Willkommen im User-Forum von mailbox.org
 

Mailbox.org Matrix Homeserver

7378005 hat dies geteilt, 2 Jahren her
vorgeschlagen

Hallo Mailbox.org,

vielen Dank für eure sehr guten Dienste!


Ich habe vor einiger Zeit den XMPP Server entdeckt, den ihr zur Verfügung stellt. Vielen Dank auch dafür!

Meine Frage ist nun, ob es sich nicht auch mit euren Zielen sehr gut vereinen ließe unter den gleichen Bedingungen (keine Garantien) einen Matrix Server zur Verfügung zu stellen.


Matrix ist ein offenes, föderiertes Protokoll in dem"Chaträume" über alle Homeserver der Teilnehmer eines Raumes synchronisiert werden, was einen single point of control und failure verhindert!

Im Standard verankert befindet sich E2E Verschlüsselung, verschlüsselte (Video-)VOIP-Konferenzen und Späße wie server-side Suche u.Ä.


Gleichzeitig soll Matrix ein Kleber zwischen bestehenden Protokollen sein. Bridges zu IRC und Slack sind bereits in der Client-Referenzimplementierung Riot.im angekommen. Es bestehen aber auch Community-Bridges zu XMPP, Telegram und Signal.


Alles in allem ein sehr gutes, modernes Protokoll, was meines Erachtens sehr gut zur Mission hier passt.

Vielleicht macht es aber Sinn die Server-Referenzimplentierung in Go (Dendrite) und die standardmäßige Aktivierung von E2EE abzuwarten.

Die community um matrix ist sehr gut, man findet im Matrix HQ immer Hilfe und Infos.

Was haltet ihr davon?

Viele Grüße!

Disclaimer: Ich hab nix mit Matrix.org zu tun. Ich bin nur von der Idee begeistert.

Kommentare (33)

Foto
1

Interessantes Projekt, hab per Riot damit auch schonmal gespielt. Verbreitung ist aber eher verhalten, hab noch keinen meiner Kontakte da gefunden.


Wir haben viele Ideen und es kommen auch ständig welche hinzu.

Es ist aber auch eine Frage der Kapazitäten unserer Entwickler und ob dafür denn bei genügend Kunden Bedarf besteht.

Foto
1

Es mag sein, dass ich mich komplett irre, aber finden kann bei Riot schwierig werden... Ich konnte mich jedenfalls ohne Telefonnumer und Mail registrieren. Keine meiner Kontakte kann wiessen, dass ich Riot habe... ;-)

Foto
1

Mittlerweile 11 Millionen user und 40.000 Deployments - stark wachsend: https://techcrunch.com/2019/10/10/new-vector-scores-8-5m-to-plug-more-users-into-its-open-decentralized-messaging-matrix/


Deployment wird immer leichter - mittlerweile gibt es sogar ein Dockerimage dafür.

Foto
Foto
2

>Verbreitung ist aber eher verhalten, hab noch keinen meiner Kontakte da gefunden.


Das stimmt, ich denke viele nutzen Riot inzwischen als einfachen IRC Einstieg (oder Ersatz) für communities, aber als Chat Client wird es wenig genutzt. Ist ja auch nicht der einfachste Messenger (Whatsapp Style), sondern eher Kollaborationswerkzeug.

Ich hoffe dass das Austreten aus der Beta und vielleicht der launch des librem5 phones mit matrix als first-class Telefon und Messaging Dienst für ein bisschen mehr publicity sorgt.


> Es ist aber auch eine Frage der Kapazitäten unserer Entwickler und ob dafür denn bei genügend Kunden Bedarf besteht.


Das ist natürlich vollkommen verständlich. War auch in Richtung mailbox.org community gerichtet um die Nachfrage festzustellen und ein bisschen Aufmerksamkeit zu generieren.


Und natürlich funktioniert Föderation (Dezentralisierung insgesamt) nicht ohne eine breite Auswahl an Providern - hier würde ich Mailbox.org natürlich am ehesten vertrauen.


Vielen Dank für die schnelle Antwort!

Foto
1

>Verbreitung ist aber eher verhalten, hab noch keinen meiner Kontakte da gefunden.<

Dies kann man auch nicht verlangen.

Man muss vielmehr mit missionarischem und überzeugendem Eifer hinter her sein. Dadurch habe ich 7 beständige Kontakte

aus dem Freundeskreis bekommen.

Ansonsten finde ich die Idee eines Matrixservers unter Mailbox.org echt prima.

Foto
Foto
2

Ja, ein mailbox.org Matrix Server wäre super! Würde ich sofort nutzen.

Foto
2

Fände so einen Server auch prima. Evtl. mit Bridge zu XMPP, so dass ein Parallelbetrieb möglich ist.

