Messenger

ChatSecure: Sicherheit steht vor Komfort

23. Mai 2014
  • Messenger

Öffnet man die Website von ChatSecure, fällt sofort das Logo ins Auge: Ein schwarzes Schloss. Hier geht es um Sicherheit. In unserem zehnten Test unserer Messenger-Testserie möchten wir prüfen, was an dem Sicherheitsversprechen der Open Source-App ChatSecure dran ist:

ChatSecure bietet immense Verbreitung

iOS, Android, Windows, Mac und Linux: Mit ChatSecure kann jeder mit jedem kommunizieren; die App lässt sich wirklich als plattformübergreifend bezeichnen. Auf Smartphones und Tablets funktioniert der Messenger genauso wie auf Desktops – XMPP sei dank, denn Nutzer mit verschiedenen XMPP-Clients wie Pidgin oder Adium können verschlüsselt mit ChatSecure-Nutzern kommunizieren. Die Installation funktioniert denkbar einfach: Gehen Sie in Ihren App-Store, laden Sie sich die App herunter und folgen Sie den Installationshinweisen.

Wir sind kurz irritiert: Unsere iOS-Tester sehen ein anderes Interface als die, die mit Android arbeiten. Diese Unterschiede sind bereits in den Screenshots der App-Stores (Android / iOS) ersichtlich. Beide Versionen sind recht holprig übersetzt – für Anwender mit spärlichen Englischkenntnissen dürfte es schwer werden, die englischsprachigen Informationen zu den Einstellungen der Verschlüsselung zu verstehen.

Messenger-Test_2Wir starten die App und werden aufgefordert, eine neue Passphrase einzugeben. Alternativ kann der User darauf auch verzichten. Hat sich der Nutzer für eine neue Passphrase entschieden, folgt nach der Eingabe die Bestätigung und die Konfigurierung des Accounts. Wir haben die Wahl: Google, Jabber oder Bonjour. Wir wählen Google und die App möchte auf Google Mail zugreifen. Wir willigen ein. Anschließend wird uns die Option gegeben, uns übers Tor-Netzwerk anzumelden, was die Orbot-App notwendig macht. Für den Test verzichten wir darauf. Schön: Unseren Online-Status können wir als online, abwesend, untätig, offline und beschäftigt anzeigen lassen. In den Einstellungen finden wir weitere datenschutzrelevante Optionen, etwa die automatische Anmeldung unseres Accounts, die wir leicht ausstellen können.

Ein Klick in „Contacts“ erlaubt uns, neue Kontakte per E-Mail einzuladen. Theoretisch. Denn unsere Einladung kam nie im Posteingang oder Spam-Ordner des Nutzers an. Etwas gewohnheitsbedürftig wirkt auch die Tatsache, dass ein Messenger, der Wert auf Privatsphäre legt, Kontaktlisten von Google Mail abgleicht: Wir sehen all unsere G+-Kontakte und deren Online-Status. Sowohl unter iOS als auch unter Android ist die App ansonsten aber intuitiv und leicht bedienbar.

ChatSecure finanziert sich aus Spenden

In unserem Test wollten wir Anhänge versenden, wurden allerdings darauf hingewiesen, dass wir erst die Verschlüsselung in den Einstellungen aktivieren sollen. Gesagt, getan – und wieder dieser Hinweis. Dasselbe beim Versuch, ein Foto und eine Audiodatei zu versenden oder ein Foto aufzunehmen. Wir haben es mit sämtlichen Einstellungen probiert: Chat-Verschlüsselung voraussetzen, automatisch, manuell oder nie – die Aufforderung blieb gleich, der Dateiversand ist uns im Test nicht gelungen. Wie groß die Dateien sein dürfen, konnten wir nicht recherchieren und haben beim Support angefragt.

Messenger-Test_3Der kostenfreie Messenger ChatSecure setzt auf Spenden: Ein InApp-Link führt zu PayPal, Spenden werden auch online via PayPal oder in Bitcoins angenommen. Hinter dem Messenger ChatSecure steht The Guardian Project; ein Entwickler von Open Source-Apps. Neben ChatSecure wäre das beispielsweise Orbot; eine App, die dank Tor-Verbindung anonymes Browsen unter Android erlaubt. Auch TextSecure steht auf der Seite des Guardian Projects, allerdings unter den Apps, die von Dritten entwickelt wurden, die aber von dem Entwicklerteam unterstützt und weiterentwickelt werden. Wer für welche Entwicklungen verantwortlich ist, zeigt die Teamseite von The Guardian Project.

Sicherheit: ChatSecure erinnert an TextSecure

In Bezug auf die Verschlüsselung und die Transparenz erinnert ChatSecure sehr an TextSecure. Während TextSecure mit der OTR-Weiterentwicklung Axolotl arbeitet, setzt ChatSecure auf Off-the-Record-Verschlüsselung (OTR). Deshalb sind verschlüsselte Nachrichten nur dann möglich, wenn das Gegenüber einen kompatiblen OTR-Client nutzt. Eine Liste von Clients, die OTR unterstützen, finden Sie im Ubuntuusers-Wiki. OTR unterstützt Perfect Forward Secrecy (PFS), was dafür sorgt, dass das nachträgliche Entschlüsseln von Nachrichten nicht möglich ist (ausführliche Informationen in unserem Artikel „Knowledgebase: Perfect Forward Secrecy„).

