Jabber (XMPP+OMEMO) statt WhatsApp & Co
Ja es gibt sie, die Alternative! Und es ist nicht Threema, Telegram, Signal usw.
Alle genannten vermeintlichen Alternativen sind ähnlich wie WhatsApp auf zentralisierte Strukturen ausgelegt.
Stell dir vor, E-Mail würde nur Anbieterabhängig funktionieren und E-Mails schreiben von T-Online nach GMX oder Gmail, wäre nicht möglich!
Warum geht das alles bei E-Mail? Es gibt einen offiziellen Standard an den sich alle Anbieter zu halten haben. Als Nutzer kann ich mir frei meinen Anbieter aussuchen (oder sogar einen eigenen Server betreiben). Dazu noch bin ich frei in der Auswahl meines E-Mail Programmes!
Sollte das beim Instant Messaging nicht genau so sein? Ich bin der Meinung ja!
XMPP/Jabber ist ein offener Standard den es schon viele Jahre gibt, sich aber erst in den letzten Jahren so richtig für die mobile Verwendung weiter entwickelt hat. (Auch WhatsApp baut technisch auf XMPP auf!)
Bei der Recherche nach XMPP/Jabber, sollte auf das Datum der Informationen geachtet werden (2016+). Im Internet gibt es viele veraltete Anleitungen und Kommentare. Mit den Stichwörtern XMPP+OMEMO ist man jedoch gut dabei.
Die dezentrale Struktur und das offene Protokoll von XMPP/Jabber ist nur einer von vielen Vorzügen gegenüber WhatsApp & Co. Zur problematischen Rechtslage z.B. von WhatsApp unten mehr.
Kurz: Es gibt sehr viele Gründe für den Umstieg. Bist du dabei? Die Revolution läuft! ;-)
Um den Einstieg ins Thema zu erleichtern, hier meine persönliche Sammlung von Informationsquellen und Empfehlungen.
Empfohlene Jabber/XMPP Clients mit OMEMO Verschlüsselung
Da XMPP ein offener Standard ist, gibt es unzählige Anbieter und unzählige Clients (Programme und Apps) dafür. Die Auswahl ist groß, jedoch unterstützt nicht jeder Anbieter und nicht jeder Client die modernsten Erweiterungen für die mobile Nutzung. Über den Stand der Integration von OMEMO informiert z.B. omemo.top.
*) Gut investiertes Geld, das dem Conversations Entwickler zugute kommt.
Eine Auswahl von Servern:
Weitere Server finden sich in diversen Listen z.B. bei conversations.im (berücksichtigt bestmögliche Kompatibilität für die mobile Verwendung) oder auf xmpp.net. Wichtig: Kommunikation untereinander ist von jedem XMPP-Server aus möglich. Alle sind vernetzt. (Wie E-Mail eben.) Ein Server Status ist live auf conversations.im einsehbar.
Wie lege ich los?
Ganz kurz zusammengefasst gehts so:
- Entscheidung für einen Server/Provider deines Vertrauens.
- Conversations auf Android (bzw. ChatSecure auf iOS) installieren.
- Neues Konto auf Server der Wahl erstellen* = Eigene Jabber-ID wird angelegt. (Tipp: "Nutze eigenen Provider" für was anderes als conversations.im)
- Kontakte hinzufügen. (Immer mit kompletter Jabber-ID. Es spielt keine Rolle, auf welchem Server der Kontakt registriert ist!)
- Fertig!
Eine ausführliche Anleitung für Conversations gibts auf freie-messenger.de, auf simplewire.de (PDF) oder auf jabber.de.
*) Falls die Registrierung aus der App heraus vom Server abgelehnt wird, kann diese normalerweise auf dessen Webseite durchgeführt werden. Die Logindaten (Jabber-ID + Passwort) können anschließend in die App übernommen werden.
Empfohlene Artikel zum Thema:
Da ich selbst nicht alles neu formulieren will, hier einige wertvolle Quellen. Nach und nach werde ich eigene Themen ergänzen. Wer die einfache Erklärung bevorzugt, dem seien gleich die ersten beiden Artikel empfohlen.
Lesetipps übers Thema Instant Messaging hinaus:
WhatsApp und das Recht
Amtsgericht Bad Hersfeld - Beschl. v. 15.05.2017, Az.: F 120/17 EASO - Leitsatz 5: (Auszug)
Wer den Messenger-Dienst "WhatsApp" nutzt, übermittelt nach den technischen Vorgaben des Dienstes fortlaufend Daten in Klardaten-Form von allen in dem eigenen Smartphone-Adressbuch eingetragenen Kontaktpersonen an das hinter dem Dienst stehende Unternehmen.
Wer durch seine Nutzung von "WhatsApp" diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.
Nachteile zentraler Strukturen
- Der Anbieter bestimmt welche App zu verwenden ist. Beispiel "WhatsApp". Die App ist Closed-Source, keiner weiß genau was sie alles macht.
- Der Anbieter bestimmt das Übertragungsprotokoll. Andere Anbieter und App-Entwickler werden bewusst (im Fall von WhatsApp) ausgeschlossen.