Foto
2

Ja, über einen Matrix-Server bei Mailbox.org würde ich mich auch freuen! Vor allem, da es für alle Plattformen brauchbare Clients gibt! Gerne auch für einen Euro extra ;)

Foto
4

Nachdem matrix.org vor kurzem übernommen wurde (https://www.golem.de/news/messenger-matrix-org-server-gehackt-1904-140655.html) wäre jetzt ein guter Zeitpunkt mit einer sicheren Infrastruktur zu punkten.

Foto
2

Bin auch erstmal dafür den XMPP-Server umfänglich zu betreiben. Hat sich aber seit der letzten Migration deutlich gebessert aufjedenfall.

Foto
2

Auch, wenn die Idee etwas her ist, fänd ich das brilliant. Sichere Infrastruktur ist bei offenen, nicht zentralen Diensten ne wichtige Angelegenheit. Mich würde es sehr freuen. Könnte vielleicht auch den einen oder anderen zu mailbox.org bringen? Ich würde auf jeden Fall meiner Freundin einen Account spendieren ;-)

Mehr dafür zahlen würde ich auch, wenn es notwendig ist.

Also mit Mailbox.org nicht nur mail sondern auch denzentrale Chat-Architektur zu unterstützen halte ich für enorm sinnvoll.

Foto
2

Ich schließe mich der Petentenliste an: Ein Matrix-Chat wäre ein Zusatzfeature, von dem sicherlich Nutzer wie Betreiber Vorteile hätten.

Foto
1

Ich denke bei Mailbox.org konzentriert man sich jetzt eher auf Chat over E-Mail wie z.B. OX-Coi (https://www.coi-dev.org/) mit denen sie eng zusammen arbeiten.

Oder auch Delta Chat (https://delta.chat/de/) - OX-Coi basiert auf dem Delta Chat Kern.


Ich persönlich finde Chat via E-Mail ein logisches Vorgehen durch einen Mail-Provider 😉


Außerdem gibt es bei dem System einen unschlagbaren Vorteil gegenüber jedem anderen Messenger (einschließlich WhatsApp) Es gibt eine unglaublich große Nutzerbasis da OX-Coi und Delta Chat komplett compatible zu "herkömmlicher" E-Mail sind.

Foto
1

> Ich persönlich finde Chat via E-Mail ein logisches Vorgehen durch einen Mail-Provider 😉


Mag sein, aber Chat über Email ist schon prinzipiell eine gescheiterte Lösung, da Email einfach dafür nicht konzipiziert worden ist.


> Außerdem gibt es bei dem System einen unschlagbaren Vorteil gegenüber jedem anderen Messenger (einschließlich WhatsApp) Es gibt eine unglaublich große Nutzerbasis da OX-Coi und Delta Chat komplett compatible zu "herkömmlicher" E-Mail sind.

Das kann man auch mit anderen Messengern haben.

Wie @7378005 schon erklärt hat, unterstützt Matrix das Konzept von Bridges. Entsprechend gibt es auch eine Bridge zu Email, womit du über Matrix mit allen Emailusern schreiben kannst: https://matrix.org/docs/projects/bridge/matrix-email-bridge/

Nicht nur das: Über Matrix können Emailnutzer mit Telegram Nutzern, WhatsApp-Nutzern und Matrix Nutzern zusammen in einem Chat schreiben.

Foto
1

Wie funktioniert das mit der Bridge?

Muss die irgendwer irgendwo installieren?


Mit Chat over E-Mail installiere ich die App und schreibe sofort ohne irgendwelche Vorbereitung an jede Mail-Adresse.

Ich brauche keinen (kann aber wenn ich will) separaten Account anlegen, sondern nutze meinen bestehenden Mailaccount.

Foto
1

Jemand richtet die Bridge ein (z.B. mailbox.org) und du musst lediglich sicherstellen, dass du den richtigen Identity-Server nutzt (https://github.com/kamax-matrix/matrix-appservice-email#via-identity-server) -> Emailaddresse zum Raum hinzufügen.

Das Gegenüber braucht selbstverständlich auch keinen Account, du selbst muss natürlich bei einem Homserver registriert sein (ohne Angabe von Email oder Telefonnummer möglich -> z.b. matrix.mailbox.org).

Foto
1

Matrix ist sicher eine feine Sache.

Aber zu kompliziert für Otto Normalchatter.


Klar kannst du jetzt sagen das ist doch nicht kompliziert.Stimmt, wenn du ein klein Wenig technisches Interesse hast.

Das fehlt den meisten Chattern aber 😉


Für Chat over E-Mail brauche ich keinen speziellen Server, keinen "Nerd" der mir bei der Einrichtung hilft.


Und dein Agument Mail ist nicht zum Chatten konzipiert...

