Am 19. Februar hat Facebook den Messengerdienst WhatsApp gekauft. Viele Nutzer suchen Alternativen. Zwei davon stellen wir hier kurz vor: Jabber/XMPP für den sicheren Chat und TextSecure für sichere Kurznachrichten.
TextSecure
WhatsApp hat mit inzwischen über 450 Millionen Nutzern gerade bei Jüngeren die klassische SMS abgelöst. Ein wesentlicher Grund dafür ist, dass er mit einer Jahrespauschale von 1€ deutlich günstiger ist. Die Nachteile sind bekannt: Zahlreiche Nutzerdaten landen unverschlüsselt auf den Servern der Betreiber, viele Sicherheitslücken, schwache Verschlüsselung und proprietäre Software.
TextSecure ist ein alternativer Dienst, der genauso wie WhatsApp darauf abzielt, einen Ersatz für SMS anzubieten. Entwickelt wird er von Open WhisperSystems. Im Gegensatz zu WhatsApp ist die Software gemäß GPLv3 (Client) bzw. AGPLv3 (Server) vollständig im Quelltext verfügbar. Das verwendete TextSecure Protocol V2 baut im kryptografischen Teil auf OTR auf und wurde insbesondere für den asynchronen Nachrichtenaustausch angepasst.
Nachrichten werden standardmäßig verschlüsselt und wenn möglich über einen TextSecure-Server zum Empfänger gesendet. Ist das nicht möglich, kann die Nachricht auch als verschlüsselte SMS versendet werden. Ebenso werden die Nachrichten verschlüsselt beim Absender abgelegt. Inzwischen unterstützt TextSecure auch verschlüsselte Gruppenchats.
Derzeit ist der Messenger nur für Android erhältlich, soll aber in Kürze auch für iOS angeboten werden.
Außerdem wurde TextSecure inzwischen direkt in Cyganomod integriert. Auf die eingesetzte Verschlüsselung werden wir in einem späteren Artikel einen genaueren Blick werfen. Bislang sind keine schwerwiegenden Sicherheitsmängel bekannt.
Jabber/XMPP
Während bei asynchroner Kommunikation der Empfänger einer Nachricht gewöhnlicherweise die Nachricht erst zeitversetzt erhält, geht es beim klassischen Chat um synchrone Kommunikation, d.h. die Gesprächspartner sind zeitgleich online. Das dafür wohl mit Abstand am häufigsten eingesetzte Protokoll ist das Extensible Messaging and Presence Protocol (XMPP), früher als Jabber bekannt.
XMPP unterstützt den föderierten Einsatz, d.h. XMPP-Server verschiedener Anbieter können miteinander kommunizieren. Wie bei E-Mail können sich die Nutzer so einen Anbieter ihrer Wahl aussuchen und mit Nutzern anderer Anbieter kommunizieren. Einige Mail-Anbieter wie FastMail, Google oder GMX bieten zusammen mit dem E-Mail-Account auch einen XMPP-Chat-Account an.
Viele weitere Anbieter von Messengerdiensten wie Facebook, WhatsApp oder Google verwenden teilweise oder nahezu vollständig ebenfalls XMPP unter der Haube, verstecken das aber durch proprietäre Erweiterungen und verbieten in den allermeisten Fällen die föderierte Nutzung. Damit sperren sie den Nutzer aus wirtschaftlichen Gründen quasi in einen Walled Garden ein.
Ungeachtet dessen gibt es zahlreiche öffentlich XMPP-Server, die man nutzen kann. Außerdem bieten auch einige Universitäten und Hochschulen XMPP-Accounts für ihre Studenten und Mitarbeiter an, wie etwa die Universität Konstanz. Das JUNe-Netzwerk stellt eine entsprechende Liste teilnehmender Bildungseinrichtungen bereit.
XMPP-Chats können mit S/MIME, GnuPG oder Off-the-Record Messaging (OTR) verschlüsselt werden. OTR bietet neben der Verschlüsselung, Beglaubigung und Abstreitbartkeit von Nachrichten auch Perfect Forward Secrecy, d.h. Gespräche können auch nicht nachträglich entschlüsselt werden, sollte der Schlüssel einmal in falsche Hände geraten. Ein genaueren Blick auf OTR werden wir in einem späteren Artikel werfen.
Inzwischen sind XMPP-Clients für alle Plattformen verfügbar. Wir geben an dieser Stelle daher nur eine Auswahl der verbreitesten Anwendungen an, die meist auch OTR unterstützen. Ein Sonderfall sei vorab genannt: Mit Jitsi sind neben verschlüsselten Chats auch verschlüsselte Audio- und Videokommunikation per ZRTP möglich, aber dazu ebenfalls mehr in einem späteren Artikel. Hier also die Liste von XMPP-Clients:
- GNU/Linux: Jitsi, Pidgin, Empathy, Kopete, Gajim, KTp, Psi
- Android Linux: Xabber, Gibberbot, Jitsi, Kontalk
- Mac OS X: Jitsi, Adium, Psi, iMessage
- iOS: ChatSecure, iMessage
- Microsoft Windows: Jitsi, Pidgin
Damit möchten wir den kurzen Überblick zu sicheren Alternativen für WhatsApp beschließen. Wir hoffen, Euch ein paar nützliche Hinweise gegeben zu haben, die Euch davon abhalten, Euer Geld an Startups mit zum Teil fragwürdigen Versprechungen zu verschenken. Dazu zählen wir u.a. explizit Whistle, Threema und Telegram, die wir ausdrücklich nicht empfehlen.
Ganz vergessen: Cyanogenmod hat TextSecure ab 10.2 fest integriert, Daumen hoch 😉
In seiner Live-Schalte bei der South-by-Southwest-Konferenz (SXSW) in Austin hat NSA-Whistleblower Edward Snowden Moxie Marlinspike und sein Unternehmen Open WhisperSystems gelobt, das hinter TextSecure steht.
Hanno Böck hat sich in einem neuen Artikel bei Golem der kryptografischen Seite von Threema gewidmet, u.a. wie Threema NaCl einsetzt.
Kleine Ergänzung: Gibberbot heißt jetzt auf Android ebenfalls ChatSecure.
Ich finde es übrigens erschreckend, dass selbst Leute, die es eigentlich besser wissen, Threema und Telegram ernsthaft als Alternativen für die Masse auflisten:
http://www.nw-news.de/owl/regionale_wirtschaft/10562251_Netzpolitologin_Leena_Simon_Die_Angst_ist_gerechtfertigt.html
Ergänzung: Natürlich geht es bei TextSecure und XMPP/OTR stets um Ende-zu-Ende-Verschlüsselung 😉
Ein lesenswerten Artikel hat Hanno Böck bei Golem veröffentlicht: Vorsicht vor falschen Krypto-Versprechen. Gut finde ich vor allem den Hinweis, dass die Verfügbarkeit des Quellcodes noch lang keine Sicherheitsgarantie ist, sowie seine Anmerkung, dass das ganze Brimborium alles nichts bringt, wenn das Endgerät nicht sicher ist.