Letzte Änderung am 20. November 2019 by Christoph Jüngling
Jeder hat WhatsApp, jeder will WhatsApp, so scheint es jedenfalls. Ich nicht. Warum, das steht an mehreren Stellen hier im Blog. Also habe ich mich vor längerem schon nach anderen Messengern umgesehen. Dabei bin ich wieder auf ein Konzept gestoßen, das mir schon Ende vor 20 Jahren gut gefallen hat. Damals wie heute war das Problem, dass es in meinem Umfeld kaum jemand benutzen wollte (“kaum jemand” ist natürlich nur ein bequemer Euphemismus für “kein Schwein”). ICQ war schön einfach, installieren, anmelden, loslegen. Jeder hatte ICQ, jeder wollte ICQ. Ich auch.
XMPP ist ein “offenes Protokoll” (d.h. es gibt nichts, was man darüber nicht weiß oder erst mühsam herausfinden muss), es wird von vielen Programmen unterstützt und es bietet von Hause aus eine Ende-zu-Ende-Verschlüsselung an. Bei manchen Programmen (z.B. Pidgin) muss man erst ein Plugin dafür installieren, aber das ist jetzt nicht wirklich ein Problem.
Warum mache ich das eigentlich?
Ich nutze bereits Signal und Threema, und die scheinen mir ganz gut zu sein, auch wenn ich mangels tiefer Kenntnisse in Kryptologie das nicht und niemals mit letztendlicher Sicherheit beurteilen kann. Signal ist Open Source, Threema leider nicht. Ach ja, die Sicherheit, das ist so ein Thema …
Signal und Threema sind sicher? Wen interessiert das, ich hab doch nichts zu verbergen!
Solche oder ähnliche Sprüche hört man häufig. Doch spätestens, wenn es an’s eigene Leder geht, klingt das ganz anders. Was denn nun?
Abhören unter Freunden? Das geht ja gar nicht!
Und außerdem, so weiter, sei WhatsApp doch ebenfalls verschlüsselt! Ja, stimmt wohl, seit einiger Zeit verwenden sie ebenfalls das Protokoll des Signal-Entwicklers Moxie Marlinspike. Doch einem Anbieter, der mir von Beginn an Lügen aufgetischt hat, mag ich leider nicht mehr vertrauen. Die Aussage “WhatsApp ist verschlüsselt” bezog sich nämlich ursprünglich nur auf die SSL-Verschlüsselung zwischen Chat-Client und Server, damals gab es Fachleuten zufolge in WhatsApp noch keine Ende-zu-Ende-Verschlüsselung. Das bedeutete, dass alle Nachrichten auf den WhatsApp-Servern unverschlüsselt lagerten. Ein gefundenes Fressen für Geheimdienste und die anderen bösen Jungs. Später dann hieß es, ja Facebook kauft uns, aber wir werden nie nie nie deine Daten weitergeben. Nur wenige Monate danach dann “jetzt stimm endlich den neuen Bedingungen zu, sonst bist du raus”.
Und wie war das mit Telegram? “Vertraut uns, wir haben Doktoranden im Team!”, oder so ähnlich. Na ich danke. Ach, das sind jetzt Schweizer? Na dann ist ja alles gut, werden sich viele sagen. Anfangs waren es Russen. Threema sind übrigens auch Schweizer – von Anfang an, soweit ich mich erinnere. Aber da fühlte sich trotzdem keiner hingezogen, denn das musste man ja bezahlen! Typisch Schweizer, immer wollen sie Geld sehen. Zwischen-Fazit: Ja, es gibt viele Messenger, aber man kann es nicht allen Recht machen (mir natürlich auch nicht).
Und nun komme ich mit Jabber daher, also schon wieder etwas neues? Keineswegs, weit gefehlt! Wer erinnert sich noch an ICQ? Von Israelis 1996 (laut Wikipedia) erfunden wurde es 1998 amerikanisch, seit 2010 gehört es den Russen. Damals schon (1998-99) wurde XMPP alias Jabber entwickelt. Jabber hieß auch der erste Client, mit dem man ebenfalls so chatten konnte, wie man es von ICQ kannte, und der Name hat sich bis heute gehalten. Das Protokoll jedoch heißt XMPP – Extensible Messaging and Presence Protocol.
