Das Matrix-Protokoll für verschlüsselte, dezentrale Kommunikation

[Germanist]

Das können sie z.B. bei Signal auch nur, wenn diese mit den Strafverfolgungsbehörden kooperieren. Matrix anonym zu nutzen ist schwierig, weil Element als Vorzeige-Client weder in der Android noch Desktopvariante Proxys wie TOR out of the box unterstützen. Es kommt also gänzlich auf deinen Serverbetreiber an, ob der deine IP weitergibt, die dich genauso identifiziert wie deine Telefonnummer. Also selbes Sicherheits- und Anonymitätslevel wie das Honigforum, falls dort registriert.

* IP kann man per VPN verstecken
* Von der IP auf den Nutzer zu schließen ist aufwändiger, weil man erst die IP vom Dienst-Anbieter und danach die Identität vom Provider ermitteln muss. Und da vertraue ich meinem Provider eher, dass er das nicht einfach so rausgibt, sondern nur auf gerichtlichen Beschluss. Und dazu braucht es vermutlich schon etwas mehr als "Du bist so 1 Pimmel". Dienst-Anbieter kooperieren da vermutlich eher mit den Strafverfolgungsbehörden.

 

[Christian]

Von der IP auf den Nutzer zu schließen ist aufwändiger, weil man erst die IP vom Dienst-Anbieter und danach die Identität vom Provider ermitteln muss.

Da reicht es schon, wenn du z.B. dem VS irgendwie auffällst. Die haben direkte Schnittstellen für solche Dinge.

 

[Germanist]

Da reicht es schon, wenn du z.B. dem VS irgendwie auffällst. Die haben direkte Schnittstellen für solche Dinge.

Quelle?

 

[Christian]

Quelle?

Das musst du mir leider so glauben. Ich kann dir nur versichern, dass ich das quasi aus erster Hand von einer zuverlässigen Quelle weiß.

 

[Germanist]

Das musst du mir leider so glauben. Ich kann dir nur versichern, dass ich das quasi aus erster Hand von einer zuverlässigen Quelle weiß.

Das was Alex Jones so erzählt stammt auch alles "quasi aus erster Hand" von "zuverlässigen Quellen".

 

[Hieronymus]

Das musst du mir leider so glauben. Ich kann dir nur versichern, dass ich das quasi aus erster Hand von einer zuverlässigen Quelle weiß.

Ist das ein Geheimnis? Ich meine, selbst die Polizei darf mittlerweile präventiv Quellentelekommunikationüberwachung betreiben und arbeitet auch anderweitig direkt mit den ISPs zusammen. Warum sollte es für den BVS schwieriger sein?

@Christian Werden die Kontaktdaten auf dem Server eigentlich auch verschlüsselt? Ich weiß, dass es bei XMPP-Servern nicht so ist, aber zu Synapse hab ich noch nichts gefunden.

 

[Dr. Pepe]

Hast du das aus meiner Zwischenablage kopiert? Ich hatte das fast 1:1 so formuliert.

Was ist dein Problem? Ich habe dir mit meiner Aussage zugestimmt und noch etwas hinzugefügt. Deine Aussage war nur, dass es super unsicher ist (stimmt). Ich fügte hinzu, es war ein genialer Schachzug die Rechten das Gegenteil glauben zu lassen. Das stand in deinem Beitrag auch nicht anders formuliert drin. Eigentlich alles gut, sollte man meinen.

ox ist nicht unpraktikabel, da man eigentlich garnicht einrichten muss.

So weit ich es verstanden habe, entspricht jede Installation einem separaten Account. Es ist somit nicht möglich von zwei Geräten aus als eine Person aufzutreten. Möchte mich jemand erreichen, muss er im Zweifel an meinen Desktop-Account und an meinen Mobil-Account schreiben. Das dürfte für viele Menschen schon unpraktikabel sein, außer für die, die nur ihr Smartphone benutzen, aber diese Gruppe ist am weitesten davon entfernt jemals Tox zu benutzen.

 

[Dr. Pepe]

Hast du das aus meiner Zwischenablage kopiert? Ich hatte das fast 1:1 so formuliert.

