ComputerBase Menü
Aktuelles

News Verschlüsseltes Messaging: Mailbox.org startet sicheren Messaging-Dienst

Und jetzt bitte mobile Clients die einfach zu bedienen sind... Peng, WhatsApp udn Co könnten einpacken.
 
Wie funktioniert es bei XMPP eigentlich mit den Anbietern? Wenn jetzt mailbox nutzen würde, müsste jede Person mit der ich chatten möchte auch ein Kunde von mailbox sein? Oder können die auch andere Anbieter nutzen und es ist ähnlich wie bei emails?
 
avey schrieb:
Wie funktioniert es bei XMPP eigentlich mit den Anbietern? Wenn jetzt mailbox nutzen würde, müsste jede Person mit der ich chatten möchte auch ein Kunde von mailbox sein? Oder können die auch andere Anbieter nutzen und es ist ähnlich wie bei emails?
Zum Vergrößern anklicken....
kann jeder andere auch sein wie bei mails.
 
Kommt auf die Konfiguration des Servers an. Facebook verbietet ja z. B. die Kommunikation mit anderen XMPP-Servern, bei GoogleTalk war das zu Beginn anders, wurde aber eine Weile vor dem Einstellen des Dienstes auch beschnitten. Die mailbox.org-Leute haben, finde ich, grundsätzlich eine begrüßenswerte Einstellung zu vielen Themen, so auch bei diesem.

Inhaber einer mailbox.org-Mailadresse können über den neuen Dienst ab sofort und ohne Zusatzkosten verschlüsselte Textnachrichten und Dateien austauschen – auch mit Nutzern auf Jabber-Servern externer anderer Anbieter.
Zum Vergrößern anklicken....

https://mailbox.org/mailbox-org-startet-sicheren-instant-messaging-dienst/
 
Wie genau macht das eigentlich noch mal Textsecure? Die setzen doch auch im Kern XMPP und OTR ein, nur dass sie im Vorfeld Schlüssel generieren und die irgendwo gespeichert werden. Mit diesen vor berechneten Schlüsseln werden dann die Secrets für die Sitzung ausgetauscht. So ähnlich hatte ich das zumindest verstanden https://whispersystems.org/blog/asynchronous-security/
Das müsste sich theoretisch doch auch auf die "desktopversion" adaptieren lassen. Kennt da einer einen Grund, warum das noch nicht umgesetzt sein könnte? (Außer dem, dass es einfach noch keiner gemacht hat). Vielleicht müssten ja zu viele Keys im vorfeld berechnet werden oder so...
 
DeusoftheWired schrieb:
Stört mich auch noch ein wenig, weil man sich durch andere Dienste eben so stark daran gewöhnt. Ist aber ein prinzipielles Problem von OTR. Wenn ein Ende verschlüsselt und ein anderes entschlüsselt, müssen beide zur gleichen Zeit online sein. Authentifizierung zu Beginn jeder OTR-Sitzung. Ansonsten bräuchte man einen Mittelsmann, der unzugestellte Nachrichten aufhebt. Dann hätte man wieder die klassische asynchrone Kommunikation und wäre bei der Funktionsweise von E-Mail.
Zum Vergrößern anklicken....

Aber im Jabber kann ich ja auch Offline-Nachrichten verschicken. Die werden auf dem Server des Accountinhabers gspeichert, bis dieser das nächste mal online geht. Wenn ich dabei dann mit PGP die Nachrichten verschlüssel, kann ich auch asynchron sicher kommunizieren. Wieso haben die OTR-Macher denn damals nicht noch an die Offline-Nachrichten gedacht? Das find ich ziemlich schade.

DarkXNinja schrieb:
bitte
Conversations XMPP client
https://f-droid.org/repository/browse/?fdfilter=conversa&fdid=eu.siacs.conversations
Zum Vergrößern anklicken....

Das benutze ich sogar regelmäßig. Allerdings ist OTR-Kommunikation auf mobilen Geräten keine Freude. Für OTR müssen wie gesagt beide Teilnehmer permanent online sein. Das ist bei mobilen Geräten einfach eine sehr unschöne Lösung. Davon abgesehen funktioniert OTR auch nicht mit mehr als einem Endgerät: Wenn ich mit meinem Desktop-PC im Jabber eingeloggt bin und zusätzlich mit meinem Smartphone, kann ich OTR nur an einem Gerät nutzen, auf dem anderen sehe ich dann nur Buchstabensalat. Bei PGP ist das anders.

Dazu kommt, dass mir bei den XMPP-Clients auf dem Handy die Empfangsbestätigungen fehlen. Bei Whatsapp sehe ich das immer genau: 1 Haken = Nachricht ist beim Server angekommen, 2 Haken = Nachricht ist auf dem Gerät meines Freundes angekommen. Gibt es sowas nicht bei Jabber? Oder haben bisher nur einfach sämtliche Clients die ich benutzt habe, dieses Feature nicht eingebaut?

Nordseebaer: Ich hab es auch nicht ganz durchblickt, aber soweit ich das verstanden habe werden bei Textsecure vorher schon 100 Schlüssel generiert, die für die Offline-Nachrichten genutzt werden können. Was allerdings passiert, wenn dir jemand mehr als 100 Nachrichten schreibt und du in der Zeit nicht mehr online warst, ist mir ein Rätsel. ^^
 
Zorror schrieb:
Wieso haben die OTR-Macher denn damals nicht noch an die Offline-Nachrichten gedacht? Das find ich ziemlich schade.
Zum Vergrößern anklicken....

