Seit den Snowden Enthüllungen ist klar, dass unsere Kommunikation einer vollumfänglichen Überwachung unterliegt. Als Gegenmaßnahme haben Websites weitflächig eine Transport- und praktisch alle nennenswerten Messenger eine Ende-zu-Ende-Verschlüsselung implementiert. Für den mobilen Gebrauch hat sich das Verschlüsselungsprotokoll von Signal (Signal-Protokoll) als besonders gut geeignet erwiesen. Auf dessen Basis haben später WhatsApp, aber auch XMPP ihre Verschlüsselung (OMEMO) erhalten.
Vor einiger Zeit haben wir euch XMPP in Verbindung mit OMEMO als eine mögliche Alternative zu WhatsApp vorgestellt. Die positiven Aspekte haben wir stark beleuchtet, die negativen aber nicht genug hervorgehoben. Das wollen wir hiermit nachholen und beschäftigen uns mit der Frage: Sind OMEMO-fähige XMPP-Clients im Allgemeinen und Conversations im Speziellen eine WhatsApp-Alternative?
Wenn ihr momentan noch WhatsApp nutzt und die Worte “WhatsApp-Alternative” hört, denkt ihr sicherlich an all die Funktionen, die ihr täglich verwendet. Alles an WhatsApp scheint unglaublich einfach zu sein: Einrichtung, Chatten, Telefonieren — und das auch vermeintlich alles nach aktuellem technischen Stand sicher verschlüsselt. Sobald ihr einen Blick auf unsere Anleitung zu Conversations werft, werdet ihr feststellen: Ganz so einfach ist das bei XMPP nicht. Und auch bei den Funktionen könntet ihr, je nachdem wie ihr WhatsApp nutzt, enttäuscht werden. Eins ist jedoch auch klar: WhatsApp ist weder datenschutzfreundlich noch sicher und die einfache Einrichtung hat ebenfalls ihren Preis.
Unser Anwendungsfall:
XMPP soll als WhatsApp-Alternative hauptsächlich auf dem Smartphone, aber auch dem PC, unabhängig vom Betriebssystem verwendet werden. Die OMEMO-Verschlüsselung sollte bei jeder Unterhaltung, jedem Gruppenchat und bei jeder versendeten Datei zum Einsatz kommen. Unverschlüsselte Verbindungen sind grundsätzlich unerwünscht. Grundlegende Sicherheitsmaßnahmen wie TLS und verschlüsselte Chatprotokolle setzen wir selbstverständlich voraus.
Disclaimer
Missverständnisse ausräumen
Grundsätzliches
XMPP ist ein Protokoll und kann deswegen prinzipiell nicht mit Clients verglichen werden. Wenn wir “XMPP” schreiben, ist das eine vereinfachte Darstellung, mit der wir die Auswahl an Clients meinen, für die das hier beschriebene Szenario in Frage kommt. Diese Auswahl wurde mithilfe der Site omemo.top erstellt und enthält deswegen nur Clients, die dort aufgeführt sind.
Wenn wir “WhatsApp” schreiben, ist das ebenfalls eine vereinfachte Darstellung. WhatsApp ist ein geschlossenes Messaging-System, basierend auf XMPP, das ebenfalls verschiedene Clients vorzuweisen hat. Seine Verschlüsselung basiert ,wie OMEMO, auf dem Signal-Protokoll. Somit ist es aus technischer Sicht für einen Vergleich mit XMPP bestens geeignet.
Wir steuern keine Toaster
XMPP kann sicherlich auf viele Arten verwendet werden, aber uns geht es hier ausschließlich um den am weitesten verbreitete Anwendungsfall:
- Einzelchat (1 zu 1)
- Gruppenchat (1 zu n)
Dieser Anwendungsfall entspricht dem eines typischen WhatsApp-Nutzers. Die Aufgabe dieses Artikels ist deshalb, diesen mit den aktuell verfügbaren OMEMO-fähigen Messengern zu vergleichen. Andere Anwendungsfälle sind explizit nicht gemeint.
