1. E-Mail-Protokoll
Der Messenger Delta Chat hat seinen Ursprung in Freiburg (Baden-Württemberg) und wird von der Merlinux GmbH entwickelt. Stand Juli 2020 verzeichnet der Messenger 50.000 Installationen über den Google Play Store. Die App ist für Android und iOS kostenlos verfügbar. Neben den gängigen App-Stores ist Delta Chat ebenfalls im datenschutzfreundlichen F-Droid Store für Android erhältlich.
Das Besondere an Delta Chat: Für die Nutzung ist keine Registrierung bzw. die Erstellung eines Kontos innerhalb des Messengers notwendig, sondern lediglich ein bereits bestehendes E-Mail-Postfach. Delta Chat nutzt die vorhandene (föderierte) E-Mail-Infrastruktur zum Versenden und Empfangen von Nachrichten. Für die Nutzung von Delta Chat ist weder eine Telefonnummer noch der Zugriff auf das Adressbuch notwendig.
Auf den ersten Blick hat die Nutzung der bestehenden E-Mail-Infrastruktur viel Charme. Bei genauerem Hinsehen werden allerdings einige Nachteile sichtbar, die sich negativ auf die Privatsphäre und Sicherheit der Nutzer auswirken können. Das liegt weniger an Delta Chat selbst, sondern an der E-Mail-Infrastruktur bzw. den zugrundeliegenden Protokollen IMAP und SMTP.
- Die verrückte Welt der Messenger – Messenger Teil1
- Threema: Instant-Messaging-Dienst aus der Schweiz – Messenger Teil2
- Telegram: »Sicherheit« gibt es nur auf Anfrage – Messenger Teil3
- Wire: Vertrauen verspielt – Messenger Teil4
- Delta Chat: Messaging über die E-Mail-Infrastruktur – Messenger Teil5
- Conversations: Messaging über das XMPP-Protokoll – Messenger Teil6
- Element: Messaging über die Matrix – Messenger Teil7
- Briar: Anonymität und Sicherheit gehen vor – Messenger Teil8
- Signal: Hohe Sicherheit und Zero-Knowledge-Prinzip – Messenger Teil9
2. Verschlüsselung | Kryptografie
Zur Gewährleistung einer »abhörsicheren« Kommunikation setzt Delta Chat auf die Ende-zu-Ende-Verschlüsselung (E2EE) der Nachrichteninhalte. Dazu nutzt der Messenger OpenPGP mit Autocrypt. Bei der Verknüpfung eines E-Mail-Kontos generiert Delta Chat bei der Ersteinrichtung automatisch das notwendige Schlüsselmaterial (Schlüsselpärchen) bzw. lässt ebenfalls den Import von bereits bestehenden Schlüsseln zu. Mittels Autocrypt werden die öffentlichen Schlüssel anschließend zwischen den Teilnehmern ausgetauscht und ermöglichen damit eine E2EE-Kommunikation. Das Verfahren hat allerdings einen Haken: Eine E2EE soll gegen das Belauschen durch Dritte schützen. Bei Autocrypt könnte ein bösartiger E-Mail-Provider diese Verschlüsselung allerdings kompromittieren, da Autocrypt grundsätzlich jeden Schlüssel akzeptiert (Opportunistic Security (RFC 7435)) und diesen auch ungefragt aktualisiert. Damit sind Man-in-the-Middle-Angriffe theoretisch möglich und die Kommunikation zwischen Teilnehmern wäre mitlesbar. Delta Chat erweitert den Autocrypt-Standard daher um countermitm – dadurch wird ein möglicher Man-in-the-Middle-Angriff auf verifizierte Schlüssel bzw. Kontakte verhindert.
Neben dieser »Schwäche« kommt noch hinzu, dass OpenPGP leider keine Perfect Forward Secrecy (PFS) beherrscht. Die Schutzziele der (glaubhaften) Abstreitbarkeit und Folgenlosigkeit sind daher nicht umsetzbar.
2.1 Authentifikation
Wer eine Authentifizierung seines Gegenübers nicht durchführt, kann nie wirklich sicher sein, ob er tatsächlich mit dem gewünschten Kommunikationspartner Nachrichten austauscht oder womöglich mit einem unbekannten Dritten. Zu diesem Zweck bietet Delta Chat eine Authentifizierung auf Basis eines QR-Codes, der eine Art Fingerabdruck darstellt:
Die Scannung des QR-Codes sorgt dafür, dass der Kontakt anschließend als »verifiziert« angezeigt wird. Diesen Schritt sollte man mit möglichst vielen / allen seinen Kontakten konsequent durchführen, um die genannte Schwäche von Autocrypt abzumildern.