...Viagra war auch nicht als Potenzmittel konzipiert 😂

Foto
1

So kompliziert ist das eigentlich gar nicht. Wenn man den Zugriff auf die eigenen Kontakte nicht erlaubt (was ich sehr sympathisch finde) und sich auch ohne Mailadresse und Telefonnummer anmeldet (sodass auch andere Nutzer mich nicht über ihre Kontakte finden können), dann muss man bloß den gesuchten Namen in der richtigen Schreibweise angeben, nämlich @[nutzername]:{servername], also z.B. @ichbins:matrix.org, wenn der Nutzer ichbins heißt und auf dem matrix.org-Server angemeldet ist (was die Standardeinstellung ist). Mit dieser Schreibweise funktionierte das Finden bei mir bisher immer (n=10). Dann muss man bloß noch den Schalter für die Verschlüsselung betätigen (nicht jede Bridge erlaubt Verschlüsselung), der für jeden Chat(raum) einzeln eingestellt werden kann/muss. Fertig und losgechattet!

Habe gestern in ein geselliges Beisammensein eine halbe Stunde Matrix-Party einschieben dürfen und auf eine Schlag vier z.T. nicht sehr technik-affine Neunutzer gewinnen können, weil sich auch die von der einfachen Einrichtung überzeugen ließen.

Foto
1

Ich frage mich, welchen Vorteil ein E-Mail Provider davon haben sollte, einen Matrix Server zu betreiben. Wirtschaftlich wäre der Vorteil eher gering, da es für die Mehrheit der E-Mail Nutzer kein Killerfeature ist.

Auch wenn Maitrix/Riot Enthusiasten davon träumen, ich glaube nicht, dass mailbox.org dadurch mehr Nutzer gewinnen würde und das es für eine nennenswerte Anzahl von Nutzern ein Grund wäre, zu mailbox.org zu wechseln.

Außerdem ist die Sicherheit von Matrix/Riot deutlich geringer als High End Messenger wie Threema oder Signal App. Das ist teilweise auch konzeptuell bedingt: https://www.privacy-handbuch.de/handbuch_74g.htm

Btw: Chat via E-Mail (wie Delta Chat) ist nur eine andere andere Darstellung von E-Mails. Die Nachrichten einer zusammengehördenen Konversation werden nicht einzeln dargestellt sondern zusammen in einem Fenster. Alle Nachteile von E-Mail gegenüber modernen Messengern hinsichtlich Sicherheit bleiben bestehen. (Ich frage mich, ob man das wirklich "Chat" nennen sollte oder ein nur "Chatview" in der E-Mail Ansicht?)

Foto
1

> Matrix ist sicher eine feine Sache.

> Aber zu kompliziert für Otto Normalchatter.


Ganz sicher nicht: Frankreichs Regierung verwendet mittlerweile komplett Matrix (afaik mind. 16 HomeServer - einer pro Ministerium). Denkst du die sind alle technikinteressiert? Dazu haben sie Riot (ein Matrix Client) geforked, der eine einfach UI bietet (inkl. Virenscanner :D)

Während Riot eventuell Laien überfordern könnte (während es grundsätzlich simpel ist, sind z.B. detailierte Einstellungen und technische Infos präsent), ist Tchap eine vereinfachte Version davon. Leider im Moment out of the box auch nur für jene verwendbar. Kann sich aber schnell ändern - da open source.


Glücklicherweise entspringen weitere neue einfache Alternativen aus dem Boden: Pattle und "Ditto Chat". Clients für Platformen fern von Android sind hier gelistet: https://matrix.org/clients/

Selbstverständlich ist es egal welche App man benutzt.


> Für Chat over E-Mail brauche ich keinen speziellen Server, keinen "Nerd" der mir bei der Einrichtung hilft.


Fragt sich wer überhaupt mit mir über Email chatten möchte? Nerds?

Oder nichtmal die: https://www.reddit.com/r/linux/comments/8dlbas/one_year_later_anyone_of_you_seriously_using/


> Und dein Agument Mail ist nicht zum Chatten konzipiert...

> ...Viagra war auch nicht als Potenzmittel konzipiert 😂

Darauf gehe ich mal nicht ein - und lasse einfach mal einen Link da: https://www.golem.de/news/chat-over-imap-gut-gemeint-ist-leider-nicht-gut-gemacht-1905-141009-3.html

Zur Info: Matrix nutzt das selbe Protokoll wie Signal, nur erweiter für größere Skalierung.

Wenn man wirklich interessiert ist sich mit dem Thema auseinanderzusetzen, kann man sich ja einmal einen fast aktuellen Überblick über Matrix geben und die Technologien selbst bewerten (https://www.youtube.com/watch?v=9cjUzftDuoQ , https://techcrunch.com/2019/10/10/new-vector-scores-8-5m-to-plug-more-users-into-its-open-decentralized-messaging-matrix/)

Foto
1

Ich glaube dir das es nicht schwer ist.

Und wie gesagt, ich finde das Matrixkonzept gut.


Aber...


Ich brauche einen Server der E-Mail unterstützt.

Und vor allem, ich muss niemanden überzeugen irgend etwas zu ändern.

Schlimmstenfalls musd ich mein Gegenüber bitten gelegentlich bzw. öfter seine Mails zu checken. Von mir aus mit der nativen Mailapp.


Die Signatur unter meinen Nachrichten hat schon ein paar meiner Freunde dazu gebracht dennoch Delta Chat zu installieren.

Ganz ohne explizite Delta Chat Party oder Überzeugungsarbeit zu leisten.


Das war der Grund warum ich kein XMPP mehr nutze. Ich habe keine Lust auf Missionieren.

Ich will doch einfach nur Chatten 😜

Foto
1

@4743814

Du solltest nicht Privacy mit Security verwechseln.

Matrix verwendet die gleiche Verschlüsselung wie Signal. Über Threema brauchen wir dank Closed Source gar nicht diskutieren.


1. Es wird angemerkt, dass Kontaktinfos auf den Servern gespeichert werden. Das wird gemacht, damit Leute sich gegenseitig finden können. Es ist optional, man wird gefragt ob man das möchte und es werden einem die Konsequenzen mitgeteilt. Von daher: Wo ist das Problem?


2. Alle Nachrichten werden für ewig auf den Homeservern gespeichert.

Ja klar: ich will ja auch via Web, Deskto und Handy chatten.

Ist es ein Problem? Nein: ist ja E2EE verschlüsselt...


3. Neben den Techies (Admins der beteiligten Server) und Hackern (April 2019: Matrix.org chat server hacked, chat history lost) haben auch Behörden im Rahmen von Auskunftsersuchen darauf Zugriff.

Ja, toll - auf verschlüsselte Nachrichten zu denen ihnen der Encryption Key fehlt....


4. Open Source Enthusiasten argumentieren oft, dass man bei förderalen Systemen problemlos einen eigenen Server aufsetzen kann, wenn man keinen vertrauenswürdigen Server findet. Bei Matrix/Riot ist dieses Argument falsch. Man muss nicht nur dem eigenen Server vertrauen sondern auch den Admins aller anderen Server, die an einer Kommunikation beteiligt sind.

Auch falsch: Durch E2EE Verschlüsselung ist es egal wie vertrauenswürdig der Server ist. Lediglich problematisch sind Metadaten, oder unverschlüsselte Chats/Bridges. Diese kann man jedoch auf dem eigenen vertrauenswürdigen Server halten - falls benötigt.


5. Der Homeserver wird diesen Löschwunsch auch an alle anderen Server weitergeben, die Kopien der Nachricht gespeichert haben. Die Dokumentation von Matrix weist aber darauf hin, das damit nur ein Wunsch des Nutzers zum Ausdruck gebracht wird. Es kann nicht sicher­gestellt werden, dass die anderen Server diesen Wunsch auch befolgen.

Selbes Problem bei Signal (und desssen neues Feature, das selbiges ermöglichen soll...)


Ergänzung: Der Artikel ist komplett veraltet und bezieht sich ja auf die Beta. Mittlerweile sind die Implementierungen aus der Beta raus:

https://matrix.org/blog/2019/06/11/introducing-matrix-1-0-and-the-matrix-org-foundation/

Foto
1

> Das war der Grund warum ich kein XMPP mehr nutze. Ich habe keine Lust auf Missionieren.

> Ich will doch einfach nur Chatten 😜


Mach ich auch längst über Matrix - dank Bridges.

Vorteil: Die anderen Leute können weiterhin ihren Messenger nutzen, und wenn sie Lust haben zusätzlich eine beliebige App zu Matrix installieren.

Mit diesen habe ich dann auch wirklich sichere Kommunikation, Videochat, Telefonie uvm.

Ich kanns sogar direkt über den Browser verwenden.

Foto
1

Ok, das ist ein gültiges Argument. 👍


Schaun wir mal was die Zukunft bringt.


Trotzdem glaube ich nicht das Mail-Provider großes Interesse daran haben ein seperaten Chatserver zu betreiben und zu warten.


Den Mailserver haben sie ohnehin und mit Chat over E-Mail können sie ein Zusatzfeature anbieten ohne irgend etwas zu ändern oder erhöten Wartungsaufwand.

OK, es gäbe dann verstärkten traffic wenn sich das in der Breiten Masse durchsetzen würde, so dass man ggf. die Harware aufrüsten muss.

Foto
1

> Den Mailserver haben sie ohnehin und mit Chat over E-Mail können sie ein Zusatzfeature anbieten ohne irgend etwas zu ändern oder erhöten Wartungsaufwand.

Jup, COI hat den Vorteil direkt von OX zu sein.


> Trotzdem glaube ich nicht das Mail-Provider großes Interesse daran haben ein seperaten Chatserver zu betreiben und zu warten.


Spricht doch nichts dagegen das Geschäftsfeld auszuweiten. Ich würde auch einen Aufpreis zahlen (und für meine Familie gleich mit).

An dem Konzept von mailbox.org ist man ja nicht nur im Bereich Email interessiert (wie auch in anderern Threads schon bzgl. anderen Themen erwähnt wurde).

Foto
1

@9483267

zu 1: Es werden nicht die optionale Informatione wie Fotos und FCards auf den Servern gespeichert, sondern alle Chat Kontakte in Matrix, alle Gruppenchat Mitgliedschaften usw.

