XMPP-Logo

WhatsApp vs. XMPP

Lange Zeit war die SMS neben dem eigentlichen Anruf der übliche Weg, untereinander Informationen auszutauschen. Als dann nach und nach die ständige Internetverfügbarkeit auch im Mobilfunkbereich populär wurde, haben die großen Mobilfunkunternehmen die Entwicklung verschlafen. Die SMS wurde einfach zu teuer. Dienste, die stattdessen direkt über das Internet Daten austauschen, entstanden. Und wenn man sowieso schon für die Datenverbindung bezahlen muss, warum sollte ich dann eine teure SMS versenden, wenn es über das Internet kostenlos geht. Einer dieser Dienste hat sich inzwischen (leider) zum Marktführer entwickelt. Aber nicht, weil er so tolle Produkte anbietet, sondern weil er einer der ersten war und inzwischen eine kritische Masse an Nutzern bei ihm angemeldet ist. Viele Menschen in meinem Umfeld benutzen WhatsApp als Kommunikationsmittel.

Doch man sollte sich ernsthaft fragen, ob das eine gute Entscheidung ist. Da Millionen von Menschen diesen Dienst nutzen, muss da auch eine riesige Infrastruktur dahinter stecken, die tagtäglich unterhalten werden muss. Das kostet eine Stange Geld, die sicherlich nicht durch private Mittel des Herrn Mark Zuckerberg bereitgestellt werden. Womit finanziert sich also dieser Dienst?

WhatsApp kostet nichts!?

Man kann sich die notwendige App kostenlos aus dem App-Store herunterladen und installieren. Über diesen Weg kommt also kein Geld in die Kassen von WhatsApp bzw. Facebook als derzeitiger Eigentümer. Was bleibt also? Die Analyse des Nutzungsverhaltens, der Nutzer und deren Umgebung. Das möglichst lückenlose Ansammeln von Informationen über den Nutzer, um dann exakt passende – personalisierte Werbung zu schalten – entweder durch WhatsApp bzw. Facebook selbst – oder durch Drittfirmen, denen diese gesammelten Informationen verkauft werden.

Wenn du die App installierst, erhält WhatsApp automatisch datenschutzrelevante Berechtigungen:

  • Erlaubnis zur Adressbuchabfrage, Kontakte lesen und ändern
    Dieser Eingriff ist notwendig, damit WhatsApp automatisch die Kontaktliste erstellen kann, die aus Bekannten aus dem Adressbuch besteht, die ebenfalls WhatsApp auf ihrem mobilen Gerät installiert haben. Dazu wird das komplette Telefonbuch auf den zentralen WhatsApp-Server in den USA übertragen, gespeichert und regelmäßig abgeglichen. Hier ist das Detail wichtig, dass der Server nicht in Deutschland steht und demnach andere – weniger sichere – Datenschutzrechte gelten.
  • Ermittlung des Standorts über GPS, Sendemasten oder WLAN
    WhatsApp weiß, wo du und deine Kommunikationspartner sich befinden
  • Abrufen von Telefonstatus und Identität
    WhatsApp weiß, wann du telefonierst oder angerufen wirst und kann außerdem die eindeutige Telefon- und Gerätenummer ermitteln.
  • Abrufen aktiver Apps
    WhatsApp hat Zugriff auf die Information, welche anderen Apps gerade genutzt werden.
  • Zugriff auf den Speicher, Kamera und Mikrofon, Nutzerkonten, Nachrichten und Anrufe, persönliche Informationen, das Internet und die Systemtools

Und offensichtlich sind die Informationen aus den Nachrichten selbst für eine exakte Profilbildung gar nicht mehr notwendig, da man mit Einführung der Ende-zu-Ende-Verschlüsselung an diese nicht mehr heran kommt. Die Bezahlung erfolgt mit Informationen über sich und über andere!