Ja, das finde ich auch. Sonst wäre ich schon lange bei Jabber und XMPP.
 
Zorror schrieb:
Aber im Jabber kann ich ja auch Offline-Nachrichten verschicken. Die werden auf dem Server des Accountinhabers gspeichert, bis dieser das nächste mal online geht. Wenn ich dabei dann mit PGP die Nachrichten verschlüssel, kann ich auch asynchron sicher kommunizieren. Wieso haben die OTR-Macher denn damals nicht noch an die Offline-Nachrichten gedacht? Das find ich ziemlich schade.
Zum Vergrößern anklicken....

Die haben sich wahrscheinlich gedacht, daß jemand, der asynchron schreiben möchte, ohnehin E-Mail mit PGP nutzt. ;)

OTR ist soweit ich weiß direkt für IM gedacht. Außerdem fehlt bei einer PGP-verschlüsselten Mail die glaubhafte Abstreitbarkeit und sie kann entschlüsselt werden, wenn man an den privaten Schlüssel des Besitzers gelangt.
 
Zorror schrieb:
Nordseebaer: Ich hab es auch nicht ganz durchblickt, aber soweit ich das verstanden habe werden bei Textsecure vorher schon 100 Schlüssel generiert, die für die Offline-Nachrichten genutzt werden können. Was allerdings passiert, wenn dir jemand mehr als 100 Nachrichten schreibt und du in der Zeit nicht mehr online warst, ist mir ein Rätsel. ^^
Zum Vergrößern anklicken....

Das ist eine gute Frage... müsste man mal testen. Kann mir aber kaum vorstellen, dass die daran nicht gedacht haben - obwohl ich das nicht ausschließen will ;)

Zum ganzen GPG Gedöns: Ja, da habe ich die Vorteile, dass ich auf mehreren Geräten meinen Kram entschlüsseln kann. Das hat aber auch 2 gravierende Nachteile:

  1. Ich muss meinen private Key auf mehreren Geräten bunkern. Kommt mir eins weg, muss ich eigentlich davon ausgehen, dass der Key nicht mehr sicher ist, und überall meine Keys austauschen. Zudem, und jetzt kommt Nachteil 2.
  2. Ein einmal geknackter Key entschlüsselt alle meine Nachrichten, die mit diesem Key verschlüsselt wurden. Möglicherweise also alle, die ich jemals geschrieben habe. Und genau deshalb ist GPG für Chat auch nicht sinnvoll. Genau hier setzt ja auch OTR an (Stichword: Forward Security)

Man könnte jetzt natürlich argumentieren, dass Chat Verschlüsselung für den gemeinen Anwender nicht so extrem sicher gestaltet sein muss - im Sinne der Bequemlichkeit (ein Google Hangouts mit Ende-zu-Ende Verschlüsselung wäre doch geil). Wenn ich aber an die ganzen Länder denke, die es mit der privatsphäre und Menschenrechten nicht so sehen wie wir (China vllt. und wohl auch die USA?), ist wenigstens Forward Security mM essentiell. Und dieses Feature bietet dir GPG einfach nicht.
 
Wo bitte ist genau die News, und warum liest sich die Nachricht so als sei mailbox.org der erste, der sowas ermöglicht?
Die Aussage im Artikel "Verbindungen zum Jabber-Server sind ausschließlich über SSL/TLS-Verbindungen möglich" ist FALSCH! Siehe
https://xmpp.net/result.php?domain=mailbox.org&type=client
STARTTLS ist nur ALLOWED, nicht REQUIRED
mailbox.org_allowed.png

Wird so etwas nicht geprüft bevor man falsche Tatsachen veröffentlicht?

"Mein" E-Mail-Provider mail.de bietet das bereits seit über 2 Jahren an, auch mit DNSSEC + DANE. Und zwar mit STARTTLS-Zwang bei der Client-Verbindung, sprich REQUIRED:
https://xmpp.net/result.php?domain=mail.de&type=client

https://mail.de/blog/2012-11-mailde-bietet-jabber-chat-server/
https://mail.de/blog/2014-06-update-unseres-jabber-chat-servers/
 
mailbox.org hat bereits nachgebessert und die von dir kritisierte Einstellung optimiert (StartTLS: ALLOWED -> StartTLS: REQUIRED):
https://xmpp.net/result.php?domain=mailbox.org&type=client

Man sollte bedenken, dass der XMPP-Server von mailbox.org erst seit 19.02.2015 läuft, im Probebetrieb!
Ich nutze seit über 12 Jahren Jabber/XMPP, war auf verschiedenen Servern unterwegs und muss einfach festhalten, dass der Server von mailbox.org hervorragende Einstellungen (siehe IM Observatory) und eine bisher gute Performance/Uptime zeigt - mir ist kein anderer Server bekannt, der genauso gut abschneidet, nicht mal das Original, jabber.org!


mail.de hat offenbar Schwächen bei den Zertifikaten, zumindest schneidet der Server (momentan) hier schlechter ab als z. B. mailbox.org: https://xmpp.net/result.php?domain=mail.de&type=client
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

POINTman-10
Notiz Slack 4.38.115: Instant-Messaging-Dienst erhält generative KI-Tools
Antworten
1
Aufrufe
949
SirSilent
SirSilent
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz