Mailbox.org Matrix Homeserver

Es mag sein, dass ich mich komplett irre, aber finden kann bei Riot schwierig werden... Ich konnte mich jedenfalls ohne Telefonnumer und Mail registrieren. Keine meiner Kontakte kann wiessen, dass ich Riot habe... ;-)

Mittlerweile 11 Millionen user und 40.000 Deployments - stark wachsend: https://techcrunch.com/2019/10/10/new-vector-scores-8-5m-to-plug-more-users-into-its-open-decentralized-messaging-matrix/

Deployment wird immer leichter - mittlerweile gibt es sogar ein Dockerimage dafür.

>Verbreitung ist aber eher verhalten, hab noch keinen meiner Kontakte da gefunden.<

Dies kann man auch nicht verlangen.

Man muss vielmehr mit missionarischem und überzeugendem Eifer hinter her sein. Dadurch habe ich 7 beständige Kontakte

aus dem Freundeskreis bekommen.

Ansonsten finde ich die Idee eines Matrixservers unter Mailbox.org echt prima.

Ich denke bei Mailbox.org konzentriert man sich jetzt eher auf Chat over E-Mail wie z.B. OX-Coi (https://www.coi-dev.org/) mit denen sie eng zusammen arbeiten.

Oder auch Delta Chat (https://delta.chat/de/) - OX-Coi basiert auf dem Delta Chat Kern.

Ich persönlich finde Chat via E-Mail ein logisches Vorgehen durch einen Mail-Provider 😉

Außerdem gibt es bei dem System einen unschlagbaren Vorteil gegenüber jedem anderen Messenger (einschließlich WhatsApp) Es gibt eine unglaublich große Nutzerbasis da OX-Coi und Delta Chat komplett compatible zu "herkömmlicher" E-Mail sind.

> Ich persönlich finde Chat via E-Mail ein logisches Vorgehen durch einen Mail-Provider 😉

Mag sein, aber Chat über Email ist schon prinzipiell eine gescheiterte Lösung, da Email einfach dafür nicht konzipiziert worden ist.

> Außerdem gibt es bei dem System einen unschlagbaren Vorteil gegenüber jedem anderen Messenger (einschließlich WhatsApp) Es gibt eine unglaublich große Nutzerbasis da OX-Coi und Delta Chat komplett compatible zu "herkömmlicher" E-Mail sind.

Das kann man auch mit anderen Messengern haben.

Wie @7378005 schon erklärt hat, unterstützt Matrix das Konzept von Bridges. Entsprechend gibt es auch eine Bridge zu Email, womit du über Matrix mit allen Emailusern schreiben kannst: https://matrix.org/docs/projects/bridge/matrix-email-bridge/

Nicht nur das: Über Matrix können Emailnutzer mit Telegram Nutzern, WhatsApp-Nutzern und Matrix Nutzern zusammen in einem Chat schreiben.

Wie funktioniert das mit der Bridge?

Muss die irgendwer irgendwo installieren?

Mit Chat over E-Mail installiere ich die App und schreibe sofort ohne irgendwelche Vorbereitung an jede Mail-Adresse.

Ich brauche keinen (kann aber wenn ich will) separaten Account anlegen, sondern nutze meinen bestehenden Mailaccount.

Jemand richtet die Bridge ein (z.B. mailbox.org) und du musst lediglich sicherstellen, dass du den richtigen Identity-Server nutzt (https://github.com/kamax-matrix/matrix-appservice-email#via-identity-server) -> Emailaddresse zum Raum hinzufügen.

Das Gegenüber braucht selbstverständlich auch keinen Account, du selbst muss natürlich bei einem Homserver registriert sein (ohne Angabe von Email oder Telefonnummer möglich -> z.b. matrix.mailbox.org).

Matrix ist sicher eine feine Sache.

Aber zu kompliziert für Otto Normalchatter.

Klar kannst du jetzt sagen das ist doch nicht kompliziert.Stimmt, wenn du ein klein Wenig technisches Interesse hast.

Das fehlt den meisten Chattern aber 😉

Für Chat over E-Mail brauche ich keinen speziellen Server, keinen "Nerd" der mir bei der Einrichtung hilft.

Und dein Agument Mail ist nicht zum Chatten konzipiert...

...Viagra war auch nicht als Potenzmittel konzipiert 😂

So kompliziert ist das eigentlich gar nicht. Wenn man den Zugriff auf die eigenen Kontakte nicht erlaubt (was ich sehr sympathisch finde) und sich auch ohne Mailadresse und Telefonnummer anmeldet (sodass auch andere Nutzer mich nicht über ihre Kontakte finden können), dann muss man bloß den gesuchten Namen in der richtigen Schreibweise angeben, nämlich @[nutzername]:{servername], also z.B. @ichbins:matrix.org, wenn der Nutzer ichbins heißt und auf dem matrix.org-Server angemeldet ist (was die Standardeinstellung ist). Mit dieser Schreibweise funktionierte das Finden bei mir bisher immer (n=10). Dann muss man bloß noch den Schalter für die Verschlüsselung betätigen (nicht jede Bridge erlaubt Verschlüsselung), der für jeden Chat(raum) einzeln eingestellt werden kann/muss. Fertig und losgechattet!

Habe gestern in ein geselliges Beisammensein eine halbe Stunde Matrix-Party einschieben dürfen und auf eine Schlag vier z.T. nicht sehr technik-affine Neunutzer gewinnen können, weil sich auch die von der einfachen Einrichtung überzeugen ließen.

Ich frage mich, welchen Vorteil ein E-Mail Provider davon haben sollte, einen Matrix Server zu betreiben. Wirtschaftlich wäre der Vorteil eher gering, da es für die Mehrheit der E-Mail Nutzer kein Killerfeature ist.

Auch wenn Maitrix/Riot Enthusiasten davon träumen, ich glaube nicht, dass mailbox.org dadurch mehr Nutzer gewinnen würde und das es für eine nennenswerte Anzahl von Nutzern ein Grund wäre, zu mailbox.org zu wechseln.

Außerdem ist die Sicherheit von Matrix/Riot deutlich geringer als High End Messenger wie Threema oder Signal App. Das ist teilweise auch konzeptuell bedingt: https://www.privacy-handbuch.de/handbuch_74g.htm

Btw: Chat via E-Mail (wie Delta Chat) ist nur eine andere andere Darstellung von E-Mails. Die Nachrichten einer zusammengehördenen Konversation werden nicht einzeln dargestellt sondern zusammen in einem Fenster. Alle Nachteile von E-Mail gegenüber modernen Messengern hinsichtlich Sicherheit bleiben bestehen. (Ich frage mich, ob man das wirklich "Chat" nennen sollte oder ein nur "Chatview" in der E-Mail Ansicht?)

> Matrix ist sicher eine feine Sache.

> Aber zu kompliziert für Otto Normalchatter.

Ganz sicher nicht: Frankreichs Regierung verwendet mittlerweile komplett Matrix (afaik mind. 16 HomeServer - einer pro Ministerium). Denkst du die sind alle technikinteressiert? Dazu haben sie Riot (ein Matrix Client) geforked, der eine einfach UI bietet (inkl. Virenscanner :D)

Während Riot eventuell Laien überfordern könnte (während es grundsätzlich simpel ist, sind z.B. detailierte Einstellungen und technische Infos präsent), ist Tchap eine vereinfachte Version davon. Leider im Moment out of the box auch nur für jene verwendbar. Kann sich aber schnell ändern - da open source.

Glücklicherweise entspringen weitere neue einfache Alternativen aus dem Boden: Pattle und "Ditto Chat". Clients für Platformen fern von Android sind hier gelistet: https://matrix.org/clients/

Selbstverständlich ist es egal welche App man benutzt.

> Für Chat over E-Mail brauche ich keinen speziellen Server, keinen "Nerd" der mir bei der Einrichtung hilft.

Fragt sich wer überhaupt mit mir über Email chatten möchte? Nerds?

Oder nichtmal die: https://www.reddit.com/r/linux/comments/8dlbas/one_year_later_anyone_of_you_seriously_using/

> Und dein Agument Mail ist nicht zum Chatten konzipiert...

> ...Viagra war auch nicht als Potenzmittel konzipiert 😂

Darauf gehe ich mal nicht ein - und lasse einfach mal einen Link da: https://www.golem.de/news/chat-over-imap-gut-gemeint-ist-leider-nicht-gut-gemacht-1905-141009-3.html

Zur Info: Matrix nutzt das selbe Protokoll wie Signal, nur erweiter für größere Skalierung.

Wenn man wirklich interessiert ist sich mit dem Thema auseinanderzusetzen, kann man sich ja einmal einen fast aktuellen Überblick über Matrix geben und die Technologien selbst bewerten (https://www.youtube.com/watch?v=9cjUzftDuoQ , https://techcrunch.com/2019/10/10/new-vector-scores-8-5m-to-plug-more-users-into-its-open-decentralized-messaging-matrix/)

Ich glaube dir das es nicht schwer ist.

Und wie gesagt, ich finde das Matrixkonzept gut.

Aber...

Ich brauche einen Server der E-Mail unterstützt.

Und vor allem, ich muss niemanden überzeugen irgend etwas zu ändern.

Schlimmstenfalls musd ich mein Gegenüber bitten gelegentlich bzw. öfter seine Mails zu checken. Von mir aus mit der nativen Mailapp.

Die Signatur unter meinen Nachrichten hat schon ein paar meiner Freunde dazu gebracht dennoch Delta Chat zu installieren.

Ganz ohne explizite Delta Chat Party oder Überzeugungsarbeit zu leisten.

Das war der Grund warum ich kein XMPP mehr nutze. Ich habe keine Lust auf Missionieren.

Ich will doch einfach nur Chatten 😜

@4743814

Du solltest nicht Privacy mit Security verwechseln.

Matrix verwendet die gleiche Verschlüsselung wie Signal. Über Threema brauchen wir dank Closed Source gar nicht diskutieren.

1. Es wird angemerkt, dass Kontaktinfos auf den Servern gespeichert werden. Das wird gemacht, damit Leute sich gegenseitig finden können. Es ist optional, man wird gefragt ob man das möchte und es werden einem die Konsequenzen mitgeteilt. Von daher: Wo ist das Problem?

2. Alle Nachrichten werden für ewig auf den Homeservern gespeichert.

Ja klar: ich will ja auch via Web, Deskto und Handy chatten.

Ist es ein Problem? Nein: ist ja E2EE verschlüsselt...

3. Neben den Techies (Admins der beteiligten Server) und Hackern (April 2019: Matrix.org chat server hacked, chat history lost) haben auch Behörden im Rahmen von Auskunftsersuchen darauf Zugriff.

Ja, toll - auf verschlüsselte Nachrichten zu denen ihnen der Encryption Key fehlt....

4. Open Source Enthusiasten argumentieren oft, dass man bei förderalen Systemen problemlos einen eigenen Server aufsetzen kann, wenn man keinen vertrauenswürdigen Server findet. Bei Matrix/Riot ist dieses Argument falsch. Man muss nicht nur dem eigenen Server vertrauen sondern auch den Admins aller anderen Server, die an einer Kommunikation beteiligt sind.

Auch falsch: Durch E2EE Verschlüsselung ist es egal wie vertrauenswürdig der Server ist. Lediglich problematisch sind Metadaten, oder unverschlüsselte Chats/Bridges. Diese kann man jedoch auf dem eigenen vertrauenswürdigen Server halten - falls benötigt.

5. Der Homeserver wird diesen Löschwunsch auch an alle anderen Server weitergeben, die Kopien der Nachricht gespeichert haben. Die Dokumentation von Matrix weist aber darauf hin, das damit nur ein Wunsch des Nutzers zum Ausdruck gebracht wird. Es kann nicht sicher­gestellt werden, dass die anderen Server diesen Wunsch auch befolgen.

Selbes Problem bei Signal (und desssen neues Feature, das selbiges ermöglichen soll...)

Ergänzung: Der Artikel ist komplett veraltet und bezieht sich ja auf die Beta. Mittlerweile sind die Implementierungen aus der Beta raus:

https://matrix.org/blog/2019/06/11/introducing-matrix-1-0-and-the-matrix-org-foundation/

> Das war der Grund warum ich kein XMPP mehr nutze. Ich habe keine Lust auf Missionieren.

> Ich will doch einfach nur Chatten 😜

Mach ich auch längst über Matrix - dank Bridges.

Vorteil: Die anderen Leute können weiterhin ihren Messenger nutzen, und wenn sie Lust haben zusätzlich eine beliebige App zu Matrix installieren.

Mit diesen habe ich dann auch wirklich sichere Kommunikation, Videochat, Telefonie uvm.

Ich kanns sogar direkt über den Browser verwenden.

Ok, das ist ein gültiges Argument. 👍

Schaun wir mal was die Zukunft bringt.

Trotzdem glaube ich nicht das Mail-Provider großes Interesse daran haben ein seperaten Chatserver zu betreiben und zu warten.

Den Mailserver haben sie ohnehin und mit Chat over E-Mail können sie ein Zusatzfeature anbieten ohne irgend etwas zu ändern oder erhöten Wartungsaufwand.

OK, es gäbe dann verstärkten traffic wenn sich das in der Breiten Masse durchsetzen würde, so dass man ggf. die Harware aufrüsten muss.

> Den Mailserver haben sie ohnehin und mit Chat over E-Mail können sie ein Zusatzfeature anbieten ohne irgend etwas zu ändern oder erhöten Wartungsaufwand.

Jup, COI hat den Vorteil direkt von OX zu sein.

> Trotzdem glaube ich nicht das Mail-Provider großes Interesse daran haben ein seperaten Chatserver zu betreiben und zu warten.

Spricht doch nichts dagegen das Geschäftsfeld auszuweiten. Ich würde auch einen Aufpreis zahlen (und für meine Familie gleich mit).

An dem Konzept von mailbox.org ist man ja nicht nur im Bereich Email interessiert (wie auch in anderern Threads schon bzgl. anderen Themen erwähnt wurde).

@9483267

zu 1: Es werden nicht die optionale Informatione wie Fotos und FCards auf den Servern gespeichert, sondern alle Chat Kontakte in Matrix, alle Gruppenchat Mitgliedschaften usw.

(Es geht auch anders, siehe Signal App oder Threema. Dort werden keine Informationen auf den Servern gespeichert sondern nur lokal. Die Server transportieren nur E-2_E verschlüsselte Nachrichten, bei Signal sogar ohne das der Server die Absenderkennung sieht., Stichwort "Sealed Sender".)

Zu 2: Das die auf den Servern gespeicherten NAchrichen alle E-2-E verschlüsselt sind, ist wohl Dein Wunschraum. Bei meinem Riot Client muss die E-2-E Verschlüsselung 2x(!) per Hand aktiviert werden (einmal global und einmal seperat für jeden Chat). Für einen Normaluser ohne IT-Affinität, der davon noch nie gehört hat ist es wohl erfraglich, dass das aktiviert wird.

Selbst wenn man auf den Server E-2-E verschlüsselte Nachrichten findet, dann bleibt immernoch die Kommunikationsanalyse (wer kommunikziert wann mit wem). Im Zuge der aktuellen Diskussion über Kooperationspflichten von Messenger Betreibern mit Strafverfolgung und "Diensten" möchte man vielleicht nicht, das diese Daten auf dem Server rumliegen (Entsprechende Gesetze sind für 2020 angekündigt.)

Das es anders geht, zeigen wieder Threema und Signal App.

zu 4: NEIN - E-2-E Verschlüsselung ist (falls aktiviert) kein ausreichendes Argument. Es ist außerdem relevant, mit wem man kommuniziert und an welchen Gruppenchats man sich beteiligt. (Stichwort: Kommunikationsanalyse - falls Du schon mal davon gehört haben solltest)

zu 5: Verstehe ich nicht? Bei Signal werden keine Daten auf den Servern gespeichert, also von welchem neuen Feature redest Du, das das Löschen von Nachrichten auf Servern ermöglichen soll, die keine Nachrichten speichern?

Kleine Bemerkung zum Einsatz von Matrix bei der französischen Regierung: Es soll nach meinem Wissen ein Matrix Server in einem geschlossen, besonders gesichertem Regierungsnetz eingesetzt werden zur internen Komunikation ohne Kontakte nach außen. Das ist was ganz anderes als ein Einsatz als public Server.

Kleine Bemerkung zu Open Source: Das Open Source Konzept bietet nur ein mehr an Sicherheit, wenn Konzept und Code auch von Fachleuten evaluiert wird. Ich habe noch nicht davon gehört, dass sich Fachleute tiefgründiger mit dem Code van Matrix/Riot beschäftigt haben, im Gegensatz zu Threema oder Signal, wo es mehrere Audits inklusive vollständige Code Audits von Experten gab.

> Es werden nicht die optionale Informatione wie Fotos und FCards auf den Servern gespeichert, sondern alle Chat Kontakte in Matrix, alle Gruppenchat Mitgliedschaften usw.

Kontakte, Gruppenmitgliedschaften -> kann man auch bei Signal aufm Server abgreifen, sh. unten

> (Es geht auch anders, siehe Signal App oder Threema. Dort werden keine Informationen auf den Servern gespeichert sondern nur lokal. Die Server transportieren nur E-2_E verschlüsselte Nachrichten, bei Signal sogar ohne das der Server die Absenderkennung sieht., Stichwort "Sealed Sender".)

Da bist du nicht ausreichend informiert. Wenn der Server (der Server von Signal läuft bei Amazon :D) komprimiert ist ist die Metadataprotektion von Signal Schall und Rauch -> Abhängig von Amazon.

Moxie als Antwort (36C3): ja wir müssen halt irgendwo anfangen.

>Zu 2: Das die auf den Servern gespeicherten NAchrichen alle E-2-E verschlüsselt sind, ist wohl Dein Wunschraum. Bei meinem Riot Client muss die E-2-E Verschlüsselung 2x(!) per Hand aktiviert werden (einmal global und einmal seperat für jeden Chat).

E2EE ist in Riot ab Ende Januar standardmäßig aktiv. Matrix musste auch erstmal irgendwo anfangen (bis dezentrale E2EE endlich mal stabil ist - wie Moxie schon sagt - es ist ein bisschen schwieriger, als wenn man zentral ist).

Ich musste darüber hinaus nichts global aktivieren und, wenn E2EE deaktiviert ist, ist das ziemlich präsent direkt wenn du eine Nachricht schreibst.

Es stünde jedem frei in seinem Client E2EE standarmäßig aktiv zu haben.

BTW. das kommt raus, wenn Matrix und Moxie miteinander reden:

"instead we (Matthew Hodgson und Moxie) ended up talking it through a few times in person to see how misaligned we really were. The conclusion was that we agreed to disagree and Moxie said he’d be happy to be proved wrong, and wished us good luck."

Auch wenn Riot etc. noch nicht perfekt sind, wird konstant daran weitergerarbeitet - und selbst nach Moxie scheint es prinzipiell (wenn auch nicht praktisch und langfristig) machbar zu sein.

Was sich jedoch scheinbar nie ändern wird ist bei Signal die Bindung an Telefonnummern (ein Grund ist z.B. weil man sowieso Push Notifications verwendet) und die Zentralität

> Selbst wenn man auf den Server E-2-E verschlüsselte Nachrichten findet, dann bleibt immernoch die Kommunikationsanalyse (wer kommunikziert wann mit wem). Im Zuge der aktuellen Diskussion über Kooperationspflichten von Messenger Betreibern mit Strafverfolgung und "Diensten" möchte man vielleicht nicht, das diese Daten auf dem Server rumliegen (Entsprechende Gesetze sind für 2020 angekündigt.)

Das Problem hast du bei Signal mehr wie bei Matrix.

Nur der Server mit dem du verbunden hast, hat deine Metadaten. Wenn du selber hostest, ist das Problem damit nichtig. Wenn du mailbox.org traust, ebenso. Und, wenn nicht: Durch Förderiertheit ist nur ein Bruchteil der Metadaten verfügbar, weil nicht alle Teilnehmer am Server hängen).

In Zukunft wird sogar in Erwägung gezogen optional einen Server im Client zu haben. Dies würde Matrix quasi zu E2EE P2P machen. Kann man ja jetzt schon machen.

> zu 4: NEIN - E-2-E Verschlüsselung ist (falls aktiviert) kein ausreichendes Argument. Es ist außerdem relevant, mit wem man kommuniziert und an welchen Gruppenchats man sich beteiligt. (Stichwort: Kommunikationsanalyse - falls Du schon mal davon gehört haben solltest)

Warum ist es nicht ausreichend? Metadaten von Signal -> sh. oben

> zu 5: Verstehe ich nicht? Bei Signal werden keine Daten auf den Servern gespeichert, also von welchem neuen Feature redest Du, das das Löschen von Nachrichten auf Servern ermöglichen soll, die keine Nachrichten speichern?

Löschen von den Clients, bzw. löschen von irgendjemanden.

Löschen kann man nicht forcieren.

>Kleine Bemerkung zum Einsatz von Matrix bei der französischen Regierung: Es soll nach meinem Wissen ein Matrix Server in einem geschlossen, besonders gesichertem Regierungsnetz eingesetzt werden zur internen Komunikation ohne Kontakte nach außen. Das ist was ganz anderes als ein Einsatz als public Server.

Falsch: Es werden bereits jetzt mindestens 16 Server betrieben - pro Ministerium einer. 5,5 Millionen User.

Im Moment ist es noch intern, doch ist es in Planung das nach außen zu öffnen. Auch andere Regierungsinstitute in anderen Ländern überlegen oder haben schon zu Matrix gewechselt.

> Kleine Bemerkung zu Open Source: Das Open Source Konzept bietet nur ein mehr an Sicherheit, wenn Konzept und Code auch von Fachleuten evaluiert wird.

Matrix verwendet die gleiche Verschlüsselung wie Signal. Und Sicherheit ist nicht von einer Evaluierung von Fachleuten abhängig sondern von der Implementierung.

K.a. ob es solche gab, aber ich denke mal kaum, dass Frankreich keine Evaluierung durchgeführt hat.

Sämtliche Probleme von Signal bzgl. Telefonnummern und dadurch Geotracking ignorierst du darüberhinaus.

Auf dem 36C3 hat man ja mal gesehen wie der Gründer von Signal sich seine Zentralität zu rechtfertigen versucht. Kurzzusammenfassung: E2EE mit Dezentralisierung ist zu aufwändig

Signal App und Amazon Server:

Die Amazon Server nutzt Signal als Anti-Zensur Feature (Cloud Fronting). Die Amazon Server sehen eine TLS verschlüsselte Verbindung von einer IP Adresse (Absender) zu einem Signal Server. Die TLS Verschlüsselung setzt alle Sicherheitsfeature nach dem Stand der Technik um inklusive Zertificate Pinning.

Welche Metadaten kann Amazon sammeln? Jemand der zufällig gerade die IP xx.xx.xx.xx hat, hat einen Signal Server kontaktiert.

Der Signal Server, an dem die TLS Verbindung terminiert, sieht den Empfänger der Nachricht (oder Status Message?) und als Absender ein IP-Adresse von einem Amazon Server (der Absender ist als "Sealed Sender" E-2-E verschlüsselt).

Welche Metadaten kann der Signal Server sammeln?

Der Signal Server kennt keine Mitgliedschaften in Gruppen und keine Kontaktlisten. Das ist Teil des Sicherheitskonzeptes von Signal und ich habe keine ernsthafte Publikation gelesen, die das in Frage stellt. Bitte einen Link für die Behauptung, das Signal Server die Gruppenmitgliedschaften kennen sollen oder die Kontakte, mit denen man chattet. (Gleiches gilt für Threema, hier durch Audits bestätigt.)

Soviel zu Signal und Metadaten. Aber wir können auch gern über Threema diskutieren als "Stand der Technik" bei Messengern und mit Matrix/Riot vergleichen. Threma verwendet keine Telefonnummer und bietet sowohl vertikale als horizontale Anonymität und setzt alle Sicherheitsempfehlungen nach dem Stand der Technik um, im Gegensatz zu Matrix (durch zwei Threema Audits bestätigt.)

> Auch andere Regierungsinstitute in anderen Ländern überlegen oder haben schon zu Matrix gewechselt.

Die Schweiz hat sich gegen Matrix entschieden und in Deutschland kenne ich nur Behörden, die zur Zeit den Einsatz eines Messengers evaluieren und dabei Matrix in die Überlegung einbeziehen, oder die die Evaluierung abgeschlossen haben und sich gegen Matrix und für Wire u.ä. entschieden haben.

> Nur der Server mit dem du verbunden hast, hat deine Metadaten.

Korrekter Weise muss man formulieren, dass alle Server, die an einer Kommunikation beteiligt sind, die Metadaten dieser Kommunikation haben. Man muss demzufolge auch allen diesen Servern vertrauen.

> In Zukunft wird sogar in Erwägung gezogen optional einen Server im Client zu haben. Dies würde Matrix quasi zu E2EE P2P machen. Kann man ja jetzt schon machen.

Bis dahin gibt es noch viele Problem zu lösen, beispielsweise wie diese Super-Chat-Client-Server zu gültigen, von einer CA signierten Zertifikaten kommen sollen.

Aber das wäre ein Argument gegen den Betrieb eines Matrix Servers durch MBO. Wenn zukünftig jeder Client seinen eigene Server enthält, warum sollte MBO dann einen Server ausfetzen und pflegen?

Das Matrix die gleiche E-2-E Verschlüsselung wie Signal verwendet, ist ein Argument, das ich von Amateuren immer wieder höre. Matrix verwendet die gleichen Krypto-Routinen wie Signal, hat aber die Schlüsselverwaltung verändert, um den Multi-Device Support nach ihren Vorstellungen anzupassen. Dadurch wurde das Gesamtkonzept der E-2-E Verschlüsselung geschwächt und Matrix/Riot sind damit anfälliger für Man-in-the-middle Angriffe auf die E-2-E Verschlüsselung geworden.

Es hat seinen Grund, warum man bei Threema oder Signal ein Hauptgerät benötigt, das alle anderen Geräte verifiziert. Wollte man bei Matrix aber nicht... Also hat man die E-2-E Verschlüsselung verändert (die Schlüsselverwaltung). Das Matrix die gleiche E-2-E Krypto verwendet wie Signal ist also nicht korrekt sondern nur ein Werbeslogan, der sich auf die Krypto Routinen bezieht und nicht auf das gesamte Sicherheitskonzept.

> Die Amazon Server nutzt Signal als Anti-Zensur Feature (Cloud Fronting).

nutztE

Sieht man ja mal gleich wieder wie "toll" Zentralisierung ist.

>Welche Metadaten kann der Signal Server sammeln?

Das darfst gern Moxin und dessen Kritiker (sh. 36C3) fragen. Der kennt sich damit besser aus.

>Korrekter Weise muss man formulieren, dass alle Server, die an einer Kommunikation beteiligt sind, die Metadaten dieser Kommunikation haben. Man muss demzufolge auch allen diesen Servern vertrauen.

Quelle?

Der neuste Blogpost suggeriert, dass die 2016 präsentierte Lösung (o.ä.) (https://matrix.org/~matthew/2016-12-22%20Matrix%20Balancing%20Interop%20and%20Privacy.pdf) bereits umgesetzt ist.

> Dadurch wurde das Gesamtkonzept der E-2-E Verschlüsselung geschwächt und Matrix/Riot sind damit anfälliger für Man-in-the-middle Angriffe auf die E-2-E Verschlüsselung geworden.

Inwiefern das denn?

Und soweit ich gehört habe ist es eine Erweiterung des Algorithmus.

>Es hat seinen Grund, warum man bei Threema oder Signal ein Hauptgerät benötigt, das alle anderen Geräte verifiziert.

Verifizierungsmöglichkeiten hast du auch in Riot mit allen(!) Geräten.

Crossverificationdemo: https://youtu.be/9cjUzftDuoQ?t=2908

Audits bei Threema sind übrigens mit dem nächsten Update wieder nichtig. Selbes Spiel wie bei WhatsApp.

Und JFYI: https://matrix.org/blog/2016/11/21/matrixs-olm-end-to-end-encryption-security-assessment-released-and-implemented-cross-platform-on-riot-at-last/

> Die Schweiz hat sich gegen Matrix entschieden und in Deutschland kenne ich nur Behörden, die zur Zeit den Einsatz eines Messengers evaluieren und dabei Matrix in die Überlegung einbeziehen, oder die die Evaluierung abgeschlossen haben und sich gegen Matrix und für Wire u.ä. entschieden haben.

Die Schweiz hat sich für ihren propriertären Inlandsmessenger entschieden - oh Wunder.

“France and the US Department of Public Safety are already live, and several other countries are in the pipeline,” he adds on public sector deployments. “We expect Matrix to become the backbone for secure intra- and inter-governmental communication in the future.”

> Der neuste Blogpost suggeriert, dass die 2016 präsentierte Lösung (o.ä.) bereits umgesetzt ist.

In der verlinkten Präsentation sieht man auf Seite 19 den aktuellen Stand unter dem Titel "Home Server expose metadata too..." (Die Homeserver sammeln die Metadaten nicht nur sondern verteilen sie auch noch...)

Als Abhilfe wird ab Seite 21 vorgeschlagen, wie man das ändern KÖNNTE. Ein POND ähnliches Protokoll könnte verwendet werden und Tor Onion Router für die Server-2-Server Kommunikation. Und davon soll etwas umgesetzt sein? Wirklich? Matrix integriert jetzt Tor und hat ein POND ähnliches Protokoll, das sich übrigens fundamental von dem Matrix Protokoll unterscheidet, das ich kenne, und eher dem "Sealed Sender" von Signal ähnlich ist? In welchem Blogpost steht das?

In dem letzten Blogpost "Privacy vs Freedom" steht am Ende eine Vision:

> ...you can run your server off the grid, and don’t need to register with a phone number, and in future may not even need a server at all...

Ok - wenn Du von einem einen Open Source Messenger mit starker E-2-E Verschlüsselung, serverloser Infrastruktur, ohne Telefonnummer und ohne Metadaten Probleme träumst - das gibt es schon und heißt Tox. Da brauchst Du also nicht 10 Jahre warten...

Hier eine Anleitung für den Desktop Client qTox: https://www.privacy-handbuch.de/handbuch_83.htm

Wenn so ein Messenger Deine Wünsche erfüllt, dann nutze ihn und unterstütze das Projekt.

> Als Abhilfe wird ab Seite 21 vorgeschlagen, wie man das ändern KÖNNTE. Ein POND ähnliches Protokoll könnte verwendet werden und Tor Onion Router für die Server-2-Server Kommunikation. Und davon soll etwas umgesetzt sein? Wirklich? Matrix integriert jetzt Tor und hat ein POND ähnliches Protokoll, das sich übrigens fundamental von dem Matrix Protokoll unterscheidet, das ich kenne, und eher dem "Sealed Sender" von Signal ähnlich ist?

Sorry, hab mich diesbezüglich verlesen.

Aber Tor ist nicht nötig dafür. Es würde reichen, wenn das Prinzip nachgeahmt werden würde. Eventuell gibts auch andere Lösungen.

Es wird immerhin daran gearbeitet. Gerade wohl eher Crosssigning für E2EE als Default, aber wird werden nach der FOSDEM 2020 mehr wissen.

>Wenn so ein Messenger Deine Wünsche erfüllt, dann nutze ihn und unterstütze das Projekt.Nein, danke. Matrix ich suche etwas explizit mit Server.Matrix hat bzw. wird alles haben was ich benötige.

Ich will nämlich nicht nur sicher, sondern auch bequem.

D.h. kein Lockin, kein manuelles Backup, beliebig viele Geräte, Sync, etc, aber gerne mit OptIn in restriktivere Varianten.

Dies hier dürfte im Hinblick auf P2P interessante Infos aufzeigen: https://www.youtube.com/watch?v=nZBKzQzH2NA

Vermutlich auf das:

https://www.coi-dev.org/

und das:

https://delta.chat/de/

Es liegt in der Natur eines Mail-Providers auf die Infrastruktur von E-Mail zu setzen 😉

Und ich finde es auch gut.

Weshalb es auch einen XMPP-Server gibt... für den man nichtmal zahlen muss?

Bereits jetzt dürfte Matrix XMPP in der Technik längst überholt haben.

Wie auch immer, es wäre eine starke Angelegeneheit, wenn ich hier für etwas Geld auf einen Matrix-Server zurückgreifen könnte.

Sehe da nicht wirklich etwas was wirklich dagegen sprechen würde.

Zum Selberhosten fehlt mir die Zeit und Administrationskenntnisse - und mailbox.org hätte mein Vertrauen das zuverlässig zu machen.

Den XMPP Server gab es schon bevor OX Coi oder Delta Chat ins Leben gerufen worden.

Ich gehöre ja nicht zum Mailbox.org Team. Deshalb spekuliere ich auch nur.

Aber mir erscheint es nur logisch wenn ein Mail-Provider die bestehende E-Mail-Infrastruktur für einen Dienst benutzt und nicht noch eine Dritte aufbaut und wartet.

Damit kann man eine Chat Infrastruktur anbieten ohne das dabei zusätzlicher Wartungsaufwand entsteht.

Auch interessant:

https://mailbox.org/de/post/ox-summit-2019-in-madrid-mailbox-org-beim-branchentreff

Ich glaube, wenn hier jemand COI nutzen wollen würde, würde man hier nicht um einen Matrixserver bitten.

Ich, beispielsweise, habe wirklich 0 Interesse daran - obwohl ich fleißiger mailbx.org Nutzer bin.

"Aber mir erscheint es nur logisch wenn ein Mail-Provider die bestehende E-Mail-Infrastruktur für einen Dienst benutzt und nicht noch eine Dritte aufbaut und wartet."

Ein weiteres Standbein schadet prinzipiell erstmal nicht.

Deinen Link hast du schon vorher gepostet, wüsste nicht inwiefern das bei Matrix@mailb.org weiterhelfen würde.

Ansonsten mach doch einen separaten Thread auf, wenn du über DeltaChat diskutieren möchtest.

Tut mir leid wenn ich jemandem auf die Füße getreten habe.

Das war nicht meine Absicht.

Hier handelt es sich um ein Userform.

Da der Support hier nur sporadisch mitliest und auf die konkrete Anfrage wegen Matrix nicht reagiert hat, habe ich meine Meinung dazu geäußert.

Auf Grund des von mir verlinkten Blogbeitrages und der Tatsache das man Seitens Mailbox.org nicht auf diesen Forumsbeitrag antwortet, gehe ich davon aus daß kein Interesse bzw. auch kein Plan existiert einen Matrix Server zu betreiben.

Ich spreche auch nicht im Namen von Mailbox.org.

Ich kann mit der Vermutung völlig daneben liegen.

Ich denke allerdings das es wohl so sein wird.

Automattic investiert in Matrix:

> We’re very excited indeed to announce that Automattic, the creators of WordPress.com, are jumping head first into the Matrix ecosystem with a strategic investment of almost $5M into New Vector (the company which makes Riot and Modular.im, founded by the core Matrix team in 2017).

Quelle: https://matrix.org/blog/2020/05/21/welcoming-automattic-to-matrix

Vielleicht ist das ja ein Anreiz, auch bei mailbox-org nochmal über einen Matrix-Server nachzudenken.

Oder mailbox.org bewirbt einfach Delta Chat. (https://delta.chat/de/).

Das funktioniert jetzt schon sehr gut ohne das der Mailanbieter einen zusätzlichen Server betreiben und warten muss 😜

Letzendlich liegt es natürlich am Betreiber was er tut und was nicht.

Wäre ich ein Mailanbieter würde ich darauf setzen das mein Kernprodukt attraktiver bleibt. Und ich würde auf den Mehraufwand eines zweiten Servrs verzichten.

Chat über E-Mail funktioniert gut.

DeltaChat ist in keiner Weise ein Ersatz für Matrix

Dann würde Mailbox.org ja deine externen Chats (Telegram, WA usw.) einsehen können, wie es Element One bereits kann. Glaube nicht, dass Peer das wollen würde.

Matrix mit Bridges für externe Netzwerke macht nur Sinn, wenn man das vollständig lokal laufen lassen würde. Und so wie es aktuell in der EU abgeht, überlegt sich bestimmt jeder Anbieter, der Verschlüsselung in irgendeiner Art bietet, wie die Zukunft werden wird.... :(

Encrypted messages from WhatsApp, Signal and Telegram are decrypted as they pass across the bridge. The bridge operates in EMS’ trusted environment, with no content scanning or datamining. Bridges will be end-to-end encrypted in the future, but aren’t today.

Es wird bereits an einer End-to-Bridge Verschlüsselung gearbeitet, sodass die Nachrichteninhalte nicht einsehbar wären. Alles eine Frage der Zeit.

Ich bitte um ein Feedback von einem Mailbox-Mitarbeitenden, wie Mailbox zu dem Thema grundsätzlich steht.

Leider ist Matrix XMPP Implementation recht unausgereift. Oft funktioniert die Schnittschnelle überhaupt nicht (es ist auf XMPP Seite nicht ersichtlich, dass Nachrichten tatsächlich gesendet werden). Wichtige Funktionen wie E2EE lassen sich ebenfalls nicht nutzen. Meiner Meinung nach wäre es besser, wenn man sich auf Internetstandards wie XMPP fokusiert anstatt das Ökosystem mit weiteren Protokollen zu fragmentieren.

Besser wäre es gewesen Matrix von Anfang an auf XMPP aufzubauen.

"Besser wäre es gewesen Matrix von Anfang an auf XMPP aufzubauen."

Ich glaube, dann hätten wir Matrix definitiv nicht da wo es jetzt ist, und ich würde das auch nicht wieder hergeben wollen ;-)

"Leider ist Matrix XMPP Implementation recht unausgereift. Oft funktioniert die Schnittschnelle überhaupt nicht"

Das Interesse an XMPP ist im Vergleich zu anderen Messengern etwas begrenzt, daher wird sich darum halt nicht so viel gekümmert - seitens matrix.org.

Kann allerdings den Fork von aria-net.org empfehlen, es gibt dort sehr aktiven Support & Softwareupdates: Bifrost Improvements (aria-net.org)

Ein wichtiger Grund, Matrix zu entwickeln, waren gerade die Probleme von XMPP. Verschlüsselung wurde erst später hinzugefügt und man weiss vorher nie, ob der Empfängerserver das voll unterstützt.

Matrix ist klar die Zukunft. Überall dort, wo die Firmen oder Systeme es zulassen, gibt es bereits Brücken. Die EU will solche Verbindungen gesetzlich vorschreiben. Dafür könnte Matrix sogar die Lösung sein.

Ganz Frankreich verwendet für die Behördenkommunikation Matrix. Einige deutsche Behörden haben es bereits ebenfalls eingeführt.

Verschlüsselung gibt es bei XMPP schon sehr lang mit OpenPGP, OTR oder moderner OMEMO. Der Server muss meist gar nichts besonders unterstützen, dass Verschlüsselung funktioniert (im Falle OMEMO nur PEP, da muss man schon suchen, einen XMPP Server ohne PEP zu finden).

Brücken sind maximal eine temporäre Abhilfe und sind immer durch den kleinsten Nenner der Protokolle beschränkt. Essentielle Dinge wie E2EE wird es nie geben (siehe Antwort des Matrix-Projektleiters: https://news.ycombinator.com/item?id=29258260).

Wenn das Ziel ein universeller Standard für Echtzeitkommunikation ist, ist XMPP wohl immer noch die beste Hoffnung, da das Matrix-Team bis heute nicht an einer Standardisierung mit dem IETF oder W3C arbeitet und praktisch alles von New Vector abhängt. Es gibt auch nur eine einzige praktisch einsetzbare Server-Implementation, die im Vergleich zu XMPP nur schlecht skaliert und deutlich mehr Arbeitsspeicher und CPU frisst.

"der moderner OMEMO."

Modern wäre so etwas wie MEGOLM oder MLS. OMEMO ist einfach nur das Signalprotocol an XMPP rangeflanscht, mit einigen sehr unschönen Nachteilen gegenüber Matrix.

"(im Falle OMEMO nur PEP, da muss man schon suchen, einen XMPP Server ohne PEP zu finden)."

meinst du "XEP-0402: PEP Native Bookmarks"? Hat der erste Server, den ich gefunden habe, schon mal nicht...

jabber.de's compliance result | XMPP Compliance Tester (conversations.im)

Auch frage ich mich, warum bei Server-Compliance "XEP-0384: OMEMO Encryption" aufgelistet wird, wenn der Server nichts unterstützen muss?

"Essentielle Dinge wie E2EE wird es nie geben (siehe Antwort des Matrix-Projektleiters: https://news.ycombinator.com/item?id=29258260)."

Es kann das insofern geben, als dass die Brücke eben unter deine Kontrolle sein muss (wie beschrieben). Theoretisch könnte nebenbei eine zweite App laufen, die die Brücke darstellt, oder als Plugin für einen Messenger, oder eben wie es aktuell üblich ist auf einem RPI.

Ist zwar fast wie zwei separate Messenger, aber nicht ganz: Man hat immer noch alles in einer App mit allen Matrix Features, wie z.B. sync über alle Geräte, potentiell 100% Autonomie, alle Historien gleichzeitig durchsuchbar, organisierbar mit Spaces, etc., was imho besser ist als 2 Apps mit getrennten Daten.

Ansonsten muss man sich aber auch fragen wie groß der Bedarf daran überhaupt ist. Bis jetzt hat sich nichtmal jemand die Mühe gemacht für XMPP eine Bridge anzubieten, die etwa E2B unterstützt.

"da das Matrix-Team bis heute nicht an einer Standardisierung mit dem IETF oder W3C arbeitet und praktisch alles von New Vector abhängt."

Der Standard hängt nicht an New Vector, sondern an der Matrix Stiftung. Das IETF ist für sowas noch viel zu träge, genauso wie W3C, das ja quasi durch WHATWG als Autorität abgelöst wurde:

"WHATWG produces periodic snapshots, called Review Drafts, for a patent exclusion opportunity; W3C selects those to be Candidate Recommendations, which follow the W3C process (Candidate Recommendation → Proposed Recommendation → Recommendation). The W3C CR, PR, and REC, and the WHATWG Review Draft are the same document"

W3C and WHATWG to work together to advance the open Web platform | W3C Blog

html - HTML5: W3C vs WHATWG. Which gives the most authoritative spec? - Stack Overflow

Das Konzept könnte man ja auch Matrix anwenden. Die Matrix Stiftung produziert die Snapshots (also Matrix 1.0, Matrix 1.1, Matrix 1.2, etc.), und das IETF macht dann damit was es will, z.B. ein XEP.

Fragt sich wer das will. Und ohne Bedarf wird es keiner machen, seitens der Stiftung ist man trotzdem offen dafür:

"For instance, Matrix has been managed by its own standard body (The Matrix Foundation) and could be ratified by a more established one like IETF, ETSI or W3C if needed."

Digital Markets Act and interoperability: Debunking the gatekeepers' myths | Matrix.org

MMn wäre eine Übergabe von der Matrix Stiftung ans IETF der Tod von Matrix.

> meinst du "XEP-0402: PEP Native Bookmarks"?

Nein, "XEP-0163: Personal Eventing Protocol".

> Auch frage ich mich, warum bei Server-Compliance "XEP-0384: OMEMO Encryption" aufgelistet wird, wenn der Server nichts unterstützen muss?

Das kann man recht schnell in XEP-0384 -> Sever side requirements nachschlagen. (Es sind ein paar Einstellungen, die serverseitig gesetzt sein müssen. Weiß jetzt nicht auswendig, ob das die Defaults bei den gängigen XMPP Servern sind, oder nicht.)

Dass jeder User die Brücken selber betreiben muss, um eine sichere Kommunikation zu gewährleisten, ist halt nicht sehr realistisch.

Ohne New Vector kein Matrix. Das Protokoll, die Serverimplementierung, der matrix.org Server und Element kommen alle von den gleichen Leuten. Dahiner stehen Investorgelder und entsprechendes Marketing. Insgesamt handelt es sich bei Matrix eher um ein Produkt. Es wäre schade, wenn die mailbox.org Ressourcen weg von offenen Internetstandards wie XMPP wandern würden.

"Das kann man recht schnell in XEP-0384 -> Sever side requirements nachschlagen. (Es sind ein paar Einstellungen, die serverseitig gesetzt sein müssen. Weiß jetzt nicht auswendig, ob das die Defaults bei den gängigen XMPP Servern sind, oder nicht.)"

Naja, also muss es der Server unterstützen

"Dass jeder User die Brücken selber betreiben muss, um eine sichere Kommunikation zu gewährleisten, ist halt nicht sehr realistisch."

Jeder Nutzer nutzt nicht XMPP mit OMEMO. Diejenigen, die es nutzen (wollen), traue ich das auf jeden Falll zu.

Als Plugin, oder App taugt es auch für jeden Nutzer. Oder als verpackter RPI (Smarthomegeräte werden auch zu genüge von Laien daheim platziert).

"Ohne New Vector kein Matrix."

Wie war es denn bei XMPP bevor es beim IETF gelandet ist?

Wobei ich das mittlerweile gar nicht mehr unterschreiben würde, sh. Conduit, FluffyChat und andere Apps, die zwar nicht so hübsch sind wie Synapse u. Element, aber im Prinzip funktionieren und schon im Einsatz sind. Es ginge nur wesentlich langsamer. Synapse würde dadurch eig. ja auch nicht verschwinden, gibt genügend, welche einerseits für Entwicklung zahlen und auch welche die Einspringen könnten.

"Es wäre schade, wenn die mailbox.org Ressourcen weg von offenen Internetstandards wie XMPP wandern würden."

Hab nichts dagegen wenn es zu offenen Internetstandards wie Matrix wanden würde. Im Gegenteil.

Ich würde es wie bei Email machen. Weiß nicht wie es jetzt ist, aber ich habe früher 1-3 Monate kostenlos bekommen, und musste dann zahlen.

Ist wahrscheinlich fürs Unternehmen nachhaltiger besser wie kostenlos, da Synapse meines Erachtens schon merkbar Ressourcen benötigt - aufwändiger wie Email allemal. Daher wäre es wohl nicht machbar das kostenlos anzubieten.

Ich wuerde dann eher so abstufen:

- 1 Euro Standard bei gesammelter Domain - ähnlich wie beschrieben, günstiger und erstmal hürdenloser Einstieg - Upgrade auf Pro möglich

- 3 Euro Pro bei gesammelter Domain - dein Premium ohne Bridges

- 5 Euro Premium - eigene Domain (und damit nach Status Quo auch eine eigene Serverinstanz, die die 5 Euro durchaus rechtfertigen dürften), Serverexport-Option

- Egal welcher Tarif: 1 Euro pro Bridge (bietet sich damit auch gut als späterer Zusatz an)

je nachdem wie es sich ausgeht notfalls 50 ct drauf

Wo ich mir nicht sicher bin sind die Pauschalen bei Pro & Premium ohne Abhängigkeit zu Speichernutzung.

Vielleicht sollte man da Budgets anbieten, wonach die ältesten Medien gelöscht werden (oder eine manuelle Auswahl), weil der Verbrauch einerseits stark variieren kann und andererseits stark in die Höhe gehen kann, wenn man sehr viele Medien rumschickt. Und im gleichen Zug 1 Euro & 3 Euro in einen Budgetabhängigen Tarif verschmelzen.

"eigene Domain (und damit nach Status Quo auch eine eigene Serverinstanz, die die 5 Euro durchaus rechtfertigen dürften)"

Wahrscheinlich ein Stücken unterschätzt: Element Home liegt hier bei 10 Euro.. aeh Dollar (allerdings mit 5 anderen Benutzern) und ohne eigene externe(!) Domain.

Eine Option, die in die Richtung eigene Instanz mit Domain geht, fände ich auf jeden Fall interessant.

(Sorry für die vielen Posts)