Manche argumentieren, „ich habe der personalisierten Werbung zugestimmt, weil ich Werbung für Tierfutter zu nervig, und das was mir angezeigt wird, interessant finde„. Aber ist das weit genug gedacht? Es geht doch nicht nur darum, welche Werbebanner einem angezeigt werden! Wenn dieser Konzern in der Lage ist, Werbung anzuzeigen, die einen interessiert, dann hat er offenbar ein Nutzerprofil erstellt, das sehr gut passt. Und dann können diese Daten auch an andere verkauft werden. Es ist heute schon nachweisbar, dass Nutzer von i-Geräten von der Firma mit dem angeknabberten Apfel als Logo, höhere Preise in Online-Shops angezeigt bekommen, als Nutzer, die nicht solche Geräte benutzen. Und Nutzer von mobilen Geräten bekommen auch höhere Preise angezeigt, als Nutzer mit Desktop-PCs. Wie weit ist wohl der Schritt, Menschen, die z.B. rauchen einen anderen Versicherungstarif anzubieten, als Menschen, die nicht rauchen? Vielleicht ist das auch schon längst so? Es ist sicher schwierig so etwas nachzuprüfen. Einfach mal etwas länger drüber nachdenken, was jemand mit exaktem Wissen über einen selbst so alles anstellen könnte! Und dann überlegen, an welchen Stellen man der Profilbildung etwas entgegensetzen kann. Mein Motto lautet: Es schenkt dir niemand etwas im Leben – alle wollen eine Gegenleistung für etwas. Und wenn man kein Geld für etwas bezahlen muss, dann ist man selbst das Produkt, das verkauft werden soll.

Und die Überwachung erfolgt im digitalen sehr subtil – der normale (oder sollte ich sagen „naive“?) Nutzer bekommt davon nichts mit. Im realen Leben würde man sich sicherlich aufregen, wenn einem immer und überall ein Typ im Trenchcoat, Hut und dunkler Sonnenbrille hinterherläuft und alles notiert, was man tut, wohin man geht, mit wem man sich trifft… Nur in der digitalen Welt scheint das die meisten irgendwie nicht zu stören, da man den Mann im Trenchcoat nicht ohne weiteres sieht.

Hier ein Video https://www.youtube-nocookie.com/embed/wHo755bxByI, in dem eine Verkäuferin mal so dreist ist, wie viele Apps, die der normale Nutzer auf seinem Smartphone hat. Komisch, die Apps bekommen, was die Verkäuferin nicht bekommt.

Wie funktioniert die Kommunikation mittels WhatsApp überhaupt?

Man installiert sich die App auf seinem Smartphone und beim ersten Start, wird man aufgefordert, seine Telefonnummer einzugeben. Die App baut anschließend eine Verbindung zum zentralen WhatsApp-Server auf und dieser sendet eine SMS mit einer Code-Nummer zurück zum Telefon. Damit wird überprüft, dass die Telefonnummer zum gerade zu erstellenden WhatsApp-Account gehört. Nachdem die übermittelte Code-Nummer von der App überprüft wurde, ist die Telefonnummer, und die App auf diesem konkreten Telefon fest miteinander gekoppelt. Anschließend wird man aufgefordert, sein auf dem Smartphone befindliches Telefonbuch auf den WhatsApp-Server hochzuladen. Dabei werden allerdings nicht, laut Aussage von WhatsApp , die eigentlichen Telefonnummern gespeichert (überprüfen kann man das nicht – da der Programmcode nicht öffentlich einsehbar – nicht Open-Source ist), sondern nur sogenannte Hash-Werte (Warum das aber eigentlich völlig egal ist habe ich hier beschrieben!). Dieses Hochladen des Telefonbuchs hat für den Nutzer eine Komfort-Funktion. So kann nämlich durch den Server überprüft werden, ob es bereits WhatsApp-Nutzer gibt, die in dem Telefonbuch existieren und diese miteinander verknüpfen. Sie tauchen dann bei beiden Nutzern als WhatsApp-Kontakt auf. Blöderweise weiß auch bei der Firma WhatsApp jetzt jemand, dass sich diese Nutzer zumindest irgendwie kennen. Und blöderweise wurde damit auch mitgeteilt, dass im Telefonbuch Einträge existieren, die nicht bei WhatsApp sind. Und vermutlich haben die wenigsten dieser Personen zugestimmt, dass ihre Telefonnummer durch den WhatsApp-Nutzer zu diesem Server hochgeladen und dann (als Hash) gespeichert wird!

