsschritte sind also folgende:

– Jabberaccount anlegen
– imo herunterladen, installieren & registrieren
– Jabberaccount in imo integrieren
(- wer will: Kontakte durchsuchen lassen)

Dagegen ist der Vorgang auch bei WhatsApp nur wenig komfortabler, wo man seine Nummer ebenfalls erst via SMS bestätigen lassen muss.

Sicherlich könnte man noch irgendwie einen Schritt einsparen oder vereinfachen. Der Aufwand ist aber in jedem Falle komplett überschaubar und alle Schritte auch von Laien durchführbar.
Wie bei jeder Kommunikationstechnik hilft aber bei allen technischen Vorteilen nur, sie aktiv zu benutzen. Jetzt könnte der Moment sein, um eine geschlossene Technologie durch eine offene, neutralere zu ersetzen. Es muss lediglich die kritische Masse an Freunden integriert werden.

Wir Nutzer haben die Vorteile auf unserer Seite.

Update: Die Geschichte geht hier weiter.