Getagged: iOS

ChatSecure: Ein Update zu Jabber statt Whatsapp

Vor einer ganzen Weile habe ich experimentellerweise versucht, WhatsApp durch XMPP aka. Jabber zu ersetzen.

Die damals von mir präferierte App imo hat allerdings im Langzeittest mehrere Schwächen offenbart. Zum einen ist der Nachrichtenversand nicht immer zu 100% zuverlässig, zum anderen ist die Weiterverarbeitung der Anwenderdaten durch den geschlossenen, proprietären Quellcode nicht gerade durchschaubar. Unter anderem das war ja aber eines der Argumente gegen den Einsatz von WhatsApp.
Darüber hinaus bietet imo anscheinend keine vernünftige Verschlüsselung und hat ein weiteres Alleinstellungsmerkmal, den Support für Skype, nach einem Update ebenfalls eingebüßt. Damit sind seine Vorteile größtenteils neutralisiert. Außer zu einem Experiment habe ich die VoIP-Funktion von imo außerdem auch nie benutzt, und vielleicht wurde dies ohnehin nur vermittels eines Skypetunnels umgesetzt.

Nun es gibt einen Nachfolger in meiner Gunst: ChatSecure.

Hinter dem Namen, der wegen des inhärenten, vollmundigen Versprechens erst einmal Skepsis in mir weckte, steckt allerdings offenbar ein vollwertiger Jabberclient für den Mobileinsatz unter Apachelizenz. Und sogar OTR (Off the record-Messaging) ist mit an Bord. Gerade, wo der NSA-Skandal immer größere Wellen schlägt, ein interessantes Feature. (Die Schwächen von OTR im mobilen Einsatz sind mir bekannt, aber auch hier darf wohl gelten: besser ein bisschen Verschlüsselung als gar keine. Aber OTR ist auch optional und muss nicht benutzt werden. Und im WLAN ist das Problem dann ohnehin passé.)
Endlich also ein Player mit der richtigen Attitüde, hier der Hauptwerbetext auf der Homepage:

ChatSecure is a free open-source encrypted messaging application that uses Cypherpunks‘ Off-the-Record protocol to secure a communication channel over XMPP (Google Talk, Jabber, etc) or Oscar (AIM).

This project is *100% free* because it is important that all people around the world have unrestricted access to privacy tools. However, developing and supporting this project is hard work and costs real money. Please help support the development of this project!

Ich bin kein Kryptologe. Wer sich da aber besser auskennt und das möchte kann hier den Code überprüfen und die Implementation der Krypto auf Fehler analysieren. Open Source ahoi!

Die Benutzung und Einrichtung entspricht weitestgehend dem, was ich im oben verlinkten Artikel bereits beschrieben habe. Hier nur ein Kurzabriss:
App installieren, beim ersten Start sich mit einem existenten Jabber-Account einloggen oder einen neuen anlegen (geht über die App selbst), und schon geht’s los. Freunde addet man über deren Jabbernamen, der aussieht wie eine Emailadresse.
Unpraktisch? Wo ist der Unterschied, ob man eine Telefonnummer austauscht oder einen Jabbernamen? Außer, dass man sich letztgenannten sogar besser merken kann?
Charmant an Jabber für unterwegs ist natürlich überdies, dass man wie bei Facebook auch an der erwachsenen Tastatur seines Laptops oder Desktoprechners tippen kann, wenn man sich gerade zuhause befindet – anders als bei WhatsApp, Threema und wie sie alle heißen. Die Vorteile liegen also alle bei Lösungen mit Jabber + z.B. ChatSecure, in Komfort wie in der Sicherheit. Der einzige Haken ist deren Verbreitung – und hier kommt ihr ins Spiel!

Der Erfolg meines bisherigen Jabberexperimentes war begrenzt, um es vorsichtig zu sagen. Derzeit gehe ich aber wieder aktiver vor und habe mit ChatSecure einige neue Argumente auf meiner Seite, die insbesondere jene anschlussfähig finden dürften, die sich bislang auch Facebook verweigern, gerade in Konkurrenz zu WhatsApp.

Ein kurzes erläuterndes Wort zu OTR noch: Jedes Gerät erzeugt in Zusammenspiel mit dem Account einen sogenannten Fingerprint. Dies ist sozusagen die Identität, die eure Freunde sehen können. Damit eine OTR-verschlüsselte Verbindung zustande kommen kann, muss der Fingerprint bestätigt werden, (meist, indem beide Chatpartner eine Frage stellen, deren Antwort idealerweise nur die beiden kennen und die Antwort vorgeben) und zwar auf jedem Gerät von neuem. Das klingt unkomfortabel, wenn ihr allerdings eure Geräte mit Zugangscodes sichert, kann euer Gegenüber bei jeder Nachricht sicher sein, dass sie auch wirklich von euch kommt.
Ein weiterer Vorteil von OTR ist überdies, dass bei dessen korrekter Anwendung hinterher niemand einen technischen Beweis führen kann, dass die Gesprächspartner wirklich miteinander gesprochen haben. Das entschärft die Metadatensituation ein wenig.

Natürlich glaube ich nicht, dass sich mit ChatSecure von heute auf morgen WhatsApp erledigt haben wird und alle nur noch verschlüsselt miteinander chatten. Auch ist Verschlüsselung nicht die Lösung für ein politisches Problem. Ich darf aber sagen, dass sich in Zeiten nicht abreißender Überwachungsnachrichten ein wirklich privater Chat überraschend angenehm anfühlt. Und: Jedes verschlüsselt übertragene Bit erhöht für Lauscher wie die NSA den Aufwand, zwischen Relevantem und Geplapper zu unterscheiden – insbesondere, wenn man Jabber für das gleiche einsetzt, für das man WhatsApp so gern benutzt: Fürs Übertragen völlig belangloser Handyfotos. 🙂

ChatSecure gibt es im Playstore und für iOS. Wenn ihr es benutzt und sich keine Designfehler finden, dann spendet dem Projekt auch gern ein paar Euro über den Link auf dessen Homepage.

Wer übrigens bisher Gibberbot benutzt, ChatSecure scheint dessen Nachfolger zu sein.

Edit: Wegen wiederholter Nachfragen:
Auch Xabber habe ich früher einmal eingesetzt, der Funktionsumfang erscheint mir ziemlich vergleichbar. Unterschiede: Der Quellcode von Xabber steht unter der GPvL, was die etwas „entschiedenere“ freie Lizenz ist und mir persönlich eigentlich auch sympathischer, allerdings gibt es Xabber nur für Android, ChatSecure hingegen auch für iOS. Mein Ansatz für diesen Artikel war eine möglichst breite Anwendbarkeit, daher fiel die Wahl auf ChatSecure.
Wer außerdem einen Client für Windows Phone kennt, der kommentiere hier gern.

Edit 2:
Am Desktop gilt natürlich das Gleiche wie immer: Pidgin für Windows & Linux, Adium für Mac, plus OTR für Pidgin und eine Anleitung für Adium.

Edit 3:Wer mich bei Jabber adden möchte, bitte gern:
Aarkon@jabber.org
Gebt aber immer an, dass ihr das tun möchtet, weil ihr diesen Artikel gelesen habt. Sonst weiß ich nicht wer ihr seid und lasse das eventuell unbeantwortet.
Danke.

Edit 4, Update: Mittlerweile bin ich wieder bei Xabber gelandet. Hier ist mein Text dazu.

Advertisements