Wenn nun WhatsApp-Nutzer miteinander kommunizieren, dann wird eine verschlüsselte  Verbindung zwischen dem Smartphone und dem WhatsApp-Server hergestellt. Es handelt sich hierbei um die Transportverschlüsselung. Das heißt, alle Daten, die zwischen dem Smartphone und dem Server übertragen werden, sind auf ihrem Weg dazwischen vor Veränderungen und Einblick geschützt. Auf dem Server können diese Daten natürlich wieder entschlüsselt werden, denn es handelt sich um eine Transportverschlüsselung zwischen Server und Smartphone. Anfangs war das die einzige Verschlüsselung, die WhatsApp nutzte. Es konnte also auf dem Server sogar Einblick in den Inhalt der Nachrichten genommen werden, und man wusste also nicht nur, wer, wann mit wem kommunizierte, sondern auch worüber! Da andere Anbieter wie z.B. Threema oder Signal schon länger Ende-zu-Ende-Verschlüsselung anboten, wuchs der Druck auf WhatsApp, solch eine Ende-zu-Ende-Verschlüsselung auch einzubauen.

Ende-zu-Ende-Verschlüsselung – jetzt ist alles gut!?

Im Jahr 2016 war es dann so weit und WhatsApp rüstete das nach. Als damaliger Threema-Nutzer wurde ich gefragt, ob ich nun nicht, da WhatsApp jetzt auch Ende-zu-Ende-verschlüsselt, nicht doch zu diesem Messenger wechseln möge. Aber was hat sich denn geändert? Die Server-Betreiber können nun also nicht mehr mitlesen, worüber kommuniziert wird, aber die Meta-Daten, also wer, mit wem und wann können immer noch zentral abgerufen werden. Sogar der ungefähre Standort der Kommunikationspartner ist abrufbar, denn die Funkzelle des Smartphones ist auch bekannt. Und diese Daten werden definitiv ausgewertet, denn das ist der einzige Weg, um Geld zu verdienen, mit denen das alles finanziert werden muss.

Welche Alternativen gibt es denn?

Wie bereits oben erwähnt, war ich aus besagten Gründen nie WhatsApp-Nutzer sondern hatte mich für den Ende-zu-Ende-verschlüsselnden Messenger Threema entschieden. Bei diesem war von Anfang an ausgeschlossen, dass die Inhalte meiner Kommunikation mitgelesen werden können. Auch das Hochladen des Adressbuchs ist hier optional. Selbst die eigene Telefonnummer muss man nicht zur Identifikation nutzen, sondern kann völlig anonym einen Account anlegen. Und der Server steht in der Schweiz und unterliegt damit den Schweizer Gesetzen, die ich damals vertrauenswürdiger fand als die amerikanischen, denen der WhatsApp-Server unterliegt. Heute ist das leider schon wieder anders, da die Schweiz sich entschieden hat, die Vorratsdatenspeicherung einzuführen, was ein weiterer Grund ist, nun auch Threema den Rücken zu kehren.  Außerdem ist Threema nicht Open Source, so dass man den Entwicklern vertrauen muss, dass sie keine Fehler gemacht haben oder gar absichtlich Hintertüren eingebaut haben. Die Android-App selbst kann man für derzeit 2,99 € im Google-Playstore oder auch direkt bei der Threema GmbH für CHF 2,95 kaufen. Ob dieser einmalige Geldbetrag für den dauerhaften Betrieb der Infrastruktur ausreichend sein wird ist fragwürdig und Threema behält sich vor, das Finanzierungsmodell später ändern zu können. Wie bei allen Messengern ist aber auch hier das Problem, dass ein Messenger nur dann sinnvoll einsetzbar ist, wenn auch andere diesen nutzen. Die Threema-Kontakte in meinem Adressbuch blieben jedenfalls überschaubar. Da andere stattdessen Signal als Messenger nutzten, hatte ich mir auch diesen auf meinem Telefon installiert. Aber auch hier blieben die Kontakte in übersichtlicher Anzahl. Und genau hier ist das Problem: Alle diese Messenger bauen absichtlich eine Kommunikationsblase, denn je mehr Nutzer sie haben, desto mehr Geld können sie verdienen. Und jeder Nutzer, der bei einem anderen Dienst angemeldet ist, bedeutet weniger Geld. Es ist also von den Firmen gar nicht gewollt, dass man Nutzer anderer Messenger kontaktieren kann. Und selbst wenn der Messenger Ende-zu-Ende verschlüsselt, so bleiben immer noch die Meta-Daten, die dann durch den monopolisierten Serverbetreiber analysiert und gegebenenfalls verkauft werden können.

