TmoWizard's Impressum, Disclaimer & Datenschutz   
Dieses Blog ist NOFOLLOW-frei!

Werte Leserinnen und Leser,

aus gegebenem Anlaß hier eine ziemlich lange Anmerkung zu meinem SeaMonkey-Tutorial: #ChatZilla mit #BitlBee als #Multimessenger – Ein sicherer #Chat?! Teil 3:

Das Tutorial funktioniert wie erwähnt in dieser Form nur mit Linux!

Für Windows kommt eventuell irgend wann mal ein extra Tutorial, das muß ich mir aber noch ganz arg überlegen! Für Geräte von Apple darf sich aber auf jeden Fall jemand anderer darüber Gedanken machen, ich habe nämlich keines und brauche sowas auch gar nicht.

Allerdings könnte man sich hierfür auch einen kleinen Rechner mit Linux (z. B. Raspberry Pi) in die Ecke stellen, dann spielt das auf den anderen Geräten verwendete Betriebssystem gar keine Rolle mehr!

Zudem habe ich vergessen zu erwähnen, daß zumindest Telegram selbst zusätzlich noch PFS verwendet, wodurch ausgerechnet dieser Messenger auf diese Art wohl einer der sichersten Chats überhaupt sein dürfte! WhatsApp und natürlich der Facebook-Chat fallen eh flach, den Grund hierfür sollte wirklich jeder verstehen.

 

Welche Messenger sind denn besser geeignet?

Signal? Threema? Was bitte machen die beiden angeblich sichersten Messenger besser wie Telegram, vor allem dank meinem Tutorial?

Mal gucken:

(Hinweis: Der verlinkte Beitrag ist zwar relativ aktuell (2017), in Bezug auf Telegram und eventuell auch den anderen Messenger hat sich da aber inzwischen doch einiges geändert, wobei er aber schon zu diesem Zeitpunkt nicht mehr der Wahrheit entsprach! Wenn man jedoch bei der Wikipedia und auch anderen „aktuellen“ Quellen (also z. B. den sogenannten IT-Magazinen oder so) nachforscht, dann stehen selbst dort sogar noch wesentlich ältere nicht mehr vorhandene Fehler von Telegram drinnen. Die sollten sich alle echt mal schämen, aber sowas von! )

Signal:

  • Benötigt Zugriff auf das Adreßbuch, das geht ja mal gar nicht! Bei Telegram soll das ja angeblich ebenfalls der Fall sein, allerdings ist das eine glatte Lüge! Signal fails verry great!
  • SIM-Karte für Nutzung nötig… Telegram benötigt zwar nur irgend eine gültige Telefonnummer, das ist aber auch nicht viel besser! Trotzdem: Signal fails again!
  • Funktioniert nur in Verbindung mit einem Smartphone! Öhm… da fehlen mir echt die Worte!

Alleine durch den ersten Punkt ist Signal bei mir auch schon komplett ganz weit unten durch, ein sicherer Chat ist ja wohl wirklich was anderes! Da die Quellcodes des Clients und des Protokolls jedoch inzwischen offen liegen bin ich der guten Hoffnung, daß das Protokoll auch bald für BitlBee verfügbar ist und sich zumindest dieser erste Punkt für immer verabschiedet.

Daß allerdings zwingend ein Smartphone benötigt wird schießt den Vogel endgültig ab, solch einen Messenger kann man doch nicht empfehlen! Das ist dann wirklich ein sehr deutliches Signal:

STOPP, Finger weg von dem Drecksteil!

 

Threema:

  • Quellcode nicht frei zugänglich! Dadurch ist eine unabhängige Überprüfung der Sicherheit des Programms nicht möglich. Threema fails great!
  • Abgleich der Kontakte standardmäßig aktiviert. Was zum Geier bitte soll das denn? Threema fails great again!

Threema ist damit alleine wegen diesen beiden Punkten für mich absolut inakzeptabel! Dann soll ich für solchen einen Scheiß auch noch was bezahlen, geht’s noch? Ich bin zwar bei manchen Dingen etwas verrückt und chaotisch, aber noch lange nicht bescheuert!