- Der Anbieter bestimmt wie verschlüsselt wird. Beispiel WhatsApp: Die größte Wirkung hat die versprochene Verschlüsselung im Marketing. Technisch hat sie Schwächen. Und da Closed-Source, ist sie nicht überprüfbar!
- Alle Nutzer sind mit einem zentralen Server (Serververbund) verbunden. Beispiel WhatsApp: Hier gibt es eine Firma, die von über einer Milliarde Menschen aufzeichnet, wie oft und wann sie am Tag aufs Smartphone schauen! Wenn man die Nutzungsbedingungen liest, erkennt man schnell, dass WhatsApp alles aufzeichnet was möglich ist und im regen Austausch mit Partnerfirmen ist. Sprich: Sie verdienen Geld mit Nutzerdaten.
- In einer zentralen Struktur bündelt sich Macht. Sehr wahrscheinlich besitzt WhatsApp (Facebook) das umfangreichste Adressbuch der Welt. Dazu noch die Information, wer wen kennt und wer mit wem wie oft in Kontakt steht. Darüber hinaus noch viele weitere Details der eingesetzten Geräte...
- Unabsehbar wären die Folgen politischer Einfluss- oder sogar Übernahme, ebenso der Datendiebstahl von Hackern, sonstiger Missbrauch...
Welche Verschlüsselung über XMPP?
Vorneweg: Nachfolgend genannte Methoden sind Ende zu Ende Verschlüsselungen (E2E) die zusätzlich zur vorhandenen Transportverschlüsselung wirkt! Eine Transportverschlüsselung ist mittlerweile Standard und sichert die Übertragung zwischen Client und Server (C2S) und Server zu Server (S2S). Alle von mir gelisteten Clients und Server lassen nur verschlüsselte Verbindungen zu. Server können auf check.messaging.one getestet werden.
- OMEMO ist die aktuelle Empfehlung für die mobile E2E Verschlüsselung. 2015 entwickelt für mobile Anforderungen löst es einige Nachteile von OTR und OpenPGP.
- OTR kann keine Offline Messages (das Gegenüber muss online sein) und kein Multi Client (auf einem zweiten Gerät kann die gleiche Nachricht nicht entschlüsselt werden).
- OpenPGP hat seine Berechtigung wenn Nachrichten verschlüsselt archiviert werden sollen. Ansonsten eher umständlich in der Handhabung.
Eine Tabelle der Vor- und Nachteile findet sich auf der Seite von OMEMO.
Tipps und Tricks
- Technische Infos und ein FAQ zu Conversations findet sich auf Github. Dort ist auch der Quellcode einsehbar und die aktuelle Entwicklung nachverfolgbar. Entwickler ist Daniel Gultsch.
- Wer mehrere Geräte mit demselben Account betreibt und auf allen Gräten alle Nachrichten haben will, sollte das Message Archiv Management (MAM) auf dem Server aktivieren. In Conversations: Kontodetails - Menü - Archivierungseinstellung: "immer". (Nachrichten werden für eine begrenzte Zeit auf dem Server zwischengespeichert, bis sie von allen deinen Geräten abgeholt sind.)
- Wer auf dem Smartphone mit Backups zu Werke geht, dem sei der Abschnitt "How do I backup / move Conversations to a new device?" in den FAQs empfohlen. OMEMO-Verschlüsselte Nachrichten könnten sonst verloren gehen, solange der eigene Schlüssel nicht zurückgesetzt und von Partnern neu verifiziert wird.
- Bei der Registrierung eines XMPP Kontos (z.B. aus Conversations heraus) sind im allgemeinen keinerlei persönliche Daten anzugeben! Bei Registrierung auf Webseiten ist meist eine E-Mail-Adresse anzugeben, um z.B. das Passwort bei Verlust zurücksetzen zu können. (Sonderfall bei jabjab.de: Hier wird die angegebene E-Mail-Adresse in die private V-Card eingetragen. Leute in deiner Kontaktliste können diese E-Mail-Adresse einsehen, andere jedoch nicht! Sie kann jederzeit auch wieder gelöscht werden.)
- Nachrichten kommen zu spät an oder die Benachrichtigung fehlt? Ab Android Version 6 und neuer kann eine Verzögerung an der Stromsparfunktion von Android liegen. Empfehlung: In den Android-Einstellungen die "Akku-Leistungsoptimierung" für Conversations deaktivieren, bzw. auf "Nicht optimieren" stellen. Die Bezeichnung der Stromsparfunktion kann bei Sony- ("STAMINA-Modus") und Huawei-Geräten ("Geschützte Apps") abweichen.
- Das Betriebssystem iOS (Apple) schränkt Hintergrunddienste von Apps stark ein, so dass dort Nachrichten oft nur bei aktiver App ankommen. iOS-Nutzer sollten folgende Konstellation anstreben: Server mit entweder ejabberd >18.06 oder Prosody mit der (noch) inoffiziellen Erweiterung mod_cloud_notify. Zusätzlich sollte das Message Archiv Management (MAM) auf dem Server aktiviert werden (vom Client konfigurierbar).
