Jabber/XMPP - Empfehlungen?

[cla]

Wie schaut eigentlich die Situation mit Jabber/XMPP so aus? Das letzte was ich so gehoert hatte, war das Google den Support eingestellt hatte von deren Seite; Wenn ich auf jabber.org gehe, ist seit Jahren keine Neu-Registrierung mehr moeglich und deren SSL Zertifikat ist jetzt schon seit 2 Jahren abgelaufen...scheint sich auch keiner mehr drum zu kuemmern. Egal wo ich hinschaue, erweckt es nur den Eindruck einfach keine Zukunft mehr zu haben?
Und wenn ich irgendwo ein Lichtblick finde (z.B. DuckDuckGo), dann allenfalls halbherzig und Testphase usw.

Gibt es momentan noch empfehlenswerte Jabber/XMPP Server welche die folgenden Bedingungen erfuellen?
- Zuverlaessig
- Betreiber mit guter Reputation
- Zukunftssicher (Betreiber wird es auch in ein paar Jahren noch bereitstellen)
- PFS und im allgemeinen aktuelle Krypto
- wenn moeglich Server/Betreiber in einem freien Land

Bleibt mir nichts anderes uebrig etwas selbst aufzusetzen?
Oder gibts was besseres, was bisher an mir vorbeiging?

 

[Athaba]

Es gibt diverse gute Jabber-Server. Es gibt einige recht große. Allerdings bin ich bei kleineren, also kann ich dir jetzt nichts groß empfehlen.

Was ist ein freies Land?

Zu Krypto: Wenn dir das wichtig ist würde ich alles ignorieren und einfach darauf schauen, dass du auf OTR vertraust und zwar ausschließlich. Andere Dinge bringen nicht wirklich was. Das ist jetzt vielleicht etwas extrem, aber mit OTR brauchst du theoretisch kein TLS/sicheres Passwort bzw. solltest in dem Fall vielleicht deinen OTR-Key verschlüsseln.

Und dann geht es ja quasi nur noch darum was zukunftssicheres zu haben. Vielleicht der CCC-Server? Der sollte wohl hoffentlich gut sein und bleiben.

Das mit Google ist komisch. Ich habe das selbe gehört, aber als ich das letzte Mal probiert habe konnte ich mich noch mit Gmail-Leuten unterhalten.

Ich kann dir was zur Situation in Österreich erzählen. Ich habe jaim.at verwendet, wo ich nicht weiß von wem das gehostet wird, klein, aber fein. Habe ich eine ganze Weile verwendet. jabber.at wird von der Fachschaft der TU-Wien betrieben. Funktioniert soweit mir bekannt auch immer.

Seit einigen Jahren nutze ich aber meine eigenen Services (XMPP, Mumble, Mail, ...). Ist halt die Alternative, wenn dir niemand gut genug ist. prosody und self signed oder StartSSL-Cert aufsetzen ist schnell aufgesetzt un bei solchen Protokollen geht solange du bei dem Üblichen bleibst der Wartungsaufwand gegen null. Und physikalische Server gibt es auch für deutlich unter 10 EUR bei diversen Hostern in Europa. Ansonsten tut es auch ein ARM-Board deiner Wahl.

DuckDuckGo habe ich selbst nie verwendet, aber ich denke, der wird auch bleiben. jappix.com scheint ein großer Server zu sein.

 

[NaWi]

Österreich und freies Land, das passt nicht.
Hinter jaim.at steckt eine Wiener EDV Firma (laut whois, down wegen Wartungsarbeiten).
jabber.at wirb auf der Homepage, dass es 2013 einen Gerichtsbeschluß (court order) gab, für 2014 und 2015 fehlen die Angaben https://jabber.at/en/privacy-policy

 

[Rakor]