(Es geht auch anders, siehe Signal App oder Threema. Dort werden keine Informationen auf den Servern gespeichert sondern nur lokal. Die Server transportieren nur E-2_E verschlüsselte Nachrichten, bei Signal sogar ohne das der Server die Absenderkennung sieht., Stichwort "Sealed Sender".)


Zu 2: Das die auf den Servern gespeicherten NAchrichen alle E-2-E verschlüsselt sind, ist wohl Dein Wunschraum. Bei meinem Riot Client muss die E-2-E Verschlüsselung 2x(!) per Hand aktiviert werden (einmal global und einmal seperat für jeden Chat). Für einen Normaluser ohne IT-Affinität, der davon noch nie gehört hat ist es wohl erfraglich, dass das aktiviert wird.

Selbst wenn man auf den Server E-2-E verschlüsselte Nachrichten findet, dann bleibt immernoch die Kommunikationsanalyse (wer kommunikziert wann mit wem). Im Zuge der aktuellen Diskussion über Kooperationspflichten von Messenger Betreibern mit Strafverfolgung und "Diensten" möchte man vielleicht nicht, das diese Daten auf dem Server rumliegen (Entsprechende Gesetze sind für 2020 angekündigt.)

Das es anders geht, zeigen wieder Threema und Signal App.


zu 4: NEIN - E-2-E Verschlüsselung ist (falls aktiviert) kein ausreichendes Argument. Es ist außerdem relevant, mit wem man kommuniziert und an welchen Gruppenchats man sich beteiligt. (Stichwort: Kommunikationsanalyse - falls Du schon mal davon gehört haben solltest)

zu 5: Verstehe ich nicht? Bei Signal werden keine Daten auf den Servern gespeichert, also von welchem neuen Feature redest Du, das das Löschen von Nachrichten auf Servern ermöglichen soll, die keine Nachrichten speichern?


Kleine Bemerkung zum Einsatz von Matrix bei der französischen Regierung: Es soll nach meinem Wissen ein Matrix Server in einem geschlossen, besonders gesichertem Regierungsnetz eingesetzt werden zur internen Komunikation ohne Kontakte nach außen. Das ist was ganz anderes als ein Einsatz als public Server.


Kleine Bemerkung zu Open Source: Das Open Source Konzept bietet nur ein mehr an Sicherheit, wenn Konzept und Code auch von Fachleuten evaluiert wird. Ich habe noch nicht davon gehört, dass sich Fachleute tiefgründiger mit dem Code van Matrix/Riot beschäftigt haben, im Gegensatz zu Threema oder Signal, wo es mehrere Audits inklusive vollständige Code Audits von Experten gab.

Foto
1

> Es werden nicht die optionale Informatione wie Fotos und FCards auf den Servern gespeichert, sondern alle Chat Kontakte in Matrix, alle Gruppenchat Mitgliedschaften usw.

Kontakte, Gruppenmitgliedschaften -> kann man auch bei Signal aufm Server abgreifen, sh. unten


> (Es geht auch anders, siehe Signal App oder Threema. Dort werden keine Informationen auf den Servern gespeichert sondern nur lokal. Die Server transportieren nur E-2_E verschlüsselte Nachrichten, bei Signal sogar ohne das der Server die Absenderkennung sieht., Stichwort "Sealed Sender".)

Da bist du nicht ausreichend informiert. Wenn der Server (der Server von Signal läuft bei Amazon :D) komprimiert ist ist die Metadataprotektion von Signal Schall und Rauch -> Abhängig von Amazon.

Moxie als Antwort (36C3): ja wir müssen halt irgendwo anfangen.


>Zu 2: Das die auf den Servern gespeicherten NAchrichen alle E-2-E verschlüsselt sind, ist wohl Dein Wunschraum. Bei meinem Riot Client muss die E-2-E Verschlüsselung 2x(!) per Hand aktiviert werden (einmal global und einmal seperat für jeden Chat).

E2EE ist in Riot ab Ende Januar standardmäßig aktiv. Matrix musste auch erstmal irgendwo anfangen (bis dezentrale E2EE endlich mal stabil ist - wie Moxie schon sagt - es ist ein bisschen schwieriger, als wenn man zentral ist).

Ich musste darüber hinaus nichts global aktivieren und, wenn E2EE deaktiviert ist, ist das ziemlich präsent direkt wenn du eine Nachricht schreibst.

Es stünde jedem frei in seinem Client E2EE standarmäßig aktiv zu haben.


BTW. das kommt raus, wenn Matrix und Moxie miteinander reden:

"instead we (Matthew Hodgson und Moxie) ended up talking it through a few times in person to see how misaligned we really were. The conclusion was that we agreed to disagree and Moxie said he’d be happy to be proved wrong, and wished us good luck."

Auch wenn Riot etc. noch nicht perfekt sind, wird konstant daran weitergerarbeitet - und selbst nach Moxie scheint es prinzipiell (wenn auch nicht praktisch und langfristig) machbar zu sein.