Was ist Jabber?
Jabber (XMPP) kann Einzel- und Gruppen-Chat, Dateitransfer und Verschlüsselung (jedoch nur für die Chats), und es kann anklopfen. Eigentlich “kann” es alles, es kommt nur darauf an, was die App unterstützt, denn mittels Plugins lässt sich oft weitere Funktionalität ergänzen. Das liegt in erster Linie wohl daran, dass das Protokoll eigentlich nur den Datenaustausch via XML beschreibt. Was der Inhalt ist, entscheiden Sender und Empfänger, die sich hoffentlich darüber einig sind.
Ein grundlegender Unterschied zwischen den anderen bekannten Messengern und Jabber ist die Struktur der verteilten Server. Während Signal, Threema, WhatsApp und Konsorten zwar wahrscheinlich mehrere Server betreiben, haben sie alle diese unter eigener Kontrolle. Jabber verteilt sich jedoch auf beliebig viele Server, ähnlich wie ich es bei Mastodon auch beschrieben habe. Damit gibt es nicht einen einzigen Punkt, wo eine Zensur oder das Abhören ansetzen könnte.
Verschiedenen Servern auf der einen Seite stehen verschiedene Clients auf der Anwenderseite gegenüber. Dadurch kann man sich das Programm aussuchen, das einem am besten zusagt, denn sie unterscheiden sich ja doch im Detail. Ich empfehle Pidgin für Linux, Windows und MacOS, und Xabber für Android (via Google Play Store oder F-Droid). Aber das müsst ihr nicht genau so halten. Wer es ausprobieren will: Meine Jabber-Adresse ist “juengling@jabber.de”. Kann man sich gut merken, oder?
Installation
Über die obigen Links müsste sich das eigentlich sehr einfach erledigen lassen. Spätestens danach muss man sich auf irgend einem Server einen Jabber-Account (hier eine – sicher nicht vollständige – Liste) anlegen und dessen Login-Daten in die Applikation eingeben. Manchmal kann man das auch in einem Schritt erledigen, wenn Client und Server das unterstützen.
Sicherheitsaspekte
In der einfachsten Version – installieren, anmelden, loslegen – ist Jabber allerdings auch nicht sicherer als eMails. Will man die Chatverschlüsselung aktivieren, heißt das Stichwort “OTR”, “off the record”. Diese muss für jeden Chat individuell eingerichtet werden, was die Sache etwas mühsam macht. Da muss man sich dann auch mit “Authentifizierung” beschäftigen, die auf drei Arten erfolgen kann: Frage und Antwort, gemeinsame Passphrase oder Fingerprint-Abgleich. Danach kann man sicher sein, auch wirklich mit dem richtigen Partner zu sprechen.
Kosten
Zumindest auf jabber.de kostet der Account nichts, und auch viele kostenlose Programme habe ich gefunden. Irgendein Anbieter war dabei, der einen 30-Tage-Test anbot, aber das habe ich gar nicht weiter probiert.
Nutzen
Neben dem Spaß am Chatten lässt sich XMPP aber auch für die Überwachung eines Servers einsetzen. Zumindest unter Linux gibt es die Konsolenanwendung sendxmpp, mit der man Nachrichten scriptgesteuert versenden kann. Diese Informationen bekommt man dann überall dort, wo ein XMPP-Client mit dem Konto eingeloggt ist. Das geht übrigens auch auf mehreren Geräten gleichzeitig, so dass man z.B. die Nachricht auf dem Arbeits-PC erhält oder unterwegs auf dem Smartphone.
In eigener Sache
In diesem Artikel steht viel, das ich nur aus der Erinnerung schreiben konnte, dies jedoch nach bestem Wissen und Gewissen. Mit etwas mehr Weitsicht und Konsequenz hätte ich sicher viele Zeitdokumente aufheben können, denn im Grunde habe ich die Entwicklung der Personal-Computerei und des Internet schon seit recht langer Zeit begleitet. Das ist leider nicht geschehen. Wo treibt sich eigentlich dieser Doktor Who herum, wenn man ihn mal braucht?
Neueste Kommentare