Ich habe auch das Gefühl, dass es mehr zu privaten Servern geht. Bei mir läuft prosody auch auf meinem eigenen Server. Das Prinzip von XMPP erlaubt, um nicht zu sagen unterstützt es, dass die Server verteilt sind. Und da es heute vServer für unter 10 Euro/Monat gibt denke ich ist das der Weg den die Meisten Leute gehen die sich wirklich dafür interessieren. Otto-Normalo verwendet eh was gerade Hip ist (und das ist XMPP eben nicht - wenn nicht gerade im Backend von Google verwendet) also Facebook, WhatsApp oder sonst ein Kram. Für Datensicherheit interessiert sich da eh keiner.
Leider musste ich feststellen, dass abseits des minimalen Standards von XMPP viele Clients nicht richtig miteinander können. OTR, Fileaustausch (Bilder), Offlinenachrichten, etc. Vieles funktioniert innerhalb des selben Clients noch so Lala... aber sobald zwei unterschiedliche Clients ins Spiel kommen ist es vorbei.
Ich tausche mich derzeit über den XMPP hauptsächlich mit meiner Freundin aus. Die Verbindungen laufen über SSL und die Daten liegen auf meinem eigenen Server. Das finde ich ganz gut. (Man findet ja kaum Leute die XMPP überhaupt einsetzen). Aber alleine einen Android-Client zu finden der was taugt ist eine Odyssee..... Wir verwenden derzeit Xabber, aber die Option Bilder auszutauschen fehlt häufig dann doch, dann muss man auf eMail ausweichen... Alles nicht optimal wie ich finde. OTR hat mit keinem Client richtig funktioniert (wenngleich nicht so wichtig auf dem eigenen Server).

 

[NaWi]

Ich habe auch das Gefühl, dass es mehr zu privaten Servern geht. Bei mir läuft prosody auch auf meinem eigenen Server. Das Prinzip von XMPP erlaubt, um nicht zu sagen unterstützt es, dass die Server verteilt sind. Und da es heute vServer für unter 10 Euro/Monat gibt denke ich ist das der Weg den die Meisten Leute gehen die sich wirklich dafür interessieren. Otto-Normalo verwendet eh was gerade Hip ist (und das ist XMPP eben nicht - wenn nicht gerade im Backend von Google verwendet) also Facebook, WhatsApp oder sonst ein Kram. Für Datensicherheit interessiert sich da eh keiner.
Leider musste ich feststellen, dass abseits des minimalen Standards von XMPP viele Clients nicht richtig miteinander können. OTR, Fileaustausch (Bilder), Offlinenachrichten, etc. Vieles funktioniert innerhalb des selben Clients noch so Lala... aber sobald zwei unterschiedliche Clients ins Spiel kommen ist es vorbei.
Ich tausche mich derzeit über den XMPP hauptsächlich mit meiner Freundin aus. Die Verbindungen laufen über SSL und die Daten liegen auf meinem eigenen Server. Das finde ich ganz gut. (Man findet ja kaum Leute die XMPP überhaupt einsetzen). Aber alleine einen Android-Client zu finden der was taugt ist eine Odyssee..... Wir verwenden derzeit Xabber, aber die Option Bilder auszutauschen fehlt häufig dann doch, dann muss man auf eMail ausweichen... Alles nicht optimal wie ich finde. OTR hat mit keinem Client richtig funktioniert (wenngleich nicht so wichtig auf dem eigenen Server).

Das mit den Clients kenne ich leider auch. Alles was über Text hinaus geht, wird schwierig. Aber selbst, wenn man den richtigen (eigenen Server) und passende Clients hat, bleibt immer noch die Frage, des sicheren Landes.

Ich bin durch XMPP gerne uncool ...

 

[Athaba]

Österreich und freies Land, das passt nicht.

Deshalb ja die Frage was du darunter verstehst. Mir fällt jetzt kein Land ein, dass ich in diesem Zusammenhang als frei bezeichnen würde. So wie ich das sehe gibt es Länder, die riesige Geheimnisse tragen (geheime Gesetze, geheime Gerichte, geheime Interpretationen, geheime Abkommen, geheime politische Instrumente, geheime Militär-/Spionagebasen - alles allein durch die Geheimhaltung nicht wirklich demokratisch, weil das Volk wohl kaum über etwas wovon es nichts weiß entscheiden kann), Ländern, denen es egal ist, ob ihre dreckigen Praktiken bekannt sind und Mischungen daraus. In Europa ist es meist eine Mischung aus beidem. Zumindest fällt mit spontan kein Gegenbeispiel ein.