 

Telegram:

Ok, da stehen einige Fehler, aber:

  • Chats sind standardmäßig nicht Ende-zu-Ende verschlüsselt. Fällt dank BitlBee aus, es wird standardmäßig Ende-zu-Ende verschlüsselt! Zudem ist das inzwischen nicht mehr ganz richtig, denn das gilt nur noch bei Gruppenchats!
  • Verschlüsselte Chats („Geheime Chats“) müssen eigens eingerichtet werden und der Schlüssel muß mit dem Gesprächspartner abgeglichen werden. Ach! Der Schlüssel muß natürlich beiden Gesprächspartner bekannt sein! Ein abgesperrtes Schloß kann man nun mal nur mit einem passenden Schlüssel öffnen, außer man verwendet einen Bolzenschneider! Zudem muß das schon seit einiger Zeit nicht mehr eigens eingerichtet werden, Chats werden wie oben erwähnt inzwischen automatisch verschlüsselt und Telegram verwendet dazu noch OTR und PFS!
  • SIM-Karte für Nutzung nötig. Stimmt nicht, es genügt irgend eine gültige Telefonnummer, aber auch das ist nicht gerade optimal! Man kann hierfür auch die Nummer des Festnetzes nehmen, wenn man kein mobiles Gerät besitzt.
  • Benötigt Zugriff auf Adreßbuch. Stimmt absolut nicht, weder auf dem Smartphone noch auf dem PC! Der PC steht hier neben mir und das Smartphone liegt direkt vor meiner Nase, das ist also wie schon weiter oben erwähnt eine glatte Lüge!
  • Speichert Kontakte. Ähm.. ja,  das stimmt, aber bitte welcher Messenger macht das denn nicht? Sonst müßte man ja bei jedem neuen Chat jedesmal die Daten von Hand eingeben und solch einen Messenger wird wohl kaum jemand verwenden!
  • keine Angaben zu Speicherung von Metadaten. Ist dank BitlBee egal, da ist nämlich alles verschlüsselt! Zudem werden sogar beim sogenannten „geheimen (also direktem) Chat“ vom „normalen“ Telegram-Messenger SSL/TLS, OTR, DCC und PFS verwendet, viel sicherer geht es ja wohl kaum mehr.
  • Telegram verwendet die Hashfunktion SHA-1! Das war einmal, Telegram verwendet schon seit längerer Zeit SHA-256!

 

Im Prinzip stört hier also nur die Sache mit der Telefonnummer, ansonsten gilt:

  • Schlüsseltausch? Das machen sogar GPG und OpenPGP.
  • Speichert Kontakte? Ja soll ich mir denn ein paar hundert oder gar tausend Kontakte selber merken? Solange sie nicht von einem Adreßbuch gestohlen werden wie bei Signal ist das sogar als Vorteil anzusehen, wenn die einmal eingegebenen Kontakte gespeichert werden, Telegram ist ja schließlich nicht WhatsApp/Facebook!

 

Ich sehe hier mit Ausnahme der Sache mit der Telefonnummer vor allem gegenüber Threema keinen Nachteil bei Telegram, schon gar nicht in Verbindung mit BitlBee. Im Gegenteil halte ich Telegram hier sogar ohne BitlBee für die besser Wahl, da er auch noch Open Source und kostenlos ist, zudem benötigt er auch keinen Zugriff auf das Adreßbuch des verwendeten Gerätes!

Beide Messenger haben außerdem den Vorteil, daß man eben kein Handy oder Smartphone benötigt! Bei Telegram genügt wie oben schon erwähnt irgend eine gültige Nummer, das kann auch die vom Festnetz sein. Ich persönlich verwende aber tatsächlich die Nummer meines alten Handys, da diese eh on- wie auch offline ziemlich weit verbreitet ist und sogar hier in meinem Impressum steht!

