P2P-Messenger

- Lesezeit: 7 Minuten / ganze Rubrik: 35 Minuten -

Neben den im Systemvergleich aufgeführten Systemen gibt es noch viele weitere interessante Projekte, von denen hier ein paar aufgeführt werden. Auch wenn hierzu teilweise noch wenig Informationen gesammelt sind, sollen diese nicht unterschlagen werden.

Immer wieder wird nachfolgend „P2P“ und „anonym“ ins Auge springen - dazu folgende Erklärungen: P2P / Anonymität

Generell gilt:

  1. Vermaschte/P2P-Systeme können i.d.R. ohne Kosten genutzt werden (Spenden/Entwicklungsaufträge nicht vergessen!)
  2. Der Akkuverbrauch auf den Mobilgeräten ist höher als bei serverbasierten Systemen
  3. Mehrgerätefähigkeit ist bei P2P-Systemen ohne zusätzliche Server als Zwischenstation extrem schwer zu realisieren
  4. Eine Zustellung von Offlinenachrichten ist ohne zusätzliche Zwischenstation („Briefkasten“) nicht möglich

In der nachfolgenden Übersicht wird eine deutsche Internetseite als positiv bzw. fehlende deutschsprachige Informationen als negativ bewertet. Warum? Es wäre überheblich davon auszugehen, daß „alle“ Englisch verstehen oder gar Grundkenntnisse zu fordern. Informationen sollten von jedem Muttersprachler verstanden werden und unnötige Mißverständnisse durch unzureichende Übersetzungen vermieden werden. Gute Übersetzungen machen ein Produkt generell (hier: Messenger) interessant und überhaupt erst der Masse zugänglich, denn Sie ersparen vielen Interessierten/Nutzern unnötigen Übersetzungsaufwand. Sie sind enorm hilfreich und somit Gold wert.

Übersicht

Oversec

Unabhängig von der jeweils verwendeten Lösung, kann auf Android-Geräten zusätzlich die App „Oversec“ verwendet werden. Diese App legt sich quasi über andere und verschlüsselt/entschlüsselt Eingaben schon bevor sie im eigentlichen Messenger sind. Hört sich verrückt an, ist es aber nicht und funktioniert super. Sicherheitorientierte Personen sollten sich diese App also unbedingt mal anschauen!

Download: bei F-Droid (extern) oder direkt als APK: https://www.oversec.io/#download (extern)
Projektseite: https://www.oversec.io (extern)
Anmerkung: Oversec wird wohl seit 2019 nicht mehr aktiv weiterentwickelt / es wird nicht mehr auf Github-Issues reagiert.


Anonymous Messenger

  • Dezentralität: direkt, nutzt TOR (P2P, keine separaten Server)
  • positiv: gewisse Anonymität
  • positiv: nutzt für die Verschlüsselung das Signal-Protokoll
  • negativ: das Protokoll (extern) ist noch nicht richtig dokumentiert!
  • negativ: nur für Android verfügbar
  • negativ: KEINE deutsche Projektseite

Projektseite: https://anonymousmessenger.ly (extern)

Bitmessage

pyBitmessage (Bitmessage)

Sendet an ALLE Teilnehmer, nur der Empfänger kann entschlüsseln und Nachricht lesen (keine Absende-/Empfängeradresse).

  • Dezentralität: direkt/vermascht (P2P, keine separaten Server)
  • positiv: gewisse Anonymität
  • negativ: KEINE deutsche Projektseite/Hilfe
  • negativ: NUR auf PC/Laptop nutzbar - NICHT auf Smartphones

Quellcode: https://github.com/Bitmessage/PyBitmessage (extern)
Projektseite: https://bitmessage.org/wiki/Main_Page (extern)

Briar

  • Dezentralität: direkt, nutzt TOR (P2P, keine separaten Server)
  • positiv: gewisse Anonymität
  • negativ: KEINE deutsche Projektseite

Mehr Informationen: >> hier <<

Echo-Protokoll

Das Echo-Protokoll wird z.B. von Goldbug (Desktop-Client) oder Smoke (Android-Client) genutzt, und ist Hauptbestandteil vom „Vergleich der großen 7 (quelloffenen) Messengersysteme“. Das Projekt ist wird ausschließlich von Freiwilligen gestemmt und wird nicht von Dritten bezahlt.

