News Verschlüsseltes Messaging: Mailbox.org startet sicheren Messaging-Dienst

[fethomm]

Der Berliner E-Mail-Anbieter Mailbox.org startet einen eigenen Instant-Messaging-Dienst, der auf Jabber und dem XMPP-Protokoll aufsetzt und eine Ende-zu-Ende-Verschlüsselung via OTR ermöglicht. Kunden des von der Heinlein-Group betriebenen Mailbox.org entstehen dabei keine Mehrkosten.

Zur News: Verschlüsseltes Messaging: Mailbox.org startet sicheren Messaging-Dienst

 

[Sithys]

Die sprießen derzeit ja überall aus dem Boden. Dennoch eine vernünftige Lösung wie ich finde, klasse - Linux !

 

[trialgod]

Ohne Mobile Clients eine Totgeburt. Gibt bestimmt XMPP Clients für Android und WP, erklär das aber mal Frau Müller von neben an.

 

[_casual_]

@trialgod: Stimme ich zu. Ist aber mehr ein Zeichen für das allgemeine Technikverständnis der Gesellschaft und natürlich auch eins dafür, dass sich die Leute lieber auf die "schnell" funktionierenden Sachen (Whatsapp, Facebook usw.) konzentrieren. Fr. Müller von nebenan wird erst dann Ende-zu-Ende verschlüsseln, wenn es bei den Platzhirschen angekommen ist. Und vielleicht weiß sie es dann nicht mal.

 

[NeMeSiS_tm]

Das ist eine sehr sehr billige Werbung von Mailbox.org. Dass ihr sowas überhaupt mit einer News belohnt... ist schon fast fragwürdig.
XMPP/Jabber mit OTR ist immer sicher. Egal ob bei xy.com oder selbst auf deinem NAS zuhause.

gmx, gmail, facebook (ja FACEBOOK AUCH) sind xmpp/jabber kompatibel. Wenn man dazu nen Client verwendet welcher OTR beherrscht (beide Teilnehmer) und dies aktiviert, dann wird verschlüsselt kommuniziert.

Was in dieser News nicht erwähnt wird: Die Kommunikation des Clients mit dem Server ist zwar verschlüsselt. Jedoch auf dem Server selbst unverschlüsselt. Das bedeutet, solange OTR nicht verwendet wird, könnte der Serverbetreiber nachschauen was geschrieben wurde.

 

[Zorror]

Ich verstehe die News ehrlich gesagt nicht.
Ist die Neuigkeit jetzt, dass Mailbox.org einen XMPP-Chat ermöglicht? Was genau ist daran jetzt "sicher"? OTR kann ich doch bei jedem anderen Jabber-Anbieter auch nutzen. Und wie NeMeSiS_tm bereits angemerkt hat, könnte der Betreiber (wie jeder andere Jabber-Anbieter auch) die Kommunikation mitlesen, sofern der Nutzer OTR nicht aktiviert hat.
OTR ist doch nicht server- sondern clientabhängig, oder sehe ich das falsch?

"XMPP-Protokoll" ist übrigens eine Tautologie.

 

[wupi]

@NeMeSiS_tm

Gmx hat den Dienst bereits eingestellt.
Ich wundere mich allerdings auch etwas über die Werbung, jabber Server gibt es wie Sand am Meer.

 

[DeusoftheWired]

Ich verstehe die News ehrlich gesagt nicht.
Ist die Neuigkeit jetzt, dass Mailbox.org einen XMPP-Chat ermöglicht? Was genau ist daran jetzt "sicher"? OTR kann ich doch bei jedem anderen Jabber-Anbieter auch nutzen. Und wie NeMeSiS_tm bereits angemerkt hat, könnte der Betreiber (wie jeder andere Jabber-Anbieter auch) die Kommunikation mitlesen, sofern der Nutzer OTR nicht aktiviert hat.
OTR ist doch nicht server- sondern clientabhängig, oder sehe ich das falsch?

Ja, neu ist, daß mailbox.org jetzt IM via XMPP mit OTR ermöglicht. Einer verschlüsselten Mail hat das nur glaubhafte Abstreitbarkeit voraus.

"XMPP-Protokoll" ist übrigens eine Tautologie.