Aber wie gesagt, ich würde Server X nehmen und keinesfalls auf den Provider auch nur im Entferntesten vertrauen. Wenn du das tust, dann machst du meines erachtens ohnehin einen Fehler, denn nach anständiger Verschlüsselung (eben allem voran OTR) geht's um Metadaten und werden ja ohnehin auf allen möglichen Enden gesammelt.

Wenn du Metadaten sammeln vorbeugen willst, dann ist XMPP nicht unbedingt was du willst. Dann entweder auf eine Zukunft von Pond (oder vielleicht Freenet, GNUnet und andere Sachen) hoffen, denn nach der Verschlüsselung geht es um ein "wer mit wem" und wenn da zwei Leute kommunizieren, vielleicht sogar auf zwei verschiedenen Servern, dann haben mindestens dein Provider, der Provider der anderen Person, die Leute, die den bzw. die Server betreiben, so wie die ISPs dahinter, etc. diese Informationen und kann sogar in vielen Fällen auf den Inhalt schließen. Tor kann da ein wenig helfen deine Verbindung von einem Exit-Node zustande kommen zu lassen, was es schwerer macht, aber wenn da zwei Leute zur selben Zeit online gehen, sich zu XMPP-Servern verbinden, etc., dann entspricht das ungefähr dem, was man auch sonst weiß.

Ist eben je nach Grad der Paranoia, die man hat, aber ich würde sehr empfehlen nicht in die Falle zu tappen und dann erst wieder jemanden blind vertrauen, denn gerade so große Vertrauenspersonen sind häufig Angriff von allen möglichen Formen von Attacken, lassen trotzdem Buggy Code laufen, etc. Je mehr du in Richtung dezentral gehst und das ist sowohl eigener Server, als auch lokal verschlüsseln, desto größer ist für gewöhnlich die Hürde Teil eines generellen Daten Abgreifens zu sein.

Und um nochmal auf Gesetze zurückzukommen. Ich will zwar jetzt nicht allzu politisch werden aber mal ehrlich, die USA scheinen nicht die Einzigen mit geheimen Gesetzen zu sein. Österreich hat geheime Abkommen, Deutschland hat ein Gesetz zur Beschränkung des Brief-, Post- und Frenmeldegeheimnisses im Grundgesetz und wenn man auf Skandinavien hofft muss man feststellen, dass die USA dort für die Sicherheit verantwortlich sind. Als frei in diesem Zusammenhang würde ich keines dieser Länder bezeichnen.

Hinter jaim.at steckt eine Wiener EDV Firma (laut whois, down wegen Wartungsarbeiten).
jabber.at wirb auf der Homepage, dass es 2013 einen Gerichtsbeschluß (court order) gab, für 2014 und 2015 fehlen die Angaben https://jabber.at/en/privacy-policy

Ich auch nur geschrieben, dass das die Situation ist und keinen der beiden vorgeschlagen, sondern gemeint man solle zum CCC (der unter DOS-Attakcken steht) gehen oder einen Server betreiben sollte.

Kurzum: Bitte, bitte vertraut keinesfalls darauf, dass ein Land euch was vor irgendwas schützt, vor allem nicht, wenn es hart auf hart kommt. Ein gut bezahlter Anwalt hilft vielleicht ein wenig, aber außerhalb von politische Aktivität sollte man seine Sicherheiten eher auf der technischen Seite suchen. Schlussendlich könnt ihr weder wissen, was mit dem nächsten Gesetz passiert, ob sich Leute an Gesetze halten, wie im schlimmsten Fall der Richter drauf ist, ob es irgendwas von den oben genannten geheimen Sachen gibt.

Ja, ich weiß schon, man kann trotzdem das Beste nehmen, nur zum Einen hat man dann das Problem, dass dort dann alle sind und es deshalb gezielte Attacken gibt (ob jetzt politisch oder anders) und zum Anderen kann(!) das dazu führen, dass man glaubt man ist eh relativ sicher vor irgendwas. Soll heißen: Ja, wäre toll in einem tollen Land zu sein, aber passt auf, dass euch das nicht zu sehr täuscht.