Problemlösung – offene Protokolle

Wir alle kennen seit Jahren E-Mails als Kommunikationsmittel. Dort ist es völlig normal und problemlos möglich, dass man E-Mails anbieterunabhängig versenden kann. Man kann also eine E-Mail zum Beispiel von Nutzername@t-online.de an andererNutzername@gmail.com versenden. Das ist dadurch möglich, da es ein offenes Protokoll für E-Mail gibt (genau genommen sind es mehrere jeweils für den Versand und den Empfang).

XMPP

Für Instant-Messenger wie WhatsApp und andere existiert seit 1998 ein solches offenes Protokoll. Im Jahr 1999 unter dem Namen Jabber veröffentlicht, wurde es 2004 mit einigen Änderungen zu XMPP  (Extensible Messaging and Presence Protocol) umbenannt.

Google war eine der ersten Firmen, die dieses Protokoll für die E-Mailadressen von Google-Mail angeboten hat. Dieser Dienst lief dann als Google-Talk, wurde aber im Mai 2013 für Drittsoftware eingestellt (wie oben erwähnt, möchte man externe Nutzer aussperren und diese lieber dazu nötigen, sich in die Blase zu begeben und ein zahlender Nutzer zu werden um auch mit ihnen Geld zu verdienen). Auch GMX und Web.de unterstützten XMPP als Kommunikationsprotokoll bis es im Dezember 2014 eingestellt wurde. Und auch der Facebook-Messenger nutzt XMPP als Grundlage für die Kommunikation, allerdings wurde im Mai 2015 das Protokoll so stark modifiziert, dass seitdem eine Kommunikation mit anderen Messengern nicht mehr möglich ist.

Komisch, dass alle die Tür zu machen! – Habe ich schon die Vermutung geäußert, warum diese großen Konzerne alle keine Kommunikation mit Messengern außerhalb ihrer Blase wollen?

Welche Vorteile hat das offene XMPP-Protokoll?

Man kann sich einen Anbieter aussuchen, dem man vertraut und anschließend mit jedem Nutzer dieses Protokolls bei jedem anderen Anbieter kommunizieren. Und falls der gewählte Anbieter keine Lust mehr hat oder sein Vertrauen verspielt hat oder es andere Gründe gibt, ihn zu wechseln, dann wechselt man zu einem anderen Anbieter und teilt seinen Kommunikationspartnern seine neue Adresse mit. Das war’s! – Wie bei E-Mail. Man muss nicht seine ganzen Kontakte überzeugen, auch den Anbieter zu wechseln. Die können bei ihrem Anbieter bleiben. Wer aber von WhatsApp weg gehen will (und hier meine ich damit auch alle anderen geschlossenen Messenger), der muss zwangsläufig seine Kommunikationspartner bitten, einem zu folgen. Aus meiner Sicht sollte man aber nicht den Fehler machen, aus einer Blase heraus zu gehen und sich in eine neue Blase (anderer geschlossener Messenger wie Threema, Signal …) zu begeben.