Ganz anders sieht das dann mit Signal aus, bei dem nützt auch Open Source und kostenlos nichts mehr! Zwingend ein Smartphone erforderlich? Zugriff auf das Telefonbuch der jeweils verwendeten Geräte? Und solch ein Teil wird ausgerechnet von Edward Snowden empfohlen? Sorry Ed, aber da hast Du echt mal ganz tief und ohne Zwang in ein völlig verschißenes Klo gegriffen! Bei dem Ding ist doch Hopfen und Malz verloren, so etwas lange ich nicht einmal mit der Kneifzange an.

 

Was geht und was geht nicht?!

Was hier fehlt ist natürlich die Sache mit Voice- und Videochat, das klappt in dieser Konstruktion leider nicht! Immerhin läuft das Ganze ja über einen IRC-Client, die kennen sowas in den meisten Fällen nun mal nicht.

Ein paar wenige IRC-Clients schaffen anscheinend zwar auch diese Hürde, wodurch sie zusammen mit BitlBee wohl wirklich alle anderen Messenger komplett ersetzen könnten! Mir persönlich ist das aber egal, ein einfacher Chat wie mit ChatZilla ist mir wesentlich lieber.

Außerdem können fast alle der mit BitlBee möglichen Chat-Protokolle über einen HTTP- oder Socks5-Proxy genutzt werden, in Verbindung mit z. B. TOR wünsche ich dann allen, aber auch wirklich allen Lauschern viel Vergnügen! Ein Mitlesen von außen ist damit eigentlich völlig ausgeschlossen, da hier ja außer in Gruppen auch ein DCC-Chat verwendet wird.

Übrigens kommt hier ChatZilla auch gleich noch mit einer Besonderheit daher:

Das Add-on verwendet ja für jede einzelne Verbindung ein eigenes TAB, soweit alles klar? Nun ist es aber auch so, daß für jedes dieser TABs auch noch ein eigener Proxy verwendet werden kann! Hm… will jemand mal ein bißchen Verwirrung stiften? )

 

Ein sicherer Chat!

In Verbindung mit BitlBee (und eventuell noch TOR als Proxy) kann man von Telegram wirklich behaupten, daß es sich hier um einen sicheren Messenger handelt! Für einen Gruppenchat gilt das zwar leider noch nicht ganz, aber für einen normalen Anwender wie Ließchen Müller reicht das wirklich allemal.

 

Mein Fazit:

In meinem Tutorial habe ich ja schon zum großen Teil erklärt, warum ich Telegram zur Zeit für den absolut sichersten Messenger halte. In dieser Anmerkung nun habe ich das noch erweitert und einen Vergleich mit den beiden anderen angeblich sichersten Messengern Signal und Threema gestartet, wobei beide ziemlich versagt haben. Vor allem der ausgerechnet von Edward Snowden empfohlene Messenger Signal hat hierbei in Sachen Sicherheit sogar vollkommen versagt, da könnte man auch gleich WhatsApp verwenden, wenn es das Teil für mein Smartphone überhaupt noch gäbe!

Mit Ausnahme von PFS kann man das allerdings bei allen anderen Messenger ebenfalls erreichen, allerdings welcher Messenger außer Telegram verwendet PFS überhaupt? Trotz wirklich intensiver Suche mit verschiedenen Suchmaschinen konnte ich keinen einzigen finden, null, nichts, nada! Und nun erkläre mir nochmal jemand, daß Telegram unsicher ist!

Natürlich steckt „ein bißchen“ Arbeit dahinter und Komfort (also „klickibunti“ sollte man von einem IRC-Client auch nicht wirklich erwarten, da die Meisten davon sehr einfach gehalten sind. Wer allerdings ernsthaft auf seine Privatsphäre achtet und wem seine privaten Daten wirklich wichtig sind, dem sollte diese Arbeit wie auch bei meinen anderen Tutorials echt egal sein!

Mehr Sicherheit für einen Messenger erreicht man eigentlich nur, wenn man dazu noch einen eigenen Proxy-Server mit TOR dafür verwenden kann. Hier hat man dann allerdings meistens das Problem, daß kaum jemand TOR verwendet und somit die ganze Arbeit außer der eigenen verbrauchten Zeit nicht nur kostenlos, sondern auch noch völlig umsonst wäre!

 

Viele Grüße nun aus TmoWizard’s Castle zu Augusta Vindelicorum

Y gwir yn erbyn Y byd!