Skandinavien und Island klangen immer gut bis eben rauskam, dass da vieles an Kabeln zusammenkommt und da im großen Stil mitgelesen wird.

Überall selbst Hand anlegen: Politisch aktiv werden (und ich meine da nicht einfach Partei X wählen oder beitreten! Partei), Code schreiben, reviewen, Bugs reporten, Überlegungen anstellen, wie man Angriffe ausführen könnte und wie man gegen sie vorgeht, Leute dazu bringen Krypto auch zu verwenden (lasst es cool und hipp werden!), und von ihren Rechten Gebrauch zu machen, sonst wird die Situation nur noch schlechter.

 

[NaWi]

Deshalb ja die Frage was du darunter verstehst. Mir fällt jetzt kein Land ein, dass ich in diesem Zusammenhang als frei bezeichnen würde. So wie ich das sehe gibt es Länder, die riesige Geheimnisse tragen (geheime Gesetze, geheime Gerichte, geheime Interpretationen, geheime Abkommen, geheime politische Instrumente, geheime Militär-/Spionagebasen - alles allein durch die Geheimhaltung nicht wirklich demokratisch, weil das Volk wohl kaum über etwas wovon es nichts weiß entscheiden kann), Ländern, denen es egal ist, ob ihre dreckigen Praktiken bekannt sind und Mischungen daraus. In Europa ist es meist eine Mischung aus beidem. Zumindest fällt mit spontan kein Gegenbeispiel ein.

Aber wie gesagt, ich würde Server X nehmen und keinesfalls auf den Provider auch nur im Entferntesten vertrauen. Wenn du das tust, dann machst du meines erachtens ohnehin einen Fehler, denn nach anständiger Verschlüsselung (eben allem voran OTR) geht's um Metadaten und werden ja ohnehin auf allen möglichen Enden gesammelt.

Wenn du Metadaten sammeln vorbeugen willst, dann ist XMPP nicht unbedingt was du willst. Dann entweder auf eine Zukunft von Pond (oder vielleicht Freenet, GNUnet und andere Sachen) hoffen, denn nach der Verschlüsselung geht es um ein "wer mit wem" und wenn da zwei Leute kommunizieren, vielleicht sogar auf zwei verschiedenen Servern, dann haben mindestens dein Provider, der Provider der anderen Person, die Leute, die den bzw. die Server betreiben, so wie die ISPs dahinter, etc. diese Informationen und kann sogar in vielen Fällen auf den Inhalt schließen. Tor kann da ein wenig helfen deine Verbindung von einem Exit-Node zustande kommen zu lassen, was es schwerer macht, aber wenn da zwei Leute zur selben Zeit online gehen, sich zu XMPP-Servern verbinden, etc., dann entspricht das ungefähr dem, was man auch sonst weiß.

Ist eben je nach Grad der Paranoia, die man hat, aber ich würde sehr empfehlen nicht in die Falle zu tappen und dann erst wieder jemanden blind vertrauen, denn gerade so große Vertrauenspersonen sind häufig Angriff von allen möglichen Formen von Attacken, lassen trotzdem Buggy Code laufen, etc. Je mehr du in Richtung dezentral gehst und das ist sowohl eigener Server, als auch lokal verschlüsseln, desto größer ist für gewöhnlich die Hürde Teil eines generellen Daten Abgreifens zu sein.

Und um nochmal auf Gesetze zurückzukommen. Ich will zwar jetzt nicht allzu politisch werden aber mal ehrlich, die USA scheinen nicht die Einzigen mit geheimen Gesetzen zu sein. Österreich hat geheime Abkommen, Deutschland hat ein Gesetz zur Beschränkung des Brief-, Post- und Frenmeldegeheimnisses im Grundgesetz und wenn man auf Skandinavien hofft muss man feststellen, dass die USA dort für die Sicherheit verantwortlich sind. Als frei in diesem Zusammenhang würde ich keines dieser Länder bezeichnen.