Im Gegensatz zu geschlossenen Messengern ist es bei XMPP so, dass es nicht nur einen zentralen Server gibt, bei dem alle Daten zusammenlaufen (und gegebenenfalls abgegriffen werden können), sondern das es weltweit tausende von solchen Servern gibt, die miteinander verbunden sind. Das bewirkt, dass die unvermeidlichen Meta-Daten nicht an einem zentralen Punkt auflaufen, sondern weltweit verteilt auf tausenden voneinander unabhängigen Servern. Eine zentrale Auswertung, wer da wann mit wem kommuniziert ist gar nicht mehr möglich. Im Maximalfall kann ein Serverbetreiber die Meta-Daten auswerten, die die Nutzer erzeugen, die an diesem einen Server angemeldet sind. Setzt man seinen eigenen XMPP-Server auf, und sorgt dafür, dass die Serververbindungen zwischen Client und Server verschlüsselt aufgebaut werden, dann findet die Kommunikation der dort angemeldeten Nutzer unterhalb des Überwachungsradars statt, denn wer mit wem und wann, ist dann nur noch auf dem XMPP-Server selbst auswertbar.

Hier und hier mal zwei Listen mit ein paar der öffentlich zugänglichen Server (diese sind natürlich nicht vollständig). Und hier eine Visualisation eines Teils des XMPP-Netzwerks (dort sind natürlich nur die Server aufgeführt, die entweder das benötigte Prosody-Plugin installiert haben oder mit solch einem Server in direktem Kontakt stehen).

Es ist auch möglich, einen XMPP-Server ohne Anbindung an das weltweite Netz zu betreiben, z.B. für Intranets oder andere geschlossene Nutzerkreise, dann können nur die Nutzer innerhalb dieses Netzes untereinander kommunizieren.

Ein weiterer für mich sehr angenehmer Vorteil: Je nach dem, wie der Server konfiguriert ist, kann man die Nachrichten auf mehreren seiner Geräte senden und empfangen. Das heißt, ich kann sowohl an meinem PC als auch auf meinem Smartphone ein XMPP-Client laufen haben und von beiden Nachrichten senden und auch empfangen.

Nun mal die Funktion von XMPP an folgendem Beispiel erklärt:

Alice hat sich einen Nutzer-Account beim XMPP-Server1 erstellt. Bob hat sich einen Nutzer-Account beim XMPP-Server2 erstellt. Damit beide kommunizieren können, muss Alice sich mit ihrem Endgerät am XMPP-Server1 anmelden. Dieser stellt anschließend eine Verbindung zum XMPP-Server2 her. Dieser stellt anschließend eine Verbindung mit dem Endgerät von Bob her.

Alice <–> XMPP-Server1<–> XMPP-Server2<–> Bob

xmpp-Netzwerk

Die Verbindung zwischen Alice und dem XMPP-Server1 kann unverschlüsselt oder auch verschlüsselt erfolgen. Das hängt davon ab, wie der Betreiber von XMPP-Server1 den Server konfiguriert hat. Es handelt sich hier um eine Client-to-Server-Verbindung – kurz c2s.

Auch die Verbindung zwischen XMPP-Server1 und XMPP-Server2 kann wieder unverschlüsselt oder verschlüsselt erfolgen. Auch hier hängt es vom Betreiber des jeweiligen Servers ab, wie er das eingestellt hat. Hierbei handelt es sich um eine Server-to-Server-Verbindung – kurz s2s.

Und letztendlich kann auch die Verbindung zwischen XMPP-Server2 und dem Endgerät von Bob wieder unverschlüsselt oder verschlüsselt erfolgen. Ihr ahnt es sicher, es hängt vom Betreiber des Servers ab, wie es erfolgt. Man sollte also dem Betreiber des eigenen Servers so weit vertrauen, und einschätzen können, ob er sein Handwerk versteht und die Kommunikation sicher abwickelt oder nicht.

