Cover Image

Sicheres Messenging mit Tox-Chat

22. Februar 2019 - Lesezeit: 7 Minuten

Ich nehme immer mehr Abstand von Technologien, die mich permanent überwachen, auswerten und Verhaltensprofile von mir erstellen. Mein Android-Handy, mit dem ich derhinsichtlich auch nicht glücklich bin, habe ich mit Exodus privacy von allerhand in Apps versteckten Trackern (samt diesen) befreit. Mein Windows 10 auf dem Notebook habe ich ersatzlos gestrichen und gegen das großartige Manjaro-Linux ersetzt, weil mich die eingebauten Spionagetools und die Selbstverständlichkeit, mit welcher Microsoft bei der Installation und auch wieder bei späteren Update einfach die Spionage anschaltet, massiv angekotzt hat. Aber eines bleibt: Wie kann ich mit anderen Leuten chatten, ohne, dass alles, was ich schreibe oder mit wem ich kommuniziere von zentralen Stellen mitgelesen werden kann?

Was ich brauche

Ich habe mir Gedanken gemacht, was ich eigentlich möchte und dabei ist Folgendes herausgekommen:

  • Ich möchte immer verschlüsselt chatten, damit niemand mitlesen kann, von dem ich nicht weiß.
  • Ich möchte keine zentralen Server haben, worüber die Daten laufen oder worin die Nutzer erfasst sind, weil ich diese nicht kontrollieren kann.
  • Ich möchte mich anmelden können, ohne eine Telefonnummer verwenden zu müssen. Eine Telefonnummer brauche nicht ich, sondern jemand anderes, um mich eindeutig identifizieren zu können. Ich muss mich nicht eindeutig identifizieren, Leute, die ich nicht mag, schmeiße ich aus dem chat raus. Und über die Telefonnummer finden muss ich auch niemanden.
  • Ich möchte, dass dieses Progamm auf möglichst vielen Plattformen läuft, damit viele Leute mit mir chatten können, egal, welches Betriebssystem sie benutzen.
  • Ich möchte, dass der gesamte Code des Programms Open Source ist, keiner Firma gehört und nicht von Regierungen oder großen Stiftungen finanziert wird.
  • Ich möchte, dass mein Geschriebenes nicht irgendwo unverschlüsselt rum liegt, so wie bei E-Mail-Servern.

Ich weiß nicht, was Eure Prioritäten sind. Vielleicht, dass es auf einem Handy läuft? Ich nehme davon immer mehr Abstand. Aber das liegt eher an den Snowden-Aufklärungen und an meinem Minimalismus, als daran, dass ich Handys nicht mag. Mehr gute nformationen zur Sicherheit von Messengern gibt es bei mir oder auf dem Kuketz-Blog.

Was ich kriege

Tox kann viel mehr, als ich brauche. Ich hatte es vor einiger Zeit einmal ausprobiert, hatte da aber die Erfahrung von etlichen Bugs und auch einigen Abstürzen gemacht. Nun, Programme werden ja hoffentlich besser mit der Zeit. Was mir von Anfang an gut gefallen hat ist, dass das Programm übersichtlich und ähnlich einfach zu bedienen ist, wie zum Beispiel Skype. Es beherrscht auch irgendwelche Tricks, dass ich von außen anrufbar bzw. erreichbar bin, ohne, dass ich an meinem Router etwas Besonderes einstellen muss. Das unterscheidet es zum Beispiel von Retroshare.

Ich will eigentlich nur chatten, aber das Teil kann noch viel mehr: Man kann prinzipiell telefonieren, verschlüsselte Video-Calls machen. Man kann Dateien ohne zentrale Server übertragen, direkt von Rechner zu Rechner und es gibt Gruppenchats. Darüber hinaus kann man auch den eigenen Bildschirm teilen, wenn man mal jemandem helfen muss.

Aktuell beherrschen noch nicht alle Tox-Clients alle Features. In dieser Matrix kann man sehen, wie der aktuelle Entwicklungsstand ist (englisch).

Videoeinführung

Im Rahmen des Vortrages "Wie schützen wir uns vor dem Überwachungsstaat" haben Markus Möller und Toni Mahoni Alternativen zu unsicheren Mainstreamprodukten aufgezeigt. Den Ausschnitt über Tox kann man hier betrachten (Video bei Youtube). Das Video ist schon von 2017, ich finde es aber ganz gut und viele wichtige Informationen werden vermittelt. Im Video wird der Client qTox erklärt, das ist wohl auch das am Weitesten verbreitete Programm.

Zentrales registrieren auf toxme.io

Man kann sein eigenes Profil, also die öffentliche ID und den Nutzernamen, zentral bei toxme.io registrieren. Das ist dann ein zentrales Verzeichnis, aber die Registrierung is pseudonym, also es muss nicht ein echter Name verwendet werden.

Es ist dabei wichtig zu wissen, dass jedes Gerät, auf dem man Tox installiert hat, zur Zeit eine eigene ID hat. Es gibt eben nichts Zentrales. Aber wenn man ein Handy und ein Notebook hat, kann man natürlich seinen Freunden auch einfach beide IDs mitteilen.

Erfahrungen zum Februar 2019

Mit meiner Freundin und einem Freund habe ich nun qTox im Dreiergespann ausprobiert: Windows, Mac und Linux. Wir alle drei waren über Router (mit NAT) mit dem Internet verbunden.

Was läuft? Ein Chat 1:1 und auch ein Gruppenchat funktionieren problemlos. Ist man nur zu zweit, funktionieren Videotelefonie und Anrufe problemlos, wobei der Mac die Kamera nicht einstellen konnte. Dafür, dass das Ganze ohne zentrale Server läuft, gar nicht schlecht. Wir mussten auch nichts an unserem Router ändern, also Portfreigaben oder Ähnliches. Dateien hin- und herschicken lief und auch Screenshots anfertigen und versenden.

Probleme gab es bei der Nutzung zu dritt und wahrscheinlich mehr. Dateien im Gruppenchat konnten nicht versendet werden. Gruppenanrufe kamen immer nur bei einem Teilnehmer von zwei möglichen an.

Chat-Gruppen

Wenn alle das Programm beendet hatten, waren auch die definierten Chatgruppen komplett weg. Generell ist es wohl so, dass jeder, der in einer Chatgruppe ist und sein Programm stoppt und wieder startet neu in die Gruppe eingeladen werden muss. D.h., die Gruppen sind nicht persistent, sondern leichtgewichtig - immer nur für die laufende Session definiert. Man kann auch nicht von außen Gruppen beitreten, sondern immer nur von Freunden darin aufgenommen werden. Sie eigenen sich daher also nicht, um zum Beispiel eine Support-Gruppe bereitzustellen.

Fazit

Im Prinzip alles super, wenn man nur zu weit chatten will. Alle Gruppenfunktionen sind aus meiner Sicht noch ungenügend. Mindestens müssten Gruppen erhalten bleiben, wenn man mal aus dem Programm raus geht und wieder rein. Da ist Retroshare deutlich weiter.