Ich auch nur geschrieben, dass das die Situation ist und keinen der beiden vorgeschlagen, sondern gemeint man solle zum CCC (der unter DOS-Attakcken steht) gehen oder einen Server betreiben sollte.

Kurzum: Bitte, bitte vertraut keinesfalls darauf, dass ein Land euch was vor irgendwas schützt, vor allem nicht, wenn es hart auf hart kommt. Ein gut bezahlter Anwalt hilft vielleicht ein wenig, aber außerhalb von politische Aktivität sollte man seine Sicherheiten eher auf der technischen Seite suchen. Schlussendlich könnt ihr weder wissen, was mit dem nächsten Gesetz passiert, ob sich Leute an Gesetze halten, wie im schlimmsten Fall der Richter drauf ist, ob es irgendwas von den oben genannten geheimen Sachen gibt.

Ja, ich weiß schon, man kann trotzdem das Beste nehmen, nur zum Einen hat man dann das Problem, dass dort dann alle sind und es deshalb gezielte Attacken gibt (ob jetzt politisch oder anders) und zum Anderen kann(!) das dazu führen, dass man glaubt man ist eh relativ sicher vor irgendwas. Soll heißen: Ja, wäre toll in einem tollen Land zu sein, aber passt auf, dass euch das nicht zu sehr täuscht.

Das stimmt schon, ich denke allerdings, dass ein gewisses Vertrauen gegenüber dem Provider gegeben sein muss - Du gibst ja schließlich Deine Kunden- / Zahlungsdaten her. Was aufgrund des Zugriffs auf SWIFT wieder relativ ist.

Also ich würde danach gehen, welche Leistungen ich bekomme, was es kostet, was ich will / brauch (beispielsweise die verfügbaren VPS Betriebssysteme) und, basierend auf dem Inhalt, den ich anbiete das geeignete Land wählen.

Zum Thema Metadaten, stimmt auch nur, dann dürfte man kein Handy haben, nicht verreisen usw.

 

[Athaba]

@NaWi, ich stimme dir voll und ganz zu. Mir ging es auch nur darum, dass man sich keine falschen Hoffnungen macht, weil die gerade bei den genannten Anforderungen entstehen können. Gute Krypto am Server heißt eben, dass der Server das kontrolliert, deshalb würde ich eben empfehlen dafür zu sorgen, dass man sich in dem Fall keine Gedanken machen muss. Wenn du auf Fingerprints schaust, bzw. deine Software das tut, so wie OTR das macht, dann sind Login/Passwort ein viel kleineres Thema. Damit fällt sehr vieles weg und es bleiben großteils Metadaten und hohe Verfügbarkeit übrig. Da kann man dann nicht mehr viel machen.

Dann geht es vor allem darum, dass man selbst in einem Land lebt, das einen weder ausliefert, noch einen dazu zwingt sein Passwort rauszurücken. Dein XMPP-Serverbetreiber kann in dem Fall relativ böse sein, aber bis auf Metadaten sollte er nicht wirklich verwertbares haben. Das soll heißen, dass man an dem Punkt dort ist wo man sich eher um die Sicherheit seines eigenen Rechners sorgen sollte und darauf, dass man genügend Selbstdisziplin hat nicht jeden Fingerprint zu akzeptieren.

Wenn die Krypto lokal/End-To-End passiert, dann tut der Server immer weniger zur Sache und selbst wenn jemand deinen bzw. den fremden Server hops nimmt, in welcher Form auch immer tut das vor allem dadurch weh, dass man sich einen neuen Server suchen muss und nicht dadurch, dass deine Nachrichten lesbar wären, eben "nur" Metadaten (wann hast du mit wem und wie viel kommunizert - man leakt meist auch die ungefähre Größe der Daten[1], je nach Padding).

Sollte einem das nicht genug sein *kann* es sein, dass XMPP nicht das richtige Protokoll ist und ja man sollte sich dann diverse andere Sorgen machen (Handy, Geld, eigene physikalische Sicherheit).

[1] Auch wenn Protokolle, wie Freenet und vor allem Pond versuchen dem vorzubeugen.

 

[NaWi]

Also bleibt als Antwort auf die Ursprungsfrage Do-It-Yourself ...