Wir haben keine Kristallkugel
Betaversionen und sonstige Basteleien die (vielleicht) irgendwann zukünftig die hier angesprochenen Probleme lösen, können nicht Teil dieses Artikels sein. Nur die jeweils stabile Version kann von uns getestet werden.
Technik
Allgemeines
XMPP-Clients gibt es zwar für jede Plattform, aber nicht alle können überzeugen.
Um WhatsApp die Stirn zu bieten, braucht es für jede relevante Plattform einen Client — vor allem für die beiden größten mobilen Betriebssysteme. Für Android gibt es Conversations und Zom, für iOS ChatSecure und ebenfalls Zom. Zom ist, wie wir noch feststellen werden, nicht sicher, deswegen fällt die Wahl — mangels Alternativen — auf die verbleibenden Clients. Während Conversations in Sachen Funktionsumfang überzeugen kann, hat ChatSecure noch Luft nach oben (dazu später mehr). Für Windows und Linux ist die Auswahl auch überschaubar. Gajim ist der einzige Client, der alle benötigen Funktionen enthält. Für MacOS gibt es laut omemo.top nur Pidgin, das keine Möglichkeit bietet, OMEMO-Schlüssel zu misstrauen, damit ist das Schutzziel der Vertraulichkeit nicht erfüllt und auch in Sachen Funktionsumfang kann es nicht überzeugen.
Um die Clients in vollem Umfang nutzen zu können, müsst ihr einen XMPP-Server auswählen, der die nötigen XEPs unterstützt, ansonsten sind Probleme vorprogrammiert. Wir führen deswegen eine Liste, um euch den Einstieg zu erleichtern, doch Vorsicht, das neue XEP-0384: OMEMO Encryption fehlt noch auf unserer Liste.
Um mehrere Geräte mit der gleichen Jabber-ID (JID), eurem Account, verwalten zu können, führt der Server eine Geräteliste mit den dazugehörigen öffentlichen OMEMO-Schlüsseln. Nutzt ihr beispielsweise Conversations auf dem Handy und Gajim auf dem Desktop, sind das zwei Geräte, die trotzdem mit der selben JID erreichbar sind. Mehrere Geräte über die gleiche ID zu erreichen, ist ein Kunststück, das bisher nur mit OMEMO möglich ist. Um die Verschlüsselung zu aktivieren, muss der Kontakt in eurer Kontaktliste sein und der Online-Status beidseitig geteilt werden. Nutzen beide Server XEP-0384: OMEMO Encryption fällt diese Voraussetzung weg. Laut der Compliance-Liste nutzen es bisher nur etwa 20 Server.
Sicherheit
Ende-zu-Ende-Verschlüsselung
Von Client zu Client verschlüsselte Kommunikation kann nur an den Endpunkten entschlüsselt werden.
OMEMO ist die einzige Ende-zu-Ende-Verschlüsselung, die für den mobilen Bereich geeignet und zugleich modern ist. OTR unterstützt kein asynchrones Chatten, setzt also voraus, dass ihr und euer Gesprächspartner gleichzeitig online seid. PGP beherrscht Perfect Forward Secrecy nicht, was eure verschlüsselten Chats vor dem späteren Entschlüsseln durch Unberechtigte schützen würde (dazu gleich mehr).
OMEMO wurde im Juni 2016 einem Sicherheitsaudit unterzogen, bei dem keine schwerwiegenden Fehler festgestellt wurden. Ein Audit ist allerdings noch kein Garant für Sicherheit und auch bei der Implementierung können Fehler gemacht worden sein, die sich als Sicherheitslücke ausnutzen lassen. Jedoch vermittelt auditierte Software einen besseren Eindruck, als solche, die noch nie auf etwaige Fehler abgeklopft wurde.