Wenn die Empfänger einer Nachricht ebenfalls Delta Chat nutzen, werden die Nachrichten wie bereits dargestellt automatisch Ende-zu-Ende-verschlüsselt übertragen und in der App als Chatnachricht dargestellt. Allerdings erlaubt Delta Chat das Versenden von Nachrichten ebenfalls an E-Mail-Postfächer bzw. Kontakte, die kein Delta Chat verwenden – ähnlich einem herkömmlichen E-Mail-Client. Wenn der Empfänger einen E-Mail-Client verwendet, der nicht Autocrypt-kompatibel ist, werden Nachrichten unverschlüsselt bzw. nur transportverschlüsselt gesendet bzw. empfangen. Das hat den Nachteil, dass ein E-Mail-Provider die so empfangenen / versendeten Nachrichten unter Umständen einsehen kann. Diesen Umstand sollte man unbedingt berücksichtigen bzw. bei der Nutzung von Delta Chat im Hinterkopf behalten.
Ob nun E2EE oder lediglich Transportverschlüsselung zum Einsatz kommt, kann man innerhalb der App folgendermaßen prüfen: Bereits bestehenden Chat öffnen -> Pünktchen-Menü -> Profil anzeigen -> Pünktchen-Menü -> Verschlüsselung:
Alternativ lässt sich die Nutzung von E2EE auch direkt im Chat erkennen, wenn innerhalb der Chatblase einer Nachricht ein kleines Vorhängeschloss angezeigt wird. Fehlt dieses Schloss hingegen, wurde die Nachricht unverschlüsselt bzw. lediglich transportverschlüsselt (via TLS) übermittelt.
Hinweis
Weitere Details zur Verschlüsselung bzw. verwendeten Kryptografie findet ihr in der Delta-Chat-FAQ.3. Zentral | Föderiert | Dezentral
Anders als bei den meisten Messengern erfolgt die Kommunikation bzw. der Nachrichtenaustausch nicht über zentrale Server. Delta Chat setzt auf die bestehende E-Mail-Infrastruktur auf und kann dadurch auf eigene Server verzichten. Die Nutzung von Delta Chat setzt demnach lediglich ein bestehendes E-Mail-Postfach voraus, das mit Delta Chat verknüpft werden muss. Der Nutzer ist also vollkommen frei in seiner Entscheidung, bei welchem E-Mail-Anbieter er ein Konto eröffnet (sofern dieser IMAP unterstützt), und kann dies dann später in Kombination mit Delta Chat verwenden. Anders als bei einem zentralisierten Dienst wie WhatsApp, Telegram und Co. bestimmt also nicht ein Anbieter allein die Spielregeln. Die Architektur bzw. das Prinzip der Föderation verfolgt einen offenen Ansatz der kollektiven Vernetzung, bei dem niemand ausgeschlossen wird.
Tipp: Über eine Provider-Database lässt sich in Erfahrung bringen, ob Delta Chat mit dem aktuell verwendeten E-Mail-Anbieter kompatibel ist.
4. Metadaten
Delta Chat ist ein Messenger, der auf die föderale E-Mail-Infrastruktur aufsetzt – mit allen Vor- und Nachteilen:
- Nachrichten: Die versendeten / empfangenen Nachrichten sind für die Entwickler von Delta Chat nicht einsehbar, sondern werden bei den jeweiligen E-Mail-Anbietern der Nutzer (E2EE) gespeichert. Das Schlüsselmaterial (zum Ver- und Entschlüsseln) befindet sich auf den Endgeräten der Delta-Chat-Nutzer. Im Idealfall können die Nachrichten also nicht von Dritten eingesehen werden.
- Wer mit wem, wann und wo: Jeder E-Mail-Server kann über die An- und CC-Felder herausfinden, wer wem wann eine Nachricht sendet bzw. welche E-Mail-Adressen Teil einer Gruppe sind. Für Nutzer, die Metadaten möglichst vermeiden wollen, ist Delta Chat daher keine geeignete Lösung. Dieser Umstand ist darin begründet, dass zum Versenden von (Delta-Chat-)Nachrichten zwischen E-Mail-Servern, das SMTP-Protokoll verwendet wird – dies hat seinen Ursprung im Jahr 1982.