Zwischenfazit Sommer 2017 und Ausblick
Meine Hoffnungen vom Anfang des Jahres 2017 haben sich nicht ganz erfüllt. Die Verbreitung von Jabber/XMPP ist weiter schleppend und verlangt Geduld! Was bremst? Probleme mit Push auf Apple Geräten, zu wenig Entwickler an den aktuellen Apps, keine Firma die XMPP aktiv fördert, OMEMO Verschlüsselung nicht durchgängig gut genug umgesetzt...
Allein die Verbesserung auf Apple Geräten wäre ein großer Schritt nach vorne.
Was bringt die Zukunft? XMPP/Jabber wird weiter einer kleinen Gruppe vorbehalten bleiben, die aktiv die Alternative zu WhatsApp sucht und sich dabei auf den Weg zum "offenen Standard" macht. Der große Durchbruch von Jabber/XMPP für die Masse wird es nur dann geben, wenn irgend eine "große Firma" sich entscheidet, zum offenen Standard zurück zu kehren und sich wieder als Teil(!) eines großen Netzwerkes sieht.
Neuigkeiten 2018
- Gajim (Linux,Windows) erscheint in der Version 1.0 in modernerem Aussehen und einigen Verbesserungen (17. März 2018).
- Conversations (Android) erscheint pünktlich zum 3. Geburtstag in der Version 2.0 (24. März 2018). OMEMO ist nun Standard. Hintergrundinformationen finden sich beim Entwickler Daniel Gultsch unter "Essays" - "A series leading up the release of Conversations 2.0" (englisch).
- "OMEMO by default" - ohne dass der Empfänger in der Kontaktliste stehen und meinen Online-Status haben muss - ist bei vielen Servern bereits möglich. (XEP-0384 compliance)
- Apple User mit iOS bekommen zuverlässig Push-Nachrichten, wenn ihr Server ejabberd >18.06 oder Prosody mit der (noch) inoffiziellen Erweiterung mod_cloud_notify aktiv hat.
- Neu online: Freie Messenger, ein Ein- und Überblick zur Förderung "digitaler" Selbstverantwortung, Freiheit und Unabhänigkeit...
- Neu online: quicksy.im, der leichte Einstieg für weniger Datenschutzbewusste, WhatsApp gewohnte User in die Jabber/XMPP-Welt. (Verwendung von Telefonnummern und gleichzeitig 100% XMPP.)
Etwas zu meiner Person
Ich heiße Daniel Werz, bin Christ, Schwabe, verheiratet, und Technik-begeistert länger als es das Internet gibt! :) Monopole und zunehmende Datensammler[1][2] beobachte ich kritisch und lassen mich aktiv werden. Dem bequemen Mainstream zu folgen, bedeutet heutzutage eine nie dagewesene Offenlegung privater Dinge. Im Internet von heute mehren sich stetig die Firmen und Techniken, die mit unseren Daten Umsatz generieren wollen. Wohin es darüber hinaus noch führen kann, lässt sich im Artikel "Die AAA-Bürger" erahnen. Geht ein Leben ohne Google, WhatsApp, Facebook, Microsoft... (um nur die ganz großen zu nennen)? Ich suche die jeweils praktikable Alternative und möchte interessierten Mitmenschen als Multiplikator zur Verfügung stehen.
- Statt WhatsApp: Jabber! - was für eine Überraschung :)
- Seit Windows 10[3][4] kann ich nicht mehr mit Microsoft und bin auf Linux umgestiegen! (Schon lang ersetzt LibreOffice komplett das Microsoft Office.)
- Statt Google-Suche verwende ich seit Jahren Startpage.com mit Erfolg, privat und geschäftlich.
- Etwas länger dauerte die Entscheidung für ein Smartphone. Wenn Android, dann ohne Google Services! Gelandet bin ich bei CyanogenMod/LineageOS ohne GApps, GCM, PlayStore usw. - Stattdessen: Apps von F-Droid - z.B. AFWall+, AdAway, UnifiedNlp(microG)...
Eine tolle Anregung findet sich im kuketz-blog.de: Your phone Your data – Android ohne Google?!
- Spezialprojekt: Mit dem Raspberry Pi gegen Online Werbung, Tracker und "Malvertising": Das "Pi-hole" (Anleitung kuketz-blog.de)
- ↑ Durchleuchtet, analysiert und einsortiert Wolfie Christl, Cracked Labs, November 2014
- ↑ Privacy-Handbuch - Big Data Kollaboratives Freizeitprojekt von Privacyaktivisten
- ↑ Windows 10: Dem Kontrollverlust entgegenwirken kuketz-blog.de
- ↑ Windows 10 diagnostic data for the Full telemetry level microsoft.com
Daniel Werz (xmpp / e-mail)
20.01.2019 (letzte Änderung)
Haftungsausschluss (Disclaimer)
Dieses Angebot enthält Links zu externen Webseiten Dritter, auf deren Inhalte ich keinen Einfluss habe. Deshalb kann ich für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werde ich derartige Links umgehend entfernen.