Sicheres Messaging in nicht so sicheren Zeiten

Die letzten Monate waren die Nachrichten voll von Enthüllungen der Spionage-Machenschaften der USA und Großbritanniens, dann noch die Meldung das Whats-App von facebook gekauft wurde und die Leute sind kaum noch zu halten. Nicht nur, dass das von Jugendlichen aller Art geliebte Whats-App nun auch bald von ihren total uncoolen Eltern verseucht werden wird (so wie zuvor schon facebook), sondern auch, dass die NSA jetzt nur noch halb so viele Leute zum rumspionieren beschäftigen muss. Man stelle sich mal das Stellengesuch vor: “Arbeitsloser Spion sucht social-media-Plattform zum ausspionieren.”

Wenig erstaunlich ist es in diesem Zuge, dass plötzlich eine gewaltige Ansammlung an “sicheren” Messaging Diensten aus der Erde sprießt, die sich rasch verbreitet. Erstaunlicher ist es hingegen, das keiner bisher auch nur halbwegs vernünftig zu sein scheint. Laut der Stiftung Warentest wurde Threema zwar als unkritisch eingestuft, aber auch nicht als sicher. Ich meine, was nützt dieser angeblich so sicherer Messenger, wenn ich auf wohl klingende Versprechen der Webseite vertrauen muss, weil der Source-Code nicht offen ist. Besser sieht es zwar bei TextSecure aus, allerdings überzeugt mich diese Lösung auch noch nicht so richtig: Der SourceCode ist zwar offen zugänglich, aber ich hab keine Möglichkeit der Server selbst zu hosten, ohne gleich eine Parallelgesellschaft zu gründen. Und wer garantiert mir, das die Betreiber wirklich den Sourcecode compilieren, den sie auf Github der Öffentlichkeit bereit stellen? Also richtig OpenSource ist auch diese Lösung nicht. Außerdem setzen beide auf propritäre Protokolle, was meines Erachtens nicht sonderlich zukunftssicher ist.

Die optimale Alternative wäre Jabber bzw. XMPP: Man kann seinen eigenen Server hosten und trotzdem mit der gesamten Community kommunizieren, es gibt sehr viele OpenSource Clients und die Technologie wird rege weiterentwickelt. Jedoch ist auch Jabber nicht das Allheilmittel, weil es zum einen zu kompliziert für den durchschnittlichen mobilen Endanwender ist und zum ander nicht automatisch End-to-End verschlüsselt. Das OTR Messaging hat sich zwar sehr gut etabliert und es gibt auch viele Android-Anwendungen die dies beherrschen, aber es hat 2 große systembedingte Probleme:

Der Fakt, das Nachrichten keinerlei digitale Signatur enthalten ist zwar sehr gut, um ein Gespräch abzustreiten, leider ist damit auch die Verifikation des Gegenübers sehr schwer. Weiterhin müssen beide Gesprächspartner gleichzeitig online sein, was bei mobilen Endgeräten meist etwas unkomfortabel ist. Zudem kann ein Gespräch nicht so einfach auf z.B. einem Computer weitergeführt werden, was ziemlich viel Potenzial von XMPP verschenkt.

OTR ist eine sehr tolle Technologie, die unbedingt weiter entwickelt werden muss. Für den Alltagsgebrauch finde ich allerdings eine Verschlüsselung mit OpenPGP, wie sie z.B. Gajim anbietet, deutlich praktikabler. Ich kann auf allen meinen PCs ein Gespräch verfolgen, oder weiterführen, ohne OTR Anfragen herum zu hantieren und ich kann auf die etablierte Infrastruktur, sowie lange erprobten Implementierung von PGP zurückgreifen.

Leider gibt es nur keine Android-App die dieses Feature unterstützt.

Bookmark the permalink.

Comments are closed