Es gibt momentan keinen XMPP-Client, der unverschlüsselte Nachrichten verhindert, indem er OMEMO standardmäßig aktiviert. Das führt dazu, dass unachtsame Nutzer Nachrichten unverschlüsselt versenden. Ihr solltet also vor jedem Chat kontrollieren, ob die Verschlüsselung tatsächlich aktiv ist. Dieses Manko haben die Messenger Signal und Threema, die ebenfalls gerne als WhatsApp-Alternative genannt werden, nicht.
Transportverschlüsselung
Eure Nachricht wird idealerweise durch mehrere Verschlüsselungsschichten geschützt.
Es wird gerne behauptet, dass Nachrichten selbst ohne Ende-zu-Ende-Verschlüsselung nicht unverschlüsselt versendet werden. Es stimmt, dass ihr noch eine Art Grundschutz dank der Transportverschlüsselung (SSL/TLS) habt, die den Weg von eurem Client über die Server zum Client eures Gesprächspartners absichern soll. Damit könnt ihr euch beispielsweise beim Server mit eurem Usernamen und Passwort einloggen, ohne das jemand diese Daten einfach abgreifen kann. Diese Verschlüsselung dient aber keinesfalls als Ersatz für Ende-zu-Ende-Verschlüsselung, sondern sollte als fundamentale Schutzschicht verstanden werden, auf die mit Ende-zu-Ende-Verschlüsselung weiter aufgebaut wird.
Die Implementierung von SSL/TSL ist keinesfalls trivial. Da durch das Föderationsprinzip viele unterschiedliche XMPP-Server miteinander kommunizieren sollen, obliegt eine sichere Konfiguration vor allem den Serveradministratoren — und eben gleich mehreren davon. Aber auch die Clients sollten in der Lage sein, gültige Zertifikate von ungültigen zu unterscheiden und ggf. den Nutzern die Entscheidung überlassen, welchem Zertifikat vertraut werden kann. Das steht aber im Konflikt mit der einfachen Nutzbarkeit, die einerseits Entwickler anpeilen und andererseits Nutzer fordern.
Welche Einstellungen der Administrator bei der Transportverschlüsselung vorgenommen hat, kann mit den Tests (Client- und Servertest) vom IM Observatory überprüft werden. Allerdings ist das Testergebnis nicht für jedermann verständlich.
So funktioniert die Transportverschlüsselung
Die Verschlüsselung besteht nur zwischen den jeweiligen Stationen, beispielsweise eurem Client und dem Server. Der Transportweg durch das Internet soll damit abgesichert werden, deswegen “sehen” die Stationen selbst eure Nachrichten im Klartext. Diese Verschlüsselung wird nicht standardmäßig erzwungen, das obliegt der Verantwortung der XMPP-Server-Administratoren. Die Möglichkeit besteht daher, dass eure Nachrichten komplett im Klartext übertragen werden, nämlich wenn der Server die Verschlüsselung nicht voraussetzt. Da außerdem immer wieder Angriffe gegen TLS bekannt werden, kann diese Transportverschlüsselung keinesfalls als undurchdringbarer Schutz angesehen werden. Ihr müsst auf jeden Fall bedenken, dass ihr dabei auch jedem beteiligten Serveradministrator vertrauen müsst. Im Gegensatz dazu verlagert Ende-zu-Ende-Verschlüsselung das Vertrauen auf die Endpunkte (beispielsweise die Conversations-Clients).
Cipher-Suites
Ein richtig konfigurierter XMPP-Server mit Forward Secrecy.
TLS bietet verschiedenene Cipher-Suites. Cipher-Suites setzen sich aus einzelnen kryptografischen Verfahren für Authentifikation, Verschlüsselung, Schlüsselaustausch usw. zusammen. Nicht jede Cipher-Suite ist hierbei sicher. Ihr solltet besonders darauf achten, dass die zuvor erwähnte Perfect Forward Secrecy (PFS) aktiviert ist. Ohne PFS können Überwacher eure verschlüsselten Chats aufzeichnen und in der Zukunft entschlüsseln. Dies kann sowohl passieren, wenn ein kryptografisches Verfahren geknackt werden kann oder aber wenn sie euren privaten Schlüssel erhalten. Leider kann nur Gajim gewisse Cipher-Suites erzwingen, Conversations nicht.