Meinten Sie: Pleonasmus

 

[Txxxxs]

XMPP/Jabber mit OTR ist immer sicher.

Was ist sicher?

gmx, gmail, facebook (ja FACEBOOK AUCH) sind xmpp/jabber kompatibel.

GMX kennt seit Monaten kein XMPP mehr: http://www.heise.de/newsticker/meld...t-schaltet-XMPP-Jabber-Server-ab-2455588.html
Google und XMPP sind ebenfalls Geschichte: http://www.heise.de/newsticker/meldung/Google-Talk-ist-am-Ende-2541065.html
Gerade in diesem Kontext finde ich es durchaus sinnvoll, E-Mail-Anbieter im Rahmen einer News hervorzuheben, die dieses Protokoll in Zukunft unterstützen.

Was bringt es, wenn der Facebook-Chat XMPP-basiert ist, jedoch keine anderen XMPP-Server zulässt? Das widerspricht dem Jabber-Prinzip der Dezentralisierung und hat einen gewissen Lock-in-Effekt.

 

[cbtestarossa]

Die Frage bei solchen Anbietern ist nur ob die selber entschlüsseln können.

 

[DeusoftheWired]

Die Frage bei solchen Anbietern ist nur ob die selber entschlüsseln können.

Das ist ja das schöne an XMPP + OTR. Damit kann einem egal sein, was der Betreiber macht, weil Ver- und Entschlüsselung komplett an den Enden stattfinden.

 

[cbtestarossa]

Ich meinte sowieso eher emails. Gibt es da schon Clients für sichere Emails?

 

[Colonel Decker]

Gute Sache, aber das Problem ist ja vor allem die eigenen Bekannten zu alternativen Clients zu bequatschen.
Bei mir kommt noch dazu, dass ich bei meinen letzten Experimenten vor ca. einem Jahr auch keinen Windows Phone Client finden konnte, der mir gefiel.

Von daher bleibe ich wohl vorerst bei Telegram hängen. Läuft einfach, auf Smartphones und Desktops, und die wichtigen Bekannten haben es inzwischen bei mir auch.

 

[DeusoftheWired]

Ich meinte sowieso eher emails. Gibt es da schon Clients für sichere Emails?

Schon? PGP gibt’s seit 1991, guter Mann, GPG seit 1997. Komfortabel umgesetzt ist das z. B. im Thunderbird-Plugin Enigmail.

 

[r34ln00b]

Den Server von mailbox.org kann/darf ich nur benutzen, wenn ich bereits ein Email-Konto bei denen habe?
Falls das der Fall ist, ist das nicht ein wenig fragwürdig? Dass sich die Server nicht von selbst bezahlen ist klar, aber es gibt doch viele andere Server, selbst in Deutschland. OTR ist nur ein Aufsatz obendrein und Mailbox.org muss da nicht viel dazu beisteuern, ob nun wirkliche Wörter versendet werden oder kryptischer Text ist doch letztlich egal. Für Mailbox.org bleiben es weiterhin Strings, die verschickt werden müssen.
Wie viel "frisst" so ein Jabber/XMPP Server? Hätte/Könnte man diesen Dienst nicht für lau anbieten bzw. wäre das nicht eine schöne Werbeaktion?
[Ich möchte hier Mailbox.org nicht schlecht reden, aber irgendwie wirkt das "unausgegoren".]

@NeMeSiS_tm: Ich glaube du verwechselst Emails und IM von Mailbox.org.
Ich weiß nicht genau, wie Mailbox.org die Emails abarbeitet, folglich könnte es sein, dass sie Zugriff auf den Inhalt der Mails haben können, wenn sie wollten.
Das Thema jetzt handelt jedoch von Instant Messaging, mit OTR. Das bedeutet, dass der Client die Nachricht verschlüsselt und dann absendet. Den notwendigen Schlüssel, um wieder an den Inhalt zu kommen, besitzt jedoch nur der andere Client, nicht jedoch Mailbox.org. Mailbox.org ist es nicht möglich an Nachrichten im Klartext zu gelangen, wenn beide Clients OTR benutzen.
EDIT: Sorry NeMeSiS_tm, hatte einen wichtigen Teil deines Satzes überlesen. Ist auch klar, dass wenn man nicht verschlüsselt, eine andere Person die Nachrichten mitlesen könnte.