Und wenn man niemandem vertraut – oder wenn man einfach mal sehen will, wie das funktioniert, dann setzt man sich eben selbst einen XMPP-Server auf und bindet ihn in das weltweite Netz ein. Genau das habe ich getan. Unter neubert.dedyn.io läuft seit einiger Zeit mein eigener XMPP-Server. Ich bin dort unter ingolf@neubert.dedyn.io erreichbar. Und jeder der möchte, kann sich hier auch einen eigenen Account anlegen. Mein Server ist so konfiguriert, dass sowohl die Verbindungen zwischen den Endgeräten und dem Server als auch die Verbindungen zwischen meinem Server und anderen Servern nur verschlüsselt aufgebaut werden. Das hat einen Nachteil, mit dem ich aber leben kann: Sollte Bob sich einen Serverbetreiber gewählt haben, der Server-zu-Server-Verbindungen (s2s) nur unverschlüsselt erlaubt (oder dessen Zertifikate nicht verifiziert werden können), dann kann Alice über meinen Server keine Nachrichten an Bob senden, denn mein Server stellt keine Verbindung zu solch schlampig konfigurierten Servern her. Aber das ist Sache von Alice. Dann sollte sie Bob mal drängen, dass er seinen Serverbetreiber wechseln sollte 😉 .

Hier die Testergebnisse für den XMPP-Server neubert.dedyn.io:IM observatory score Für Details auf die Grafik klicken!

Bisher sprachen wir immer von der Transportverschlüsselung. Diese gilt immer von einem Gerät bis zum nächsten, also von Alice bis zum XMPP-Server1. Dort ist erst mal Schluss mit Transport. Ein weiterer Transport findet dann von XMPP-Server1 nach XMPP-Server2 statt. Dazwischen ist der jeweilige Server-Betreiber immer in der Lage, die Daten zu entschlüsseln und gegebenenfalls in eine Log-Datei zu schreiben. Nun kann ich hier verkünden, dass auf meinem Server ein entsprechendes Logging nur für Fehlerfälle passiert. Wenn es also ein Problem beim Herstellen einer Verbindung gibt oder ähnliches, dann wird dieses Problem in einer Logdatei festgehalten, damit ich klären kann, was da nicht korrekt funktioniert. Alle anderen Ereignisse, wie zum Beispiel wer meldet sich wann an und sendet Nachrichten an wen und was steht in den Nachrichten drin, werden auf neubert.dedyn.io gar nicht erst aufgezeichnet. Ausnahme ist der Multi-User-Chat (MUC) – Betritt man einen solchen öffentlichen Konferenzraum, dann müsste man erst eine ganze Weile warten, bis man aktiv an der Diskussion teilnehmen kann, da man die historischen Beiträge der anderen Teilnehmer ja anfangs nicht sehen würde. Deshalb wird für solche MUCs eine Historie der letzten x Einträge gespeichert und beim Betreten des Konferenzraumes diese nachgeladen.

Nun ist es aber immer noch möglich, dass ich von Dritten (Polizei, Geheimdienste oder andere Verbrecher) gezwungen werde, dieses Logging nachträglich einzuschalten, so dass diese vorher nicht aufgezeichneten Informationen plötzlich aufgezeichnet und damit doch verfügbar wären – und zwar ohne, dass der Endanwender davon etwas erfahren würde, denn üblicherweise erhält der Server-Betreiber in diesem Fall ein Redeverbot (engl. Gag Order). Oder der Server, an dem der Empfänger angemeldet ist, erzwingt keine verschlüsselte Verbindung zwischen Server und Endgerät.

Ende-zu-Ende-Verschlüsselung

Transport-und-E2E-Verschlüsselung

Damit dann in solch einem Fall wenigstens der Inhalt der Kommunikation trotzdem privat bleibt, sollte man zusätzlich zur Transportverschlüsselung auch noch Ende-zu-Ende-Verschlüsselung einsetzen. Damit werden die Nachrichten auf dem Gerät des Absenders verschlüsselt, dann auf die Reise geschickt (wo sie zusätzlich noch transport-verschlüsselt sind) und erst auf dem Gerät des Empfängers kann die Nachricht wieder entschlüsselt werden. Bei E-mails wird dafür seit langem OpenPGP oder S/MIME eingesetzt, bei Instant-Messaging kam lange Zeit OTR zum Einsatz. Im Jahr 2013 haben findige Entwickler ein Verschlüsselungsprotokoll entwickelt, das dann in der App TextSecure (heute Signal) zum Einsatz kam. Auch die 2016 bei WhatsApp eingeführte Ende-zu-Ende-Verschlüsselung basiert auf diesem Protokoll. Für XMPP wurde diese Verschlüsselung dann unter dem Namen OMEMO portiert.