Vertraulichkeit
Das Ziel von Ende-zu-Ende-verschlüsselter Kommunikation ist es, mit einer bestimmten Person vertraulich zu chatten. Deswegen ist es wichtig sicherzustellen, dass es sich tatsächlich um diese Person handelt. Das geschieht bei OMEMO mithilfe der Verifizierung des kryptografischen Fingerabdrucks. Am sichersten ist es, jeden Schlüssel selbst zu überprüfen — beispielsweise durch das Scannen eines QR-Codes. Um den Aufwand etwas zu verringern, verwenden die Clients Vertrauensmodelle, durch die festgelegt wird, ob und wann einem Schlüssel automatisch vertraut werden kann.
Die Clients nutzen verschiedene Vertrauensmodelle und sind beim Verifizieren der Fingerabdrücke per QR-Code nicht kompatibel. ChatSecure vertraut dem ersten Schlüssel eines Geräts, aber misstraut danach jedem weiteren. Das Scannen von QR-Codes ist nicht möglich. Conversations vertraut solange neuen Schlüsseln eines Kontakts, bis ihr einen QR-Code von ihm scannt. Ihr könnt das Vertrauesmodell in den Experteneinstellungen abschalten, um jeden Schlüssel selbst zu überprüfen. Bei Gajim müsst ihr in jedem Fall jeden Schlüssel selbst kontrollieren. QR-Codes aus Gajim sind mit Conversations nutzbar. Zom vertraut jedem Schlüssel ohne Überprüfung, eine Möglichkeit diesen das Vertrauen zu entziehen gibt es nicht. QR-Codes könnt ihr nur mit anderen Zom Kontakten verwenden. Somit ist bei allen Clients mit Ausnahme von Zom das Schutzziel der Vertraulichkeit erreichbar.
Bei Signal, Threema und mittlerweile auch WhatsApp ist ebenfalls eine Verifizierung möglich.
Datenschutz
XMPP ist so angelegt, dass der Server viele Informationen über euch erhält und einige davon zwangsläufig speichert. Der Serveradministrator entscheidet darüber, welche Einstellungen er beim Logging vornimmt, welche Informationen er darüber hinaus speichert und gegebenenfalls wie lange. Durch die Föderation ist wahrscheinlich kaum ein Server wie der andere eingestellt, was, wie bereits erwähnt, nicht immer etwas Positives ist.
Informationen, die ein XMPP-Server erhält, beinhalten:
- sämtliche Kontakte
- gespeicherte Gruppenchats (MUCs)
- Clienteinstellungen
- Rich-Presence-Data
- IP-Adresse
- vCards
- Logins und Logouts (Zeitstempel)
- unverschlüsselte Nachrichten
- unverschlüsselte Dateien wie Bilder/Videos
zusätzlich je nach Client:
- Betriebssysteminformationen
- Versionsinformationen des Clients
- aktuelle Systemzeit und Zeitzone
- Anwesenheitsstatus des Nutzers
Selbst wenn ein Betreiber behauptet “nichts zu speichern”, könnt ihr euch dessen nie gänzlich sicher sein. Ihr habt keinen Einblick in die Servereinstellungen und könnt nicht überprüfen, wann sich diese ändern. Für vertrauenerweckend halten wir deswegen nur Server, die neben einer aussagekräftigen Datenschutzerklärung ein Impressum aufweisen und sich im europäischen Raum befinden. Hier gilt ab Mai 2018 die Datenschutz-Grundverordnung (DSGVO), die Dienstanbietern vorschreibt, wie die personenbezogenen Daten ihrer Nutzer zu schützen sind. Die Möglichkeit einer Klage besteht ebenfalls nur, wenn überhaupt ersichtlich ist, wer den Dienst betreibt.