Was sich jedoch scheinbar nie ändern wird ist bei Signal die Bindung an Telefonnummern (ein Grund ist z.B. weil man sowieso Push Notifications verwendet) und die Zentralität


> Selbst wenn man auf den Server E-2-E verschlüsselte Nachrichten findet, dann bleibt immernoch die Kommunikationsanalyse (wer kommunikziert wann mit wem). Im Zuge der aktuellen Diskussion über Kooperationspflichten von Messenger Betreibern mit Strafverfolgung und "Diensten" möchte man vielleicht nicht, das diese Daten auf dem Server rumliegen (Entsprechende Gesetze sind für 2020 angekündigt.)

Das Problem hast du bei Signal mehr wie bei Matrix.

Nur der Server mit dem du verbunden hast, hat deine Metadaten. Wenn du selber hostest, ist das Problem damit nichtig. Wenn du mailbox.org traust, ebenso. Und, wenn nicht: Durch Förderiertheit ist nur ein Bruchteil der Metadaten verfügbar, weil nicht alle Teilnehmer am Server hängen).

In Zukunft wird sogar in Erwägung gezogen optional einen Server im Client zu haben. Dies würde Matrix quasi zu E2EE P2P machen. Kann man ja jetzt schon machen.


> zu 4: NEIN - E-2-E Verschlüsselung ist (falls aktiviert) kein ausreichendes Argument. Es ist außerdem relevant, mit wem man kommuniziert und an welchen Gruppenchats man sich beteiligt. (Stichwort: Kommunikationsanalyse - falls Du schon mal davon gehört haben solltest)

Warum ist es nicht ausreichend? Metadaten von Signal -> sh. oben


> zu 5: Verstehe ich nicht? Bei Signal werden keine Daten auf den Servern gespeichert, also von welchem neuen Feature redest Du, das das Löschen von Nachrichten auf Servern ermöglichen soll, die keine Nachrichten speichern?

Löschen von den Clients, bzw. löschen von irgendjemanden.

Löschen kann man nicht forcieren.


>Kleine Bemerkung zum Einsatz von Matrix bei der französischen Regierung: Es soll nach meinem Wissen ein Matrix Server in einem geschlossen, besonders gesichertem Regierungsnetz eingesetzt werden zur internen Komunikation ohne Kontakte nach außen. Das ist was ganz anderes als ein Einsatz als public Server.

Falsch: Es werden bereits jetzt mindestens 16 Server betrieben - pro Ministerium einer. 5,5 Millionen User.

Im Moment ist es noch intern, doch ist es in Planung das nach außen zu öffnen. Auch andere Regierungsinstitute in anderen Ländern überlegen oder haben schon zu Matrix gewechselt.


> Kleine Bemerkung zu Open Source: Das Open Source Konzept bietet nur ein mehr an Sicherheit, wenn Konzept und Code auch von Fachleuten evaluiert wird.

Matrix verwendet die gleiche Verschlüsselung wie Signal. Und Sicherheit ist nicht von einer Evaluierung von Fachleuten abhängig sondern von der Implementierung.

K.a. ob es solche gab, aber ich denke mal kaum, dass Frankreich keine Evaluierung durchgeführt hat.


Sämtliche Probleme von Signal bzgl. Telefonnummern und dadurch Geotracking ignorierst du darüberhinaus.

Auf dem 36C3 hat man ja mal gesehen wie der Gründer von Signal sich seine Zentralität zu rechtfertigen versucht. Kurzzusammenfassung: E2EE mit Dezentralisierung ist zu aufwändig

Foto
1

Signal App und Amazon Server:

Die Amazon Server nutzt Signal als Anti-Zensur Feature (Cloud Fronting). Die Amazon Server sehen eine TLS verschlüsselte Verbindung von einer IP Adresse (Absender) zu einem Signal Server. Die TLS Verschlüsselung setzt alle Sicherheitsfeature nach dem Stand der Technik um inklusive Zertificate Pinning.

Welche Metadaten kann Amazon sammeln? Jemand der zufällig gerade die IP xx.xx.xx.xx hat, hat einen Signal Server kontaktiert.

Der Signal Server, an dem die TLS Verbindung terminiert, sieht den Empfänger der Nachricht (oder Status Message?) und als Absender ein IP-Adresse von einem Amazon Server (der Absender ist als "Sealed Sender" E-2-E verschlüsselt).

Welche Metadaten kann der Signal Server sammeln?


Der Signal Server kennt keine Mitgliedschaften in Gruppen und keine Kontaktlisten. Das ist Teil des Sicherheitskonzeptes von Signal und ich habe keine ernsthafte Publikation gelesen, die das in Frage stellt. Bitte einen Link für die Behauptung, das Signal Server die Gruppenmitgliedschaften kennen sollen oder die Kontakte, mit denen man chattet. (Gleiches gilt für Threema, hier durch Audits bestätigt.)