Was ist dein Problem? Ich habe dir mit meiner Aussage zugestimmt und noch etwas hinzugefügt. Deine Aussage war nur, dass es super unsicher ist (stimmt). Ich fügte hinzu, es war ein genialer Schachzug die Rechten das Gegenteil glauben zu lassen. Das stand in deinem Beitrag auch nicht anders formuliert drin. Eigentlich alles gut, sollte man meinen.

Da habe ich gestern aber echt totalen Mist gelesen und deinen Post total falsch verstanden. Vergiss, was ich geschrieben hat, sorry!

 

[Dr. Pepe]

@Christian funktioniert die Registrierung noch? Ich habe zwei Messenger gefunden, die eine Funktion zur Registrierung haben (nheko und quadrix), aber bei beiden lädt es ewig und bricht dann ab. Wenn ich dagegen auf https://app.element.io/ den Server matrix.shlomo.ga eingebe, kommt die Meldung, dass die Server-URL kein gültiger Heimserver sei.

 

[Christian]

@Christian funktioniert die Registrierung noch? Ich habe zwei Messenger gefunden, die eine Funktion zur Registrierung haben (nheko und quadrix), aber bei beiden lädt es ewig und bricht dann ab. Wenn ich dagegen auf https://app.element.io/ den Server matrix.shlomo.ga eingebe, kommt die Meldung, dass die Server-URL kein gültiger Heimserver sei.

Den Server habe ich abgeschaltet, weil ihn niemand genutzt hat. Wenn wieder Interesse besteht, könnte ich ihn wieder einrichten.

 

[MrT]

Ein Spiegel des Shlomobbing Kanals wäre schon edel.

 

[Christian]

Der Server läuft wieder.

nheko

nheko ist auch in der aktuellen Version 0.8.2 noch von den Schwachstellen CVE-2021-40823 und CVE-2021-40824 betroffen und damit unsicher.

 

[Dr. Pepe]

Super, dankeschön! Auch für den Hinweis zu nheko.

 

[Christian]

Hier 2 Testkanäle:
Mob aus der Shlomosphäre
Chat

 

[Dr. Pepe]

Auf https://matrix.org/clients/ sind viele Klienten gelistet, aber die Liste ist unvollständig und leider bekommen die es nicht auf die Reihe direkt dazu zu schreiben, welcher Klient für welches System verfügbar ist.
Für Linux habe ich folgende Klienten gefunden:

• Element (offizieller Klient, ehemals Riot)
• FluffyChat
• Mirage
• NeoChat
• Fractal
• nheko
• quadrix
• Quaternion
• Revolt
• SchildiChat
• Spectral
• Syphon

Für Windows gibt es:

• Element
• NeoChat
• nheko
• Quaternion
• SchildiChat

 

[Dr. Pepe]

Für alle, die es ausprobieren wollen, kurz ein paar Worte dazu.

- Als Messenger empfehle ich für den Einstieg Element, da der die meisten Funktionen implementiert hat. Herunterladen auf https://element.io/get-started
- Das alles ist minimal komplizierter als Whatsapp, Discord oder Telegram, aber vor allem deshalb, weil es dafür sicherer ist. Also einmal Zähne zusammenbeißen und durch!
- Beim Start kannst du dich registrieren. Standardmäßig ist als Registrierungsserver matrix.org eingetragen. Wir wollen aber den Server von Christian verwenden, also dort "matrix.shlomo.ga" eintragen. Der Benutzername besteht nur aus Kleinbuchstaben, Zahlen, Binde- und Unterstrich. Ein alternativer Anzeigename kann aber eingestellt werden.
- Wenn du jemanden hinzufügen möchtest, dann brauchst du die Matrix-ID des anderen Benutzers. Die sieht wie folgt aus: "@benutzername:server"
Beispielsweise @glowie:matrix.shlomo.ga
In Element links in der Liste neben "Personen" auf das Plus klicken, dann ID eingeben und darauf warten, dass der andere bestätigt.
- Die Kommunikation ist ggf. anfangs unverschlüsselt! Am Anfang jedes Chats steht jedoch der Status. Am Anfang des Chatverlaufs kannst du auswählen, dass der Chat verschlüsselt sein soll und dass du den Kontakt verifizieren kannst. Klicke dann auf das Profilbild des anderen (steht auch da). Am einfachsten geht das über die Emoji-Verifikation. Ihr bekommt dann beide Emojis angezeigt und müsst über einen anderen Kanal (Discord, das Forum oder was auch immer) prüfen, dass ihr die gleichen angezeigt bekommt. Ist das der Fall, ist die Kommunikation ab da an verschlüsselt und der Kontakt verifiziert.