In der Kürze: Sehr interessant, umfassend, schlüssig. Leider jedoch viele Spezial- und Fachbegriffe; viele abstrakte und auch merkwürdige Bezeichnungen in den Erklärungen (Moleküle, …) ; wirkt für Nomalnutzer auf den ersten Blick unübersichtlich und kompliziert. Bisher noch kein Kontakt zu deutschem Ansprechpartner möglich / kein deutsches Forum.

  • Dezentralität: direkt/vermascht (P2P, keine separaten Server)
  • positiv: gewisse Anonymität
  • positiv: deutsches Benutzerhandbuch
  • negativ: KEINE deutsche Projektseite

Mehr Informationen: >> hier <<

Jami

Namensentwicklung: „SFLphone“ -> „Ring“ -> „Jami“

Ursprünglich für Telefonie entwickelt (je nach Betriebssystem Audio / Audio und Video / Audio und Video in Gruppen), es sind aber genauso auch Textnachrichten möglich; an textbasierten Chaträumen wird gearbeitet.

Jami ermöglicht sichere Text-, Sprach- und Videokommunikation über das Internet. Es ermöglicht auch Telefonkonferenzen und Videokonferenzen, aber seltsamerweise noch keine textbasierten Chatrooms, da die Entwickler versuchen, diese vollständig dezentralisiert zu machen. Jami ist eine gute Wahl für sichere Telefongespräche über das Internet, solange die Gesprächspartner ebenfalls Jami benutzen. Jami ist ein Peer-to-Peer-System; es ist nicht auf zentrale Server angewiesen und benötigt diese auch nicht.

Jami ist plattformübergreifend, mit Versionen für Android, FreeBSD, iOS, iPhone, Linux, Microsoft Windows und OS X. Es gibt (Stand März 2020) keine Version für das Pinephone.

Es ist sowohl ein Peer-to-Peer-Voice-over-IP-Client-Programm als auch ein benutzerdefiniertes Protokoll für die Dienstsuche unter Verwendung einer verteilten Hash-Tabelle (DHT). Es verwendet SRTP zur Übertragung von Kommunikationsdaten.

P2P mit Server?

Wir sagen immer wieder, dass das charakteristischste und innovativste Merkmal von Jami die Tatsache ist, dass es keinen Server benötigt, um Daten zwischen den Benutzern weiterzuleiten. Damit sind viele Vorteileverbunden, darunter eine erhöhte Privatsphäre, eine leichtgewichtige Infrastruktur, hohe Skalierbarkeit, keine Bandbreitenbeschränkung (abgesehen von der deiner Internetverbindung), keine Größenbeschränkung für Dateiübertragungen und vieles mehr. Dies alles ist richtig, aber obwohl Server nicht erforderlich sind, werden sie dennoch in fünf spezifischen Fällen eingesetzt: Push-Benachrichtigungen, der OpenDHT-Proxy, Bootstrap, Name-Server und TURN. … >> mehr << (extern)

Beschreibung: https://linuxreviews.org/Jami (extern; englisch)
Fragen zur Sicherheit und Antworten eines Entwickler: stackexchange.com (extern)
Nutzung von GIT für Nachrichten (‘swarm’): jami.net (extern; englisch)
Auch über F-Droid und somit ohne Tracker verfügbar: https://f-droid.org/en/packages/cx.ring (extern)

  • Dezentralität: direkt (P2P mit unterstützung von separaten Server)
  • positiv: gewisse Anonymität
  • negativ: Die Projektseite bindet u.a. auch Dienste Dritter (transifex) ein: webbkoll (extern)
  • negativ: KEINE deutsche Projektseite

Quellcode: https://jami.net/contribute/ (extern)
Projektseite: http://jami.net (extern)

Katzenpost

Verkehrsanalyse-resistente Nachrichtenübermittlung - durch Protokollbibliotheken für gemischte Netze. Was ist ein Mix-Netzwerk? Es ist ein anonymes Kommunikationssystem - allerdings ist das Wort “anonym” problematisch, weil einige Regierungsbehörden Anonymität mit Terrorismus gleichsetzen. Wir ziehen es vor, es stattdessen “Netzwerksicherheit” zu nennen, weil Sie sich sicherer fühlen können, wenn Sie mit verkehrsanalysesicheren Kommunikationsprotokollen kommunizieren. …

Übersetzt aus der englischen Quelle:
Traffic analysis resistant messaging - We write mix network protocol libraries. What is a mix network? It is an anonymous communications system… however the word anonymous is problematic because some government authorities equate anonymity with terrorism. We prefer to instead call it “network security” because you can feel more secure when you communicate using traffic analysis resistant communications protocols. …

Dieses Projekt wurde gefördert/finanziell unterstützt von „European Union’s Horizon 2020 research and innovation programme“, „Samsung Next Stack Zero grant“ und „NLnet and the NGI0 PET Fund paid for by the European Commission“.

  • Dezentralität: direkt/vermascht (P2P, keine separaten Server)
  • positiv: gewisse Anonymität

Quellcode: https://github.com/katzenpost (extern)
Projektseite: https://katzenpost.mixnetworks.org (extern; englisch)

Mesh-Chat

  • Dezentralität: direkt/vermascht (P2P, keine separaten Server)
  • positiv: gewisse Anonymität
  • negativ: KEINE deutsche Projektseite/Hilfe

Quellcode und Projektseite: https://github.com/neuravion/mesh-chat-protocol (extern; leider nur englisch)

Retroshare

  • Dezentralität: direkt/vermascht, nutzt TOR (P2P, keine separaten Server)
  • positiv: gewisse Anonymität
  • negativ: KEINE deutsche Projektseite

Dokumentation: https://retrosharedocs.readthedocs.io/en/latest/ (extern; englisch)
Quellcode: https://github.com/RetroShare (extern)
Projektseite: https://retroshare.cc (extern; englisch)

Ricochet Refresh

Ricochet Refresh ist ein gepflegter und aktueller Fork des ehemaligen Ricochet-Projektes.

  • Dezentralität: direkt, nutzt TOR (P2P, keine separaten Server)
  • positiv: gewisse Anonymität
  • negativ: KEINE deutsche Projektseite/Hilfe

Quellcode: https://github.com/blueprint-freespeech/ricochet-refresh (extern)
Projektseite: https://www.ricochetrefresh.net (extern)

Scuttlebutt

Das Protokoll “SecureScuttlebut /SSB (kurz: Scuttlebutt)” hat einen ebenfalls sehr interessanten Ansatz und setzt auch auf Dezentralität.

  • Dezentralität: direkt (P2P, keine separaten Server erforderlich)
  • positiv: gewisse Anonymität
  • positiv: geniales Konzept (spezialisiert auf Offline-Funktionalität)
  • positiv: eingebaute Untestützung für TOR
  • negativ: KEINE deutsche Projektseite/Hilfe
  • negativ: Anfangs muss man sehr große Datenmengen herunterladen
  • negativ: Maximal 7 Teilnehmer bei „geschlossenen Gruppen“

Mehr Informationen: >> hier <<

Silence

Föderiert über TK-Anbieter und funktioniert auf Basis von SMS.

  • Dezentralität: direkt (P2P, keine separaten Server erforderlich)
  • negativ: Mobilnummer erforderlich (SMS-Versand/-Empfang)
  • negativ: Messenger nur für Android

Quellcode: https://git.silence.dev/Silence/Silence-Android/ (extern)
Projektseite: https://silence.im (extern)

SimpleX

SimpleX Chat ist ein Messenger (mit Android-Client und Terminalclient für Desktop) mit dem Versprechen:

Die privateste und sicherste Chat- und Anwendungsplattform.

… und will besser sein als andere Lösungen. Auf der Projektseite ist ein interessanter Vergleich zu anderen Protokollen (extern) und auch in den FAQ (extern) gibt es dazu Informationen:

Was ist der Unterschied zu Matrix, Session, Ricochet, Cwtch usw., die ebenfalls keine Benutzeridentitäten erfordern?
Obwohl diese Plattformen keine echte Identität erfordern, stützen sie sich auf anonyme Benutzeridentitäten, um Nachrichten zu übermitteln - dies kann z. B. ein Identitätsschlüssel oder eine Zufallszahl sein. Die Verwendung einer dauerhaften Benutzeridentität, auch wenn sie anonym ist, birgt das Risiko, dass der Verbindungsgraph des Benutzers den Beobachtern und/oder Dienstanbietern bekannt wird, und kann dazu führen, dass einige Benutzer deanonymisiert werden. Wenn dasselbe Benutzerprofil verwendet wird, um sich mit zwei verschiedenen Personen über einen anderen Messenger als SimpleX zu verbinden, können diese beiden Personen bestätigen, dass sie mit derselben Person verbunden sind - sie würden in den Nachrichten dieselbe Benutzerkennung verwenden. Bei SimpleX gibt es keine gemeinsamen Metadaten zwischen Ihren Unterhaltungen mit verschiedenen Kontakten - eine Eigenschaft, die keine andere Messaging-Plattform hat.