Soviel zu Signal und Metadaten. Aber wir können auch gern über Threema diskutieren als "Stand der Technik" bei Messengern und mit Matrix/Riot vergleichen. Threma verwendet keine Telefonnummer und bietet sowohl vertikale als horizontale Anonymität und setzt alle Sicherheitsempfehlungen nach dem Stand der Technik um, im Gegensatz zu Matrix (durch zwei Threema Audits bestätigt.)


> Auch andere Regierungsinstitute in anderen Ländern überlegen oder haben schon zu Matrix gewechselt.

Die Schweiz hat sich gegen Matrix entschieden und in Deutschland kenne ich nur Behörden, die zur Zeit den Einsatz eines Messengers evaluieren und dabei Matrix in die Überlegung einbeziehen, oder die die Evaluierung abgeschlossen haben und sich gegen Matrix und für Wire u.ä. entschieden haben.


> Nur der Server mit dem du verbunden hast, hat deine Metadaten.

Korrekter Weise muss man formulieren, dass alle Server, die an einer Kommunikation beteiligt sind, die Metadaten dieser Kommunikation haben. Man muss demzufolge auch allen diesen Servern vertrauen.


> In Zukunft wird sogar in Erwägung gezogen optional einen Server im Client zu haben. Dies würde Matrix quasi zu E2EE P2P machen. Kann man ja jetzt schon machen.

Bis dahin gibt es noch viele Problem zu lösen, beispielsweise wie diese Super-Chat-Client-Server zu gültigen, von einer CA signierten Zertifikaten kommen sollen.

Aber das wäre ein Argument gegen den Betrieb eines Matrix Servers durch MBO. Wenn zukünftig jeder Client seinen eigene Server enthält, warum sollte MBO dann einen Server ausfetzen und pflegen?


Das Matrix die gleiche E-2-E Verschlüsselung wie Signal verwendet, ist ein Argument, das ich von Amateuren immer wieder höre. Matrix verwendet die gleichen Krypto-Routinen wie Signal, hat aber die Schlüsselverwaltung verändert, um den Multi-Device Support nach ihren Vorstellungen anzupassen. Dadurch wurde das Gesamtkonzept der E-2-E Verschlüsselung geschwächt und Matrix/Riot sind damit anfälliger für Man-in-the-middle Angriffe auf die E-2-E Verschlüsselung geworden.

Es hat seinen Grund, warum man bei Threema oder Signal ein Hauptgerät benötigt, das alle anderen Geräte verifiziert. Wollte man bei Matrix aber nicht... Also hat man die E-2-E Verschlüsselung verändert (die Schlüsselverwaltung). Das Matrix die gleiche E-2-E Krypto verwendet wie Signal ist also nicht korrekt sondern nur ein Werbeslogan, der sich auf die Krypto Routinen bezieht und nicht auf das gesamte Sicherheitskonzept.

Foto
1

> Die Amazon Server nutzt Signal als Anti-Zensur Feature (Cloud Fronting).

nutztE

Sieht man ja mal gleich wieder wie "toll" Zentralisierung ist.

>Welche Metadaten kann der Signal Server sammeln?


Das darfst gern Moxin und dessen Kritiker (sh. 36C3) fragen. Der kennt sich damit besser aus.


>Korrekter Weise muss man formulieren, dass alle Server, die an einer Kommunikation beteiligt sind, die Metadaten dieser Kommunikation haben. Man muss demzufolge auch allen diesen Servern vertrauen.

Quelle?

Der neuste Blogpost suggeriert, dass die 2016 präsentierte Lösung (o.ä.) (https://matrix.org/~matthew/2016-12-22%20Matrix%20Balancing%20Interop%20and%20Privacy.pdf) bereits umgesetzt ist.


> Dadurch wurde das Gesamtkonzept der E-2-E Verschlüsselung geschwächt und Matrix/Riot sind damit anfälliger für Man-in-the-middle Angriffe auf die E-2-E Verschlüsselung geworden.

Inwiefern das denn?

Und soweit ich gehört habe ist es eine Erweiterung des Algorithmus.


>Es hat seinen Grund, warum man bei Threema oder Signal ein Hauptgerät benötigt, das alle anderen Geräte verifiziert.

Verifizierungsmöglichkeiten hast du auch in Riot mit allen(!) Geräten.

Crossverificationdemo: https://youtu.be/9cjUzftDuoQ?t=2908


Audits bei Threema sind übrigens mit dem nächsten Update wieder nichtig. Selbes Spiel wie bei WhatsApp.

Und JFYI: https://matrix.org/blog/2016/11/21/matrixs-olm-end-to-end-encryption-security-assessment-released-and-implemented-cross-platform-on-riot-at-last/


> Die Schweiz hat sich gegen Matrix entschieden und in Deutschland kenne ich nur Behörden, die zur Zeit den Einsatz eines Messengers evaluieren und dabei Matrix in die Überlegung einbeziehen, oder die die Evaluierung abgeschlossen haben und sich gegen Matrix und für Wire u.ä. entschieden haben.