- Kontaktlisten: Diese werden bei Delta Chat ausschließlich auf dem Endgerät verwaltet bzw. gespeichert.
- Schlüsselmaterial: Das Schlüsselpärchen (notwendig für die E2EE) wird lokal auf dem Gerät des Nutzers generiert. Der private Schlüssel verbleibt ausschließlich auf dem Gerät und wird nicht übermittelt.
Zur Vermeidung von Metadaten zählt ebenfalls, dass Delta Chat vollständig losgelöst von Google betrieben werden kann. Über F-Droid lässt sich Delta Chat unabhängig vom Google Play Store beziehen. Zudem verzichtet Delta Chat auf die Push-Dienste wie Google Cloud Messaging (GCM) oder Apple Push Notification Services (APNS).
Beim Anlegen von einer Delta-Chat-Chatgruppe mit mehreren Teilnehmern habe ich eine Beobachtung gemacht, die datenschutzsensiblen Nutzern nicht gefallen dürfte und wiederum wenig mit der Vermeidung von Metadaten zu tun hat. Im Grunde kann jeder Delta-Chat-Nutzer eine Chatgruppe anlegen und dort Gruppenmitglieder hinzufügen bzw. auch wieder entfernen. Das Problem: Jedes Mal, wenn jemand einer Gruppe Mitglieder hinzufügt bzw. entfernt, bekommt man dies per E-Mail signalisiert. Für Teilnehmer, die plötzlich unfreiwillig in einer Delta-Chat-Gruppe landen, kann dies unangenehme Folgen haben – nicht jeder möchte seine E-Mail-Adresse öffentlich einsehbar haben. Man denke an einen E-Mail-Newsletter, bei dem plötzlich jedem Teilnehmer signalisiert wird, welche neuen Teilnehmer (E-Mail-Adresse) hinzugekommen sind bzw. den Newsletter wieder verlassen.
Auch dieser Umstand ist weniger auf Delta Chat selbst zurückzuführen, sondern auf das E-Mail-Protokoll. Auch ohne die Nachricht, die Delta Chat beim Hinzufügen / Entfernen von Mitgliedern versendet, kann man bspw. über E-Mail-Clients den E-Mail-Header auswerten und in Erfahrung bringen, welche E-Mail-Adressen Teil der Gruppe sind.
5. Identifier
Als Identifier nutzt Delta Chat bereits vorhandene E-Mail-Adressen. Standardmäßig werden also keine Adressbuchdaten (wie Telefonnummer) ausgelesen bzw. an externe Server übermittelt, wie es bspw. bei Messengern wie WhatsApp und Co. der Fall ist. Im Gegensatz zu vielen anderen Messengern ermöglicht Delta Chat also einen Identifier, der nicht an die Telefonnummer gebunden ist. Eine erfreuliche Ausnahme.
6. Quelloffenheit | Transparenz
Der Quelltext von Delta Chat ist offen (GPLv3-Lizenz) und damit für jeden einsehbar. Dadurch ist eine unabhängige Überprüfung der Sicherheit grundsätzlich möglich. Diese Offenheit ist ein essenzieller Schritt zu mehr Transparenz der Anwendung und sorgt damit für Vertrauen. Bis dato wurde nach meinem Kenntnisstand allerdings noch kein Security-Audit durchgeführt – eine Aussage über die tatsächliche Sicherheit von Delta Chat ist daher nicht ohne weiteres möglich.
Du kannst den Blog aktiv unterstützen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
6.1 Transparenz
Aktuell finanziert sich die Entwicklung von Delta Chat über Spenden sowie eine Förderung des Open Technology Fund. Aber auch vom EU-Projekt NEXTLEAP wurden der Merlinux GmbH bereits Fördergelder bewilligt. Für das auslaufende Jahr 2020/2021 steht noch keine weitere Förderung fest.
7. Wissenswertes
Nachfolgend sind noch einige wissenswerte Punkte zusammengefasst, die Delta Chat bietet:
- Desktop-Version: Benutzer können ihre Chats über mehrere Geräte synchronisieren (Multiclient) – entsprechende Clients für den Desktop (Windows, macOS und GNU/Linux) und Smartphone (Android, iOS) stehen zur Verfügung.
- OAuth2-Support: Sofern euer E-Mail-Anbieter OAuth2 unterstützt, wird lediglich ein Zugriffstoken (nicht aber das E-Mail-Konto-Passwort) auf dem Gerät gespeichert.