Aber:

SimpleX Chat befindet sich in der Entwicklung - wir veröffentlichen Verbesserungen, sobald sie fertig sind. Sie müssen entscheiden, ob der aktuelle Stand für Ihr Nutzungsszenario gut genug ist.

Zur Zustellung von Offlinenachrichten (mehr Infos dazu bei Github (extern)):

SimpleX speichert alle Benutzerdaten auf den Client-Geräten, die Nachrichten werden nur temporär auf den SimpleX-Relay-Servern gehalten, bis sie empfangen werden. …
Sie können SimpleX mit Ihren eigenen Servern verwenden und trotzdem mit Personen kommunizieren, die die in den Apps vorkonfigurierten Server oder andere SimpleX-Server verwenden. …

Vergleich mit anderen Protokollen: Github (extern)
Aktueller Stand/Planung: Roadmap (extern)
Quellcode: https://github.com/simplex-chat (extern)
Projektseite: https://simplex.chat (extern; leider nur englisch)

TinfoilChat (TFC)

Wer glaubt, wirklich von Geheimdiensten gezielt angegriffen zu werden, sollte sich sich die hardware-unterstützte Chat-Lösung TinfoilChat (TFC) ansehen. Die meinen es anscheinend ernst und das ist noch eine Stufe „extremer“ als z.B. Briar:

Tinfoil Chat (TFC) ist ein FOSS+FHD Peer-to-Peer-Nachrichtensystem, das auf einer hochsicheren Hardware-Architektur basiert, um Benutzer vor passivem Sammeln, MITM-Angriffen und vor allem vor Remote-Schlüssel-Exfiltration zu schützen. TFC wurde für Menschen mit einem der komplexesten Bedrohungsmodelle entwickelt: organisierte kriminelle Gruppen und staatliche Hacker, die die Ende-zu-Ende-Verschlüsselung herkömmlicher sicherer Messaging-Apps umgehen, indem sie den Endpunkt hacken.

  • Dezentralität: direkt, nutzt TOR (P2P, keine separaten Server erforderlich)
  • positiv: bestmögliche Anonymität / extrem „sicher“
  • negativ: separate Hardware erforderlich
  • negativ: KEINE deutsche Projektseite/Hilfe

Quellcode und Projektseite: https://github.com/maqp/tfc/ (extern; leider nur englisch; wirklich spannend zu lesen!)

Tox

Audio- und Videoanrufe sind möglich und es gibt verschiedene Clients mit grafischer als auch reiner Text-Benutzeroberfläche.

  • Dezentralität: direkt, auch per TOR (P2P, keine separaten Server erforderlich)
  • positiv: gewisse Anonymität
  • negativ: Hinweis auf der Projektseite (bei „download“): „Tox is still under heavy development — expect to run into some bugs“
  • negativ: KEINE deutsche Projektseite

Erfahrungsbericht: https://herrdoering.de/de/sicheres-messenging-mit-tox-chat/ (extern)
Nutzung mit TOR: https://wiki.tox.chat/users/tox_over_tor_tot (extern)
Raspberry Pi für Offline-Nachrichten (extern; englisch)
Mögliche Clients: qTox, uTox, Toxygen, Toxic, aTox (extern), Trifa (extern)
Client-Funktionen: https://wiki.tox.chat/clients#features (extern)
Quellcode und Projektseite: https://tox.chat (extern)

Vuvuzela

Auch ein interessantes Projekt - allerdings aktuell keine aktive Weiterentwicklung mehr (letzte Änderung am Quellcode war im September 2019).

  • Dezentralität: direkt (P2P, verschiedene Server)
  • positiv: gewisse Anonymität
  • positiv: will unnötige Metadaten verschleiern
  • negativ: nur Konzept, keine Änderungen am Quellcode mehr seit 2019
  • negativ: KEINE deutsche Projektseite/Hilfe

Interview mit einem dem Entwickler: netzpolitik.org
Quellcode: https://github.com/vuvuzela/vuvuzela (extern)
Projektseite: https://vuvuzela.io (extern, leider nur englisch)