Die Schweiz hat sich für ihren propriertären Inlandsmessenger entschieden - oh Wunder.

“France and the US Department of Public Safety are already live, and several other countries are in the pipeline,” he adds on public sector deployments. “We expect Matrix to become the backbone for secure intra- and inter-governmental communication in the future.”

Foto
1

> Der neuste Blogpost suggeriert, dass die 2016 präsentierte Lösung (o.ä.) bereits umgesetzt ist.

In der verlinkten Präsentation sieht man auf Seite 19 den aktuellen Stand unter dem Titel "Home Server expose metadata too..." (Die Homeserver sammeln die Metadaten nicht nur sondern verteilen sie auch noch...)

Als Abhilfe wird ab Seite 21 vorgeschlagen, wie man das ändern KÖNNTE. Ein POND ähnliches Protokoll könnte verwendet werden und Tor Onion Router für die Server-2-Server Kommunikation. Und davon soll etwas umgesetzt sein? Wirklich? Matrix integriert jetzt Tor und hat ein POND ähnliches Protokoll, das sich übrigens fundamental von dem Matrix Protokoll unterscheidet, das ich kenne, und eher dem "Sealed Sender" von Signal ähnlich ist? In welchem Blogpost steht das?

In dem letzten Blogpost "Privacy vs Freedom" steht am Ende eine Vision:

> ...you can run your server off the grid, and don’t need to register with a phone number, and in future may not even need a server at all...

Ok - wenn Du von einem einen Open Source Messenger mit starker E-2-E Verschlüsselung, serverloser Infrastruktur, ohne Telefonnummer und ohne Metadaten Probleme träumst - das gibt es schon und heißt Tox. Da brauchst Du also nicht 10 Jahre warten...

Hier eine Anleitung für den Desktop Client qTox: https://www.privacy-handbuch.de/handbuch_83.htm

Wenn so ein Messenger Deine Wünsche erfüllt, dann nutze ihn und unterstütze das Projekt.

Foto
1

> Als Abhilfe wird ab Seite 21 vorgeschlagen, wie man das ändern KÖNNTE. Ein POND ähnliches Protokoll könnte verwendet werden und Tor Onion Router für die Server-2-Server Kommunikation. Und davon soll etwas umgesetzt sein? Wirklich? Matrix integriert jetzt Tor und hat ein POND ähnliches Protokoll, das sich übrigens fundamental von dem Matrix Protokoll unterscheidet, das ich kenne, und eher dem "Sealed Sender" von Signal ähnlich ist?


Sorry, hab mich diesbezüglich verlesen.

Aber Tor ist nicht nötig dafür. Es würde reichen, wenn das Prinzip nachgeahmt werden würde. Eventuell gibts auch andere Lösungen.

Es wird immerhin daran gearbeitet. Gerade wohl eher Crosssigning für E2EE als Default, aber wird werden nach der FOSDEM 2020 mehr wissen.

>Wenn so ein Messenger Deine Wünsche erfüllt, dann nutze ihn und unterstütze das Projekt.Nein, danke. Matrix ich suche etwas explizit mit Server.Matrix hat bzw. wird alles haben was ich benötige.

Ich will nämlich nicht nur sicher, sondern auch bequem.

D.h. kein Lockin, kein manuelles Backup, beliebig viele Geräte, Sync, etc, aber gerne mit OptIn in restriktivere Varianten.

Foto
Foto
1

Zum Abschluss noch kurz:


Die Profis (mailbox.org) stehen Chat over Email offensichtlich nicht so kritisch gegenüber:


https://mailbox.org/de/post/ox-summit-2019-in-madrid-mailbox-org-beim-branchentreff

Foto
2

Dass man mit unverschlüsselten eMails, WhatsApp und Facebook jeden Krieg direkt verloren hat, wird auch von unserer Regierung endlich erkannt:

"Bundesverteidigungsministerin Annegret Kramp-Karrenbauer hatte Mitte Dezember im Bundestagsausschuss Digitale Agenda erklärt, es solle ein "sicheres WhatsApp" für die Soldaten geben. Als Client setzt das Ressort laut Tauber wie in Frankreich auf die freie Software Riot für Android und Web-Browser, die eine Ende-zu-Ende-Verschlüsselung unterstützt und als Referenzimplementierung von Matrix für Einsteiger sowie als Alternative vor allem zu Slack gesehen wird. Auf Serverseite liefen Synapse und Sydent. Alle Bestandteile basierten auf der freien Apache License 2.0.

Der BwMessenger solle zumindest von den Streitkräften "flächendeckend" verwendet werden. Das absehbare Entwicklungspotenzial reiche aber weit darüber hinaus. Ziel der Bundesregierung sei generell die sichere, alle Ministerien und nachgeordnete Behörden umfassende Nutzung von Messenger-Diensten."

Quelle:

https://www.heise.de/newsticker/meldung/Open-Source-Bundeswehr-baut-eigene-verschluesselte-Messenger-App-4623404.html