- HTML-E-Mails: Im Grunde ist Delta Chat mit einem herkömmlichen E-Mail-Client vergleichbar. Ihr könnt damit nicht nur Delta-Chat-Nachrichten empfangen bzw. einsehen, sondern auch »normale« E-Mails. HTML-E-Mails werden dann in Text-E-Mails umgewandelt und in der App nur als Text dargestellt.
8. Delta Chat: Vor- und Nachteile auf einen Blick
Positiv:
- Standardmäßig ist die Ende-zu-Ende-Verschlüsselung für Chats aktiv (sofern Delta Chat bzw. Autocrypt-kompatibele E-Mail-Clients verwendet werden)
- Delta Chat ist ohne die Verknüpfung einer Telefonnummer nutzbar
- Verwendung einer E-Mail-Adresse als Identifier
- Der Client ist quelloffen und der Quellcode damit einsehbar
- Auch auf googlefreien Smartphones nutzbar
- Nutzt nicht die Google- bzw. Apple-Infrastruktur zur Push-Benachrichtigung
- Vollständig ohne Google-Konto bzw. proprietäre Google-Bibliotheken nutzbar
- Keine (User-)Tracker integriert
- Delta Chat selbst erhebt bzw. speichert keinerlei Metadaten (kein Adressbuchupload etc.)
- Lokale Backups möglich – leider nicht durch Verschlüsselung geschützt
Negativ:
- Aufgrund der verwendeten E-Mail-Infrastruktur fallen einige Metadaten an (wer mit wem wann kommuniziert hat)
- Keine Audio- oder Video-Telefonie (kann über die E-Mail-Infrastruktur nicht funktionieren)
- Bei Gruppenchats wird jedem Teilnehmer das Hinzufügen / Entfernen von E-Mail-Adressen (Teilnehmern) signalisiert
- Nutzt mein Gegenüber kein Delta Chat bzw. einen Autocrypt-kompatiblen E-Mail-Client wird die Nachricht im »schlimmsten Fall« über E-Mail-Server geleitet, die untereinander kein TLS sprechen. Ergo: Die Nachricht wird als lesbare »Postkarte« versendet
- Bisher kein Security-Audit
- Als Schutzziele sind weder Abstreitbarkeit noch Folgenlosigkeit (Perfect Forward Secrecy) mit OpenPGP erreichbar
- Nach meiner Auffassung eignet sich die E-Mail-Infrastruktur (Push-IMAP etc.) nicht für das Versenden bzw. Empfangen von Kurznachrichten
9. Fazit
Jeder, der eine E-Mail-Adresse hat, kann Delta Chat nutzen. Die Nachrichten werden dann einfach an die E-Mail-Adresse des Empfängers gesendet. Wenn dieser ebenfalls Delta Chat nutzt, bekommt er die Nachricht innerhalb der App angezeigt – wenn dies nicht der Fall ist, landet die Nachricht im E-Mail-Postfach des Empfängers. Dieser Ansatz löst ein weit verbreitetes Problem: Es ist nicht notwendig, denselben Messenger zu nutzen. Man könnte Delta Chat daher auch als interoperablen Messenger bezeichnen, bei dem jeder mit jedem kommunizieren kann.
Insgesamt verfolgt Delta Chat einen spannenden Ansatz und eignet sich insbesondere für jene, die ihre Telefonnummer nicht herausgeben möchten, aber sich gleichzeitig die Möglichkeit offen halten wollen, möglichst viele Kontakte über einen Messenger erreichen zu können. Diese Offenheit hat allerdings ihren Preis: Mitunter ist nicht sichergestellt, dass Nachrichten (E2E-)verschlüsselt zugestellt werden und damit für einen Angreifer einsehbar sind. Und auch bei den Metadaten werden die Schwächen der verwendeten E-Mail-Infrastruktur sichtbar. Über die An- und CC-Felder des E-Mail-Headers lässt sich vergleichsweise einfach herausfinden, wer mit wem wann kommuniziert hat.
Keine Frage, die Nutzung der bestehenden E-Mail-Infrastruktur hat viel Charme. Ob die Vorteile dabei die Nachteile überwiegen, muss jeder für sich selbst entscheiden. Insgesamt ist Delta Chat ein ordentlicher Messenger, der auf die föderale E-Mail-Infrastruktur aufsetzt – mit allen Vor- und Nachteilen.