Einige Einstellungen solltet ihr vornehmen:
- Unter "Allgemein" ist standardmäßig ein Identitätsserver aktiviert. Der ist dazu da sich serverübergreifend zu finden. Das wollen wir in der Regel nicht, also "Verbindung kappen".
- Unter "Optionen -> Mediendateien" die URL-Vorschau abschalten
- Unter "Anrufe" die Direktverbindung für Direktanrufe deaktivieren. Wir wollen unsere IP ja nicht weitergeben.
- Unter "Sicherheit -> Verschlüsselung" aktivieren, dass verschlüsselte Nachrichten nicht an unverifizierte Sitzungen gesendet werden.

Für einzelne Chaträume gibt es separate Optionen.
- Hier kannst du die URL-Vorschau wieder aktivieren, wenn du der Person vertraust.
- Unter "Sicherheit" die Verschlüsselung aktivieren, falls nicht bereits aktiviert und ebenso, das mit den unverifizierten Sitzungen.
- Außerdem empfehle ich dort einzustellen, dass Mitglieder nur ab Beitritt den Chatverlauf lesen können.
- Und es sollten Mitglieder nur auf Einladung in die Gruppe kommen können.

Wozu die Verifikation?
So kannst du sicher sein, dass die Person, mit der du schreibst, wirklich die ist, von der du ausgehst. Andernfalls kann sich jemand anderes als diese Person ausgeben oder sich in die Kommunikation einklinken und so mitlesen und Daten senden. Kommt sicher selten vor, aber theoretisch möglich und die Verifikation schadet nicht.

Aufbau von Chats
Alle Chats sind als Gruppenchats organisiert, auch eine direkte Kommunikation mit nur einer Person. Element sortiert die Chats dennoch unter "Personen" oder "Räume" ein. Da es sich immer um Chaträume handelt, werden auch entsprechende Begriffe verwendet, also nicht wundern.

 

[Dr. Pepe]

Nach ein paar Stunden kann ich sagen, der Sprachchat funktioniert gut, die Qualität war super. Am Anfang war es etwas verwirrend, dass der Sprachchat als Videochat ohne Bild gestartet wurde. Element unterscheidet also nicht wirklich zwischen reinem Audio und Audio+Video. Der angerufene Teilnehmer könnte dabei auf die Idee kommen, dass da jemand versucht einen auszutricksen, aber dem ist nicht so. Vorsicht ist dennoch geboten, denn wie ich erfahren habe, schaltet die Mobilversion erst einmal die Kamera ein (am PC war keine Kamera angeschlossen). Das ist echt unglücklich gelöst. Wer es mobil nutzt, also immer daran denken die Kamera beim Annehmen abzudecken und dann die Kamera abzuschalten. Wobei ich generell jedem, der solch eine Software am Mobiltelefon nutzt, empfehlen würde, die Kamera abzukleben. Eventuell macht es ein anderer mobiler Messenger besser.

Der Austausch von Bildern und Videos geht nicht so gut, wie es auf anderen Plattformen funktioniert, was wohl der Sicherheit geschuldet ist. Ein Upload funktioniert gefühlt normal, aber bis der Inhalt angezeigt wird, dauert es, da der Inhalt erst einmal entschlüsselt werden muss. Und da Bilder und Videos wesentlich größer sind als Texte, merkt es der Anwender bei Texten nicht, bei Bildern und Videos hingegen schon. Außerdem gibt es eine Größenbeschränkung, die uns @Christian sicher nennen kann, denn ich gehe davon aus, die lässt sich einstellen. Videos mit 30 MB gehen jedenfalls nicht.