 

[cla]

Ok. Danke fuer die umfangreichen Details. OTR war mir zwar ein Begriff...hatte ich mich bisher aber irgendwie noch nicht naeher beschaeftigt. Das loest aber einen grossen Teil meiner Bedenken. Ein Nachteil (oder eher Feature) von OTR ist, das es wohl als Punkt-zu-Punkt Verbindung arbeitet. Ich kann also schlecht eine verschluesselte Nachricht auf meherer Geraeten gleichzeitig empfangen um dann einfach am mir naechsten Geraet darauf zu antworten.

Es ist also was eigenes geworden. Zwar mehr Aufwand und Administrations-Overhead fuer mich...aber zumindest weiss ich woran ich bin...jetzt bin ich nur gerade am schauen, was es benoetigt um auch entsprechende Gateways in andere Chat-Services bereitstellen zu koennen.

 

[NaWi]

Ok. Danke fuer die umfangreichen Details. OTR war mir zwar ein Begriff...hatte ich mich bisher aber irgendwie noch nicht naeher beschaeftigt. Das loest aber einen grossen Teil meiner Bedenken. Ein Nachteil (oder eher Feature) von OTR ist, das es wohl als Punkt-zu-Punkt Verbindung arbeitet. Ich kann also schlecht eine verschluesselte Nachricht auf meherer Geraeten gleichzeitig empfangen um dann einfach am mir naechsten Geraet darauf zu antworten.

Das geht mit GnuPG sofern es der Client unterstützt. Aber Vorsicht, es gilt als experimentell, da alle Clients unterschiedlich reagieren. MCabber kann es beispielsweise. Und, es ist ein Aufwand mit den Schlüsseln.

Es ist also was eigenes geworden. Zwar mehr Aufwand und Administrations-Overhead fuer mich...aber zumindest weiss ich woran ich bin...jetzt bin ich nur gerade am schauen, was es benoetigt um auch entsprechende Gateways in andere Chat-Services bereitstellen zu koennen.

Siehe Transports des jeweiligen XMPP Servers.

Edit : Da ging mit den Quotes etwas daneben.

 

[nakal]

Der XMPP-Desktop-Client, die den umfangreichsten XMPP-Support hat, dürfte wohl Pidgin sein. Wenn man ich mit einem Server remote einstellen möchte, dann nehme ich wenigstens kurz diesen. Auf dem Handy (Android, andere Systeme sind nicht nennenswert ) gibt es Conversations (per F-Droid kostenlos) oder Xabber, beide können OTR (aber es darf nur 1 OTR-Schlüssel pro Account installiert sein und dieser ist nicht importierbar/exportierbar).

Der XMPP-Server, der von der Administration her die geringsten Kopfschmerzen verursacht ist Prosody.

Bei Google gibt es kein XMPP mehr. Sie haben jetzt Hangouts und das funktioniert nicht mehr mit XMPP, wie damals GTalk. Das ist aber schon lange so. Auch Facebook scheint XMPP eingestellt zu haben. Schade eigentlich, denn die Facebook-Chat-App mit den Einblendungen über den Bildschirm anderer Applikationen geht wirklich nicht. Man kann aber prinzipiell jeden beliebigen Chat-Server nehmen, den man im Netz findet (es gibt zahlreiche Seiten, die offene Server auflisten).

 

[CrimsonKing]

Der CCC-Server besticht nicht gerade durch Stabilität. Ich bin seit Jahren bei jabber.cz und hatte hingegen noch nie einen Ausfall.

Was Desktopclients betrifft: Pidgin ist kaputt. Wie wär's mit Emacs?

 

[Athaba]

Ein Nachteil (oder eher Feature) von OTR ist, das es wohl als Punkt-zu-Punkt Verbindung arbeitet. Ich kann also schlecht eine verschluesselte Nachricht auf meherer Geraeten gleichzeitig empfangen um dann einfach am mir naechsten Geraet darauf zu antworten.

Ja, OTR auf mehreren Geräten ist schwer. Eine gutes Tool (wenn auch sicherlich keine optimale Lösung) dazu ist keysync.