Im Systemspeicher werden ausgetauschte Konversationen nicht abgelegt, sodass neugierige Apps an keine Informationen kommen. ChatSecure verzichtet auch darauf, Adressbücher oder Nachrichten auf die Server zu laden. Wird ChatSecure zusammen mit dem Datenschutz-Plugin Orbot verwendet, können Firewalls, Netzwerkeinschränkungen und Blacklists umgangen werden, weiter ist eine Rückverfolgung ausgeschlossen. Die Datenschutzrichtlinien wurden nach den Creative Commons Privacy Policy erstellt. Demzufolge werden keinerlei persönliche Informationen auf den Servern gespeichert und an Dritte weitergegeben, Nutzer werden nur nach persönlichen Daten gefragt, die zur Anwendung der App nötig sind. Melden sich Nutzer, wie wir in unserem Test, über Google an, verweist ChatSecure ergänzend zu den eigenen Richtlinien auf Googles Privatsphärerichtlinien.

Messenger-Test_4Auch die AGB sind frei einsehbar: Unter iOS entsprechen sie der GNU GPL in Version 3, unter Android der Apache 2.0-Lizenz. Ein Jugendfilter ist auch in diesem Messenger nicht vorhanden. Der Quellcode von ChatSecure ist über GitHub einsehbar (iOS / Android).

Keine Sicherheitsprobleme mit ChatSecure

ChatSecure hat bislang keine Negativ-Schlagzeilen bezüglich etwaiger Sicherheitsprobleme gemacht – die Verschlüsselungsparameter sind zum einen öffentlich einsehbar, zum anderen gilt OTR als sicher. Einschränkungen gibt es jedoch in der Zuverlässigkeit und generellen Bedienung: In unserem Test konnten wir weder Dateien versenden noch kam unsere E-Mail-Einladung an. Bei unseren Recherchen sind uns genau diese Probleme öfter aufgefallen, sodass dies ein generelles Problem zu sein scheint. Für iOS-User ergibt sich noch ein weiteres Problem: Die Verbindung zum XMPP-Server wird automatisch vom Betriebssystem nach zehn Minuten unterbrochen. Wenn Sie also elf Minuten lang auf eine Antwort Ihres Chatpartners warten, haben Sie Pech und müssen eine neue Konversation starten.

Messenger-Test_5ChatSecure ist ein Messenger, der auf Live-Kommunikation setzt – Sie und Ihr Gesprächspartner sollten online sein. Diesen Punkt realisiert WhatsApp attraktiver: Sie können dort auch Offline-Nachrichten für den späteren Empfang versenden. Auf Gruppenchats müssen Sie mit ChatSecure verzichten. Positiv zu erwähnen ist die Tatsache, dass XMPP für eine immense Verbreitung sorgt: Sie können mit jedem Betriebssystem mobil und stationär kommunizieren. Auch die Sicherheitsparameter stimmen. Via OTR kommunizieren Sie Ende-zu-Ende-verschlüsselt und PFS schützt Sie vor nachträglichen Entschlüsselungen. Dieses Sicherheitsdenken geht auf den Komfort: Ein OTR-Schlüssel muss erzeugt und ein Jabber-Account hinzugefügt werden. Die schnelle Alternative via Google-Login sorgt dafür, dass sämtliche Kontakte aus Google Talk automatisch importiert werden. Insgesamt ist ChatSecure als sichere App einzustufen, die sich für Anwender eignet, die bereit sind, beim Komfort dezente Abstriche zu machen.

Zusammenfassung ChatSecure

  • Verbreitung: iOS, Android, Windows, Mac und Linux, reine WLAN-Geräte
  • Einschränkungen: keine App für Windows Phone, aber via Browser nutzbar
  • Installation: einfach
  • Kontakte rüberziehen: Kontaktlistenabgleich via Google Mail bei Anmeldung über Google, Einladung per E-Mail
  • Optik/ Bedienbarkeit: unterschiedliche Optik in iOS & Android, teilweise nicht übersetzt, Einladungen per E-Mail kamen nicht an, Dateiversand war im Test nicht möglich, Interface aber intuitiv bedienbar
  • Flexibilität: Anhänge, Fotos und Audios, Größe haben wir beim Support erfragt
  • Kosten: kostenfrei
  • Orga/ Land hinter dem Service: The Guardian Project
  • Verschlüsselung: Ende-zu-Ende-Verschlüsselung, PFS wird unterstützt, sehr gut
  • Quellcode: offen
  • Datenschutz: Creative Commons Privacy Policy
  • AGB: iOS: GNU GPL Version 3, Android: Apache 2.0
  • Zuverlässigkeit: Dateiversand und E-Mail-Einladungen funktionieren nicht zuverlässig
  • Sicherheitsprobleme: keine
  • Jugendfilter: nicht vorhanden
  • Datenspeicherung: weder lokal, noch auf Servern
  • XMPP: ja
  • Finanzierung: durch Spenden



0 Kommentar(e)

Schreibe einen Kommentar