OMEMO hat gegenüber OTR einen entscheidenden Vorteil. Man kann verschlüsselte Nachrichten auch dann versenden, wenn der Empfänger gerade nicht online ist. Und OMEMO hat gegenüber PGP den Vorteil, dass man später immer glaubhaft abstreiten kann, eine Nachricht verschickt zu haben. Man sollte also solche XMPP-Anwendungen einsetzen, die OMEMO-Verschlüsselung unterstützen. Da diese noch recht neu ist, ist die Auswahl derzeit noch etwas dünn.

Welche Daten werden auf dem XMPP-Server neubert.dedyn.io gespeichert?

  • Zeitpunkt des letzten Logins –> damit inaktive Nutzer erkannt und nach langer Nichtnutzung (> 6 Monate) gelöscht werden können,
  • Nachrichten, die an gerade offline befindliche Kontakte gesendet wurden, kommt der Kontakt online, erfolgt die Zustellung, nach der Zustellung werden diese Nachrichten auf dem Server gelöscht,
  • Avatare, Profilbeschreibungen,
  • XMPP-Kontaktadressen, die dem Account zugeordnet wurden,
  • bei aktiviertem Message Archive Management (MAM), der Nachrichtenverlauf in MUCs (bei privaten MUCs mit aktivierter OMEMO-Verschlüsselung liegen die verschlüsselt auf dem Server)

Und wie kann ich nun XMPP auf meinem Smartphone oder am Rechner nutzen?

Da es ein offenes Protokoll ist, gibt es für viele verschiedene Betriebssysteme Clients, die XMPP unterstützen. Wenn man wie im vorherigen Absatz erläutert, Wert auf die OMEMO-Unterstützung legt, dann bleiben derzeit nur eine Hand voll übrig:

  • Android

Conversations gibt es kostenlos im F-Droid-Appstore oder auch kostenpflichtig im Google Playstore.

Wie die App dann konkret aussieht und wie man sie benutzt, habe ich hier mal im Detail beschrieben.

zom-Logo Zom kann man direkt von der Homepage oder auch aus dem Google PlayStore laden (Update vom 08.08.2017).

  • iOS

zom-Logo Zom kann man direkt von der Homepage oder auch über iTunes laden (Update vom 08.08.2017).

ChatSecure kann über iTunes heruntergeladen werden (ich nutze kein iOS, kann also nicht beurteilen, wie gut diese App funktioniert).

  • Linux/Windows

Gajim gibt es auf der Webseite des Projektes zum Download

So – bis hier hin gelesen!? Glückwunsch! Und nun wird es Zeit selbst aktiv zu werden und WhatsApp lieber heute als morgen den Rücken zu kehren.

Update: Am 20. März 2018 hat Brian Acton, einer der beiden Gründer von WhatsApp getwittert: „It is time. #deletefacebook“. Wenn er das sagt, wer sollte es besser wissen?

Ich kenne WhatsApp nur von fremden Smartphones, aber ich wage zu behaupten, alle Funktionen, die WhatsApp kann, kann auch Conversations/Zom – nur ohne Überwachung. Einzig der Komfort, dass man die Kontakte sofort angezeigt bekommt, den kann Conversations/Zom nicht bieten – aber das ist systembedingt – wir wollen ja einen besseren Datenschutz.

Ach – einen schönen Spruch habe ich neulich in einem Forum aufgeschnappt: Wer immer mit der Herde mitgeht, frißt öfters die Sch…e der anderen. Was das im Zusammenhang von WhatsApp sagen soll, müsst ihr selbst raus finden.  😉