Der Vollständigkeit halber soll die Tradition, die sich mit Innovation verbindet, nicht außen vorbleiben und unerwähnt bleiben.
Viele sind mit Jabber bzw. heute dem XMPP-Chat-Protokoll mit seinen dezentralen und ebenso zusammenschaltbaren (federierbaren) Servern als etabliertem Standard in zahlreichen Klienten groß geworden.
Diese Chat-Technologie muss heute jedoch als etablierter Dinosaurier angesehen werden. XMPP war in einer unverschlüsselten Umgebung entwickelt worden, die heutigen Ansprüchen kaum gerecht wird. Es bedurfte eines Manifests , einer schriftlichen Visionserklärung, um alle Server und Klienten auf Verschlüsselung einzuschwören. Nur wenige Klienten und Server sind diesem bis heute nachgekommen. Und es wird über diese Infrastruktur weiterhin noch viel Klar-Text gesandt.
Die ersten Ansätze von Verschlüsselung für XMPP waren im Off-the-Record-(OTR)-Protokoll nur mit einem Schlüssel pro Sitzung vorgesehen. Die heutige Aktualisierung im Omemo-Protokoll ist da angepasster und hat den Stand gemäß der Double-Ratchet-Methode mit einem statisch abgeleiteten Schlüssel pro Nachricht (wie es auch im Signal-Protokoll umgesetzt wird). Beide Verfahren kommen jedoch allein rein quantitativ nicht an den Stand der Volatilen Encryption im Fiasco Forwarding (zahlreiche Schlüssel für jede einzelne Nachricht) heran. Und sie erreichen auch nicht den Status der Secret-Streams-Schlüssel (im Spot-On-Messenger) bzw. Juggerknaut Schlüssel (im Smoke Messenger), bei denen gar kein Schlüssel mehr übertragen wird (durch den SMP-Prozess bzw. J-PAKE-Juggling im Zero-Knowledge Beweis).
XMPP-Messenger sind also weder auf der technischen Höhe der Zeit, noch befinden sie sich in einer Architektur, die insgesamt verschlüsselt ist oder moderne Methoden des Cryptographischen Callings einfach implementieren könnte. Schließlich sind bei diesem Dinosaurier derzeit auch keine Messenger präsent, die den McEliece-Algorithmus implementierten.
Die App Conversations ist dennoch ein bekannter und relativ schöner Messenger für Android, der quell-offen ist, aber sowohl für die Installation wie auch die Nutzung des Chat-Servers nach einiger Zeit einen legitimen Obulus verlangt.
Die benutzte Omemo-Verschlüsselung hat sich aus der alten OTR-Verschlüsselung entwickelt und basiert wie beschrieben noch auf dem Double-Ratchet-Algorithmus und dem Personal-Eventing-Protokoll (POP, XEP-0136). Hier wird der nicht Quantum-Computing sichere Algorithmus Curve25519/Ed25519 eingesetzt. Dieser ist nach den Spezifikationen der NIST für elliptische Kurven ebenso unter diesen genannten Bedingungen als kritisch einzustufen .
XMPP-Chatserver, die eine Administratorin oder ein Administrator selbst installieren kann und die Verschlüsselung unterstützen, sind Prosody und Ejabberd. Sie sind für technisch Unerfahrene ggf. nur mit entsprechenden Fach-Kenntnissen installierbar. Weiterhin inkludieren diese Server kein Schlüsselmanagement.
Der XMPP-Entwickler Daniel Gultsch listete in seiner FOSS-ASIA-Präsentation acht von dreißig gängigen XMPP-Servern ohne Omemo-Verschlüsselung gemäß XEP-0384-mit dem folgenden Kommentar auf: »Das Problem des fragmentierten Eco-Systems XMPP ist, dass es veraltete Server gibt, die diese neuesten Verschlüsselungserweiterungen nicht unterstützen. Ein Teil der Lösung besteht darin, das Problem sichtbar zu machen.« - Ist es also hoffnungslos, den Dinosauriern das Tanzen beizubringen?
XMPP kommt aus einer inzwischen nicht mehr modernen Zeit und ist für Verschlüsselung ein hoffnungsloser Fall, wenn nicht statt Klar-Text Cipher-Text aus einer Konversion andernorts in den XMPP-Klienten einkopiert wird. Hier ist für den Laien in jedem Fall Delta-Chat der bessere Klient und für Interessierte, die neugierig auf aktuellere Prozeduren sind und Verschlüsselung lernen wollen, der Smoke Messenger der gehaltvollere, wenn auch in der Benutzeroberfläche ggf. nicht schönere Klient.
Aber wie zu Beginn gesagt: in der Ausbildung werden wir noch über Jahre hinweg weiterhin viele Personen hören, die »auf XMPP« gelernt haben. Das klingt wie früher »auf Zeche« im Bergbau gearbeitet zu haben. Doch diese Zeiten sind vorbei. Und wir werden auf viel zu wenige Lehrerinnen und Lehrer treffen, die den Status Quo innovativer Klienten deklinieren, geschweige denn vergleichen. Überlassen wir XMPP also den Archäologinnen und Archäologen, denn wie geben manche Rat: Die bibliothekarische Fernleihe (eines Buches) ist der Sinn des Lebens: Immer mal wieder etwas Neues und Unbekanntes lesen oder mit DHL einfliegen lassen, bis ins hohe Alter up-to-date bleiben. Es gibt bestimmt bald wieder etwas Neueres als XMPP oder seine Alternativen.
Schon 2016 schrieb Twitter-Nutzer ›Moxie Marlinspike‹, dass das Eco-System sich bewegt und umzieht und drei Jahre später forderte gar der Nutzer ›Cane‹: »Lasst Jabber/XMPP endlich sterben!« - XMPP sei nicht auf der Höhe der Verschlüsselungstechnik, es sei eine Metadaten-Schleuder, ein Flickenteppich in der Softwareintegration sowie ein innovationsfeindlicher Dino . Auch die Server ließen zu viel Klar-Text durch - etwas, warum die Strategie mancher Computer-Clubs diese Server ablehnt. Und das Eco-System sei nicht auf der Höhe der Zeit. Recht mag er haben, Ingenieurinnen und Ingenieure sollten immer das Neueste an Technologie nehmen.
So gibt es bei XMPP viele oben genannte und strukturelle Gründe, warum diese Architektur hinsichtlich Verschlüsselung nicht mehr modern werden kann! Renaissance des Dinos ausgeschlossen?! Jetzt wissen wir, was das griechische deinós zu Deutsch heißt: gewaltig schrecklich.
Quelle: Tenzer, Theo - Sonderausgabe mit einem Vorwort von "Aktion Freiheit statt Angst e.V.": Open-Source Verschlüsselung - Quell-offene Software zur Demokratisierung von Kryptographie, Schutz vor Überwachung, Norderstedt 2024, ISBN 9783757853150.