 

[ConiKost]

Die Frage bei solchen Anbietern ist nur ob die selber entschlüsseln können.

Richtig. Deswegen hab ich nen eigenen Mailserver+XMPP, ebenfalls mit DNSSEC und DANE am Laufen..

 

[Zorror]

Meinten Sie: Pleonasmus

Ah! Wieder was gelernt!
Wobei bei deinem Link ja sogar steht "Pleonasmus und Tautologie werden häufig synonym verwendet".

Zum Thema: Ich finde OTR hat leider eine ganz große Schwäche: Es funktioniert nur, wenn beide Teilnehmer online sind. Man kann also keine Offline-Nachrichten verschlüsselt verschicken. Ich würde mir wünschen, dass sich da in Zukunft etwas ändert und es eine Verschlüsselungsmethode gibt, die ähnlich einfach funktioniert wie OTR aber eben auch Offline-Nachrichten verschlüsselt.
Am besten wäre es wohl, wenn die Jabber Foundation dazu eine Erweiterung spezifiziert, die dann auch hoffentlich von vielen Client-Entwicklern angenommen werden würde (und damit nicht eine "On the top"-Lösung wie OTR darstellt).
Naja, man wird ja noch träumen dürfen...

r34ln00b: Lies den Beitrag von NeMeSiS_tm nochmal durch. Er hat nie behauptet, dass der Anbieter einen OTR-verschlüsselten Chat mitlesen kann. Er hat nur behauptet dass der Anbieter es könnte, wenn NICHT verschlüsselt wird.

 

[Pure Existenz]

Sicher?
Das müsste "sicherer" heißen!

 

[cbtestarossa]

hm ob sowas wie PGP von nem Otto einzurichten ist oder gar benutzbar?
Flächendeckend ist es ja auch nicht.
Glaub das wird alles nix.
Was hilft mir das alles wenn der Empfänger das nicht öffnen kann.

 

[DeusoftheWired]

Ah! Wieder was gelernt!
Wobei bei deinem Link ja sogar steht "Pleonasmus und Tautologie werden häufig synonym verwendet".

Stell dir die beiden Begriffe einfach wie Viereck und Quadrat vor, einer ist spezifischer.

Zum Thema: Ich finde OTR hat leider eine ganz große Schwäche: Es funktioniert nur, wenn beide Teilnehmer online sind. Man kann also keine Offline-Nachrichten verschlüsselt verschicken. Ich würde mir wünschen, dass sich da in Zukunft etwas ändert und es eine Verschlüsselungsmethode gibt, die ähnlich einfach funktioniert wie OTR aber eben auch Offline-Nachrichten verschlüsselt.
Am besten wäre es wohl, wenn die Jabber Foundation dazu eine Erweiterung spezifiziert, die dann auch hoffentlich von vielen Client-Entwicklern angenommen werden würde (und damit nicht eine "On the top"-Lösung wie OTR darstellt).
Naja, man wird ja noch träumen dürfen...

Stört mich auch noch ein wenig, weil man sich durch andere Dienste eben so stark daran gewöhnt. Ist aber ein prinzipielles Problem von OTR. Wenn ein Ende verschlüsselt und ein anderes entschlüsselt, müssen beide zur gleichen Zeit online sein. Authentifizierung zu Beginn jeder OTR-Sitzung. Ansonsten bräuchte man einen Mittelsmann, der unzugestellte Nachrichten aufhebt. Dann hätte man wieder die klassische asynchrone Kommunikation und wäre bei der Funktionsweise von E-Mail.

hm ob sowas wie PGP von nem Otto einzurichten ist oder gar benutzbar?
Flächendeckend ist es ja auch nicht.
Glaub das wird alles nix.
Was hilft mir das alles wenn der Empfänger das nicht öffnen kann.

Enigmail nimmt dir schon den ganzen Kommandozeilenspaß ab und leitet dich mit einem Wizard. Daß der Kommunikationspartner selbstverständlich auch PGP einsetzen muß, liegt am System. Noch viel weiter herunterdummen kann man das, glaube ich, nicht. Schlüsselverwaltung ist das A und O.