Mike, TmoWizard Zaubersmilie

CC BY-NC-SA 4.0 Eine Anmerkung zu „#ChatZilla mit #BitlBee als #Multimessenger – Ein sicherer #Chat?! Teil 3“ von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Über TmoWizard

Ich blogge hier aus Spaß am Schreiben über verschiedene Themen, wobei es auf meinem Castle kein Hauptthema gibt. Es kommt immer darauf an, was denn so gerade Sache ist. Nebenbei läuft hier die Rockantenne dazu, denn bekanntlich geht ja mit Musik alles besser! ;-) Ansonsten lese ich gerne irgendwelche Romane, wobei hier neben Fantasy und Horror auch Science-Fiction, Krimis und Western nicht fehlen dürfen! Ach ja: Trotz meinem Alter lese ich immer wieder Asterix, wobei mir leider ein Album fehlt. Alles weiter über mich kann man hier im Internet finden ... naja, zumindest ein bißchen was. Ein Magier wird niemals alle seine Geheimnisse preisgeben, geht ja mal gar nicht! :-D

2 Kommentare zum Artikel

  • Martin (8 Kommentare) sagt:
    Ich bevorzuge XMPP mit OMEMO-Verschlüsselung. Klappt hervorragend auf Android (Conversations) und Linux (Gajim), bis auf ein paar Probleme auch schon recht ordentlich unter iOS (Chatsecure). Was jetzt die empfohlenen Clients für Windows und macOS sind bin ich überfragt, vermutlich auch Gajim. 
    • TmoWizard (853 Kommentare) sagt:

      Hallo Martin,

      Gajim ist wirklich ein guter Messenger. Immerhin wird er nicht umsonst für Torchat als Unterbau verwendet, das hat schon seinen guten Grund!

      Außerdem gibt es diesen Messenger tatsächlich für fast alle Betriebssysteme, der angefressene Apfel muß allerdings draußen bleiben. Tatsächlich gibt es diesen eigentlich wirklich tollen Messenger nicht für Geräte von Apple, warum auch immer!

      Das ist dann auch mit ein Grund, warum ich ihn nicht wirklich empfehlen kann. BitlBee kann im Netzwerk für alle vorhandenen Geräte und dementsprechend auch für den bevorzugten IRC-Client verwendet werden, aus dem Grund bevorzuge ich natürlich diese Lösung.

      Natürlich wäre für BitlBee ein eigener Server in der Ecke noch besser, aber mein Server hat schon mit YaCy genug zu kämpfen. Ich schreibe meine Tutorials jedoch für Tante Emma und Onkel Max, aus dem Grund reicht auch für alle bisherigen Tutorials zusammen mit eben der Ausnahme von YaCy ein einfacher Büro-PC, aber immerhin mit Kubuntu und der eigentlich doch recht anspruchsvollen Arbeitsoberfläche KDE und das mit verschiedenen Effekten wie z. B. dem Würfel!

      Ein PC mit Windows hätte sich hier schon lange verabschiedet, mit dem wäre ein normales Arbeiten bestimmt nicht mehr möglich. TOR und Boinc laufen hier ja auch noch mit, das alles zusammen ist schon ziemlich heftig!

      OMEMO ist wirklich gut, aber es kann kaum jemand benutzten. Es gibt nur ein paar Messenger und das nicht einmal für alle gängingen Geräte, während das mit BitlBee völlig egal ist.

      Ich behaupte nicht, daß BitlBee wirklich DIE Lösung ist. Das wäre einfach übertrieben, das gilt jedoch auch für OMEMO. Es ist aber eine der einfachsten Möglichkeiten, wie man einen wirklich ziemlich sicheren Chat zur Verfügung hat, welcher garantiert nicht so einfach zu knacken ist! Zwar nicht gerade komfortabel, aber Abstriche muß man immer wieder mal machen.

       

      Grüße nun aus Augsburg

      Mike, TmoWizard

       

       

       

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du kannst diese HTML Tags und Attribute nutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Hier sind auch Kommentarlinks nofollow frei!