 

[PLAUSIBLE_DENIABILITY]

Auf https://matrix.org/clients/ sind viele Klienten gelistet, aber die Liste ist unvollständig und leider bekommen die es nicht auf die Reihe direkt dazu zu schreiben, welcher Klient für welches System verfügbar ist.
Für Linux habe ich folgende Klienten gefunden:

• Element (offizieller Klient, ehemals Riot)
• FluffyChat
• Mirage
• NeoChat
• Fractal
• nheko
• quadrix
• Quaternion
• Revolt
• SchildiChat
• Spectral
• Syphon

Für Windows gibt es:

• Element
• NeoChat
• nheko
• Quaternion
• SchildiChat

Ich möchte darauf hinweisen das Element auch bei F-Droid verfügbar ist, für alle Android Nutzer die ohne Google auskommen möchten oder müssen.

https://matrix.org/clients-matrix hier kann man die Funktionen vergleichen.

 

[Hieronymus]

Einige Einstellungen solltet ihr vornehmen:

Bei dem Client Element gibt es noch eine Einstellung, die (mWn) nur in der Desktop-Variante abgestellt werden kann: Die Telemetriedaten unter Sicherheit. Unbedingt ausschalten.

Ebenso kann man einstellen Cross-Signing zu misstrauen und nur manuell Geräte zu verifizieren.

Verifikation schadet nicht.

Einer der wichtigsten Punkte. In der Kryptographie gelten (eigentlich) nur verifizierte Schlüssel als sicher.

Der Austausch von Bildern und Videos geht nicht so gut, wie es auf anderen Plattformen funktioniert, was wohl der Sicherheit geschuldet ist.

Komm wohl eher auf den Server an. Bei meinem hatte ich noch keine Probleme.

 

[Dr. Pepe]

Ich möchte darauf hinweisen das Element auch bei F-Droid verfügbar ist, für alle Android Nutzer die ohne Google auskommen möchten oder müssen.

https://matrix.org/clients-matrix hier kann man die Funktionen vergleichen.

Danke, das hatte ich bisher vermisst und dort auch nicht gefunden. Eine wirklich sehr gute Übersicht, da hätte ich mir meine Liste ja fast sparen können.

Bei dem Client Element gibt es noch eine Einstellung, die (mWn) nur in der Desktop-Variante abgestellt werden kann: Die Telemetriedaten unter Sicherheit. Unbedingt ausschalten.

Stimmt, das hatte ich ebenfalls deaktiviert, allerdings weiß ich nicht, wie dramatisch das bei Element wirklich ist. Als Nutzer der shlomo.ga-Servers ist das aber wohl besser.

Ebenso kann man einstellen Cross-Signing zu misstrauen und nur manuell Geräte zu verifizieren.

Was heißt der Punkt genau? In der Beschreibung steht:
"Alle Sitzungen einzeln verifizieren, anstatt auch Sitzungen zu vertrauen, die durch Quersignierungen verifiziert sind."
Eine Sitzung wird erstellt, wenn ich mich mit der Software auf einem Gerät anmelde, es ist also die Kombination aus Benutzerkonto + Software + Hardware. Nun verstehe ich das so, dass ich an einem Gerät alle Nutzer verifizieren muss, um deren Identität auf Echtheit zu prüfen. Melde ich mich an einem weiteren Gerät an, prüfe ich, ob der neue Login wirklich von mir stammt. Danach übernimmt Element auf dem neuen Gerät die Nutzerverifikation vom ersten Gerät, das heißt ich muss nicht nur mal alle neu prüfen.
Habe ich das richtig verstanden? Das sieht für mich aus wie eine "Chain of Trust", wenn auch anfangs eine sehr kurze. Davon sollte doch keine Gefahr ausgehen, oder? Außer natürlich, die Kette wird irgendwo gebrochen und jemand schafft es ein weiteres Gerät mit meinem bestehenden Account zu verifizieren, aber dann ist das Kind ohnehin in den Brunnen gefallen.

Einer der wichtigsten Punkte. In der Kryptographie gelten (eigentlich) nur verifizierte Schlüssel als sicher.

Ich hatte es als Optional stehen lassen, um damit nicht jemanden abzuschrecken, wenn es mal nicht auf Anhieb klappt (so wie bei mir teilweise) und da es ohne Verifikation das gleiche Sicherheitsniveau hat wie jeder andere Messenger mit Verschlüsselung auch.