Funktionsumfang
Für eine schnelle Funktionsübersicht haben wir für euch eine Tabelle angefertigt. Bei dieser Gelegenheit haben wir uns erlaubt einige weitere Messenger — die wir teilweise bereits beim Thema Sicherheit und Datenschutz erwähnt haben — mit aufzuführen, um euch einen noch breiteren Blick zu verschaffen. Die Messenger Signal, Threema und Riot passen besonders gut zum Thema, da sie aus unserer Sicht ebenfalls eine WhatsApp-Alternative darstellen. Die Funktionen sind von uns mit der jeweils aktuellen (stabilen) Software-Version getestet. Beachtet bitte auch die Hinweise im nachfolgenden Text. Falls ihr überprüfen wollt, ob einer der genannten Messenger für eure Plattform verfügbar ist, findet ihr eine Linkliste am Ende des Artikels. Über den Unterschied bei den Lizenzen könnt ihr euch in unserem Artikel über freie Software informieren.
Textnachrichten
Ihr könnt mit den genannten Clients problemlos mit anderen Personen verschlüsselt chatten, wenn ihr die bereits erwähnten Hürden überwindet. Allerdings müsst ihr OMEMO im Client mit jedem neuen Chatpartner anfangs einmal einschalten und (besonders bei Conversations) darauf achten, dass ihr es nicht versehentlich ausschaltet. Falls ihr dies tut, erscheint keine warnende Kontrollfrage, ob ihr das wirklich tun wollt. Lediglich das Schloss-Symbol ist offen und im Eingabefeld steht „Unverschlüsselt schreiben“.
Dateien versenden (Bilder, Videos, andere)
Hierfür bietet sich im mobilen Bereich das XEP-0363: HTTP File Upload an. Die Dateien werden auf dem Server zwischengespeichert und können somit wie gewohnt abgeholt werden, sobald der Empfänger online ist. Euch werden keine Vorschriften gemacht, welcher Dateityp ausgeschlossen ist, aber es gibt natürlich ein Upload-Limit, das je nach Server variiert. Serverbetreiber können diese Dateien auch unterschiedlich lange speichern.
Das verschlüsselte Versenden per HTTP File Upload war mit allen von uns getesteten XMPP-Clients möglich. In ChatSecure soll das allerdings nicht immer klappen.
Sprachnachrichten
Die mobilen Clients beherrschen verschlüsselten Versand und Empfang von Sprachnachrichten.
Gruppenchat (Multi-User-Chat, MUC)
Conversations ist noch immer der einzige mobile Client, der verschlüsselte Gruppenchats unterstützt. Der oft erwähnte Vorteil von XMPP, die Föderation — praktisch jeder kann seinen eigenen Server betreiben — hat aber seinen Preis, der besonders bei MUCs deutlich wird. Selbst wenn euer Client OMEMO-MUCs unterstützt, müsst ihr mehrere Hürden nehmen.
- Ihr eröffnet euren MUC auf eurem Server und könnt dann Nutzer einladen. Je nach Server könnt ihr allerdings keinen MUC einrichten. Und wenn es doch klappt, können manche Nutzer nicht beitreten, selbst wenn Einzelchats funktionieren. Dieses Problem selbst zu lösen, ist so gut wie unmöglich, was schnell zu Frust führt.
- Ist euer MUC eröffnet und die Teilnehmer beigetreten, solltet ihr OMEMO einschalten.
- Wenn auf eurem Server das XEP-0384: OMEMO Encryption läuft, klappt der Schlüsseltausch fast automatisch. Nur wenn ein Kontakt offline ist, müsst ihr warten bis er wieder online ist, um den Schlüssel zu erhalten.
- Falls euer Server dieses XEP nicht unterstützt, sind die Voraussetzungen für den Schlüsseltausch identisch mit dem Einzelchat: Jeder Teilnehmer muss den anderen in der Kontaktliste haben und den Online-Status teilen, danach kann der Schlüsseltausch im Einzelchat erfolgen. Falls nicht zufällig alle MUC-Teilnehmer schon vernetzt sind, wird das schnell lästig.
- Einmal korrekt eingerichtet, funktionieren OMEMO-MUCs stabil, zumindest bis neue Teilnehmer hinzukommen oder einer der Teilnehmer das Gerät wechselt. Dann beginnt der Krimi mit dem Schlüsseltausch und der Verifizierung von vorn. Das erfordert gewissenhafte Gruppenteilnehmer. Wenn nur einer dem neuen Schlüssel nicht vertraut, erhält das neue Gerät dessen Nachrichten nicht. Ist ein Teilnehmer länger offline, kann das neue Gerät die Verschlüsselung nicht aktivieren und ist somit gezwungen unverschlüsselt an der Unterhaltung teilzunehmen — oder gar nicht.
Telefonie und Videotelefonie
Für die Implementierung dieser Funktion in Conversations gab es zwischen 2015 und 2017 ein Preisgeld. Mittlerweile sagt Conversations-Entwickler Daniel Gultsch, dass diese Funktion zu viel Arbeit bedeute und deswegen — zumindest von seiner Seite — nicht umgesetzt wird. Diese Absage lässt Conversations im Vergleich mit der Konkurrenz blass wirken, gehört es doch in Messengern wie WhatsApp, Signal, Threema (nur Audio) und Riot zum Standardrepertoire.
Fazit
Ist Conversations und XMPP eine WhatsApp-Alternative?
XMPP, seine Clients und Server entwickeln sich ständig weiter und eines Tages ist es vielleicht soweit, dass einer dieser Clients in jeder Hinsicht eine echte WhatsApp-Alternative darstellt. Soweit ist es aber leider noch nicht. XMPP kann mit dem Funktionsumfang von WhatsApp und seiner Alternativen einfach nicht mithalten. Die Clients können nicht auf jeder Plattform überzeugen — vor allem Apple-Nutzer müssen starke Abstriche machen — und in Sachen Datenschutz und Sicherheit kommt es stark auf die Konfiguration der Server an und letztlich auch auf eurer Vertrauen gegenüber den Administratoren.
Ist XMPP deswegen generell zu meiden? Keineswegs. Es kommt ganz darauf an, welche Anforderungen ihr an euren Messenger stellt. Nutzt ihr überwiegend Textnachrichten im Einzelchat, dann könnt ihr mit gutem Gewissen zugreifen. Liegt euer Fokus aber auf Gruppenchats und habt ihr Freunde mit iOS-Geräten, solltet ihr zum jetzigen Zeitpunkt noch die Finger davon lassen. Wenn ihr gerne mit eurem Messenger telefoniert, sind die OMEMO-fähigen Messenger ebenfalls nichts für euch.
Auch bei der initialen Einrichtung müsst ihr Geduld mitbringen. Informiert euch und wählt den richtigen Server, um später nicht über unerwartete Probleme zu stolpern. Ihr und eure Chatpartner solltet euch mit den Funktionen euer Clients und den sicherheitsrelevanten Einstellungen befassen. Vor allem das Kapitel Vertraulichkeit sollte — falls euer Ziele eine vertrauliche Unterhaltung ist — jeder verstanden haben.
Ist euch das zu viel? Dann greift lieber zu Signal oder Threema. Natürlich gibt es auch hier Kritikpunkte und letztlich kann man es eh nicht jedem recht machen. Aber niemand kann bestreiten, dass diese beiden Messenger nutzerfreundlich und sicher sind.
Natürlich werden wir euch weiter auf dem Laufenden halten, wenn es Neuigkeiten von der OMEMO-Front gibt. Wir erwarten die Umsetzung von OMEMO-MUCs für iOS-Clients und weitere Vereinfachungen bei MUCs im Allgemeinen noch im laufenden Jahr.
Bildquellen und lizenzrechtliche Angaben:
Conversations Logo von Diego Turtulici (Original), Ilia Rostovtsev (Verbesserung), Daniel Gultsch (Projekteigentümer)
CC BY-SA 4.0
Bearbeitung: Logo wurde in Titelbild und Schaubild “Verschlüsselung” eingebettet.