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Die verrückte Welt der Messenger – Messenger Teil1
Datenschutzfreundliche und sichere WhatsApp-Alternativen
Signal: Hohe Sicherheit und Zero-Knowledge-Prinzip – Messenger Teil9
Element: Messaging über die Matrix – Messenger Teil7
Conversations: Messaging über das XMPP-Protokoll – Messenger Teil6
17 Ergänzungen zu “Delta Chat: Messaging über die E-Mail-Infrastruktur – Messenger Teil5”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Danke für diesen aufschlussreichen Beitrag zum Thema „Messenger“, Mike!
Solange man „nichts zu verbergen hat“ (ich weiß, eine der dämlichsten Aussagen unserer Zeit), dürfte Delta Chat durchaus eine gute und vielleicht sogar massentaugliche Alternative zu den inzwischen viel zu weit verbreiteten und weithin sorglos genutzten Walled Garden(s) sein.
Für die weniger technik-affinen Mitmenschen, deren Prioritäten nicht unbedingt auf „Höchstmögliche Sicherheit“ abzielen, ist Delta Chat eine prima Alternative.
Ich habe mir den Messenger auch zusätzlich zu den „richtigen“ Messengern, wie Signal und Jabber installiert. Für mich persönlich sehr ich da kein Nachteil oder Rückschritt, da ich bisher sowieso auch ganz normale unverschlüsselte E-Mails versendet habe.
Das Problem mit der Sichtbarkeit der Emailadresse habe ich dadurch gelöst, dass ich für Delta Chat Gruppen einfach eine separate Adresse nutze. Da Delta Chat mehrere Accounts unterstützt, kann man ja gut private und öffentliche Chats trennen.
Ich kann meinen Vorrednern nur zustimmen.
Das „Problem“ daß Nachrichten an „Nicht Delta Chat Nutzer“ als unverschlüsselte Mail raus gehen habe ich bei allen anderen Lösungen auch.
Da ich noch nie für jeden meiner Kontakte extra einen speziellen Messenger (schon garnicht WhatsApp) installieren wollte, habe ich die meisten schon immer per unverschlüsselter Mail erreicht.
Dank Delta Chat Screenshots (so sehen deine Mails bei mir aus 😉) konnte ich schon ein paar davon überzeugen auch Delta Chat parallel zu WhatsApp zu installieren und somit sicher mit mir zu kommunizieren. Trotz der „Problematik“ der Metadaten.
Aber auch das ist ein überschaubares Problem da ich dafür ja eine anonyme Adresse anlegen kann oder, wer will und kann, sogar einen eigenen Server betreiben.
Danke für den sachlichen Beitrag 👍
Ist meiner Meinung nach viel zu positiv dargestellt:
https://privacy-handbuch.de/handbuch_74f.htm (siehe Delta Chat)
Die Nachteile von Autocrypt werden nicht behandelt
Das was in dem Verlinkten Text als problematisch dargestellt wird sehe ich so nicht.
MITM funktioniert nur solange bis ich die Schlüssel manuell (in Delta Chat via QR Code scan oder ggf. telefonisch die Fingerprints) geprüft habe.
Macht im richtigen Leben vermutlich kaum jemand. Auch nicht bei z.B. Signal. Da muss ich dem Betreiber auch vertrauen.
Mein Fazit:
Für den Normalnutzer ist die Sicherheit ausreichend, da ein MITM ein zu großer Aufwand für groß angelegte Überwachung ist (eine Änderung des Public key wird in Delta Chat angezeigt).
Wer davon ausgehen muss gezielt abgehört zu werden, der kann mit geringem Aufwand die Schlüssel prüfen.
Die Kompatibilität mit E-Mail bietet die Chance einer großen Nutzerbasis abseits aller Walled gardens.
Signal hat einen eingebauten MITM-Schutz.
Autocrypt ist kein vertrauenswürdiger Automatismus zum Schlüsselaustausch. Auch wenn man keinen MITM Angriff befürchten muss, kann man Ansprüche an die Kryptografie haben.
Ein großes Problem sehe ich aber auch in SMTP Minirationen bei Delta Chat. Viele Mailanbieter limitieren massiv, zur Vermeidung des Massenversands von Mails, wodurch Power-User stark eingeschränkt werden.
Vor allem große Gruppen sind wirklich ungünstig.
Deshalb ist es so wichtig (geworden), bei der Wahl des E-Mail-Providers eine gute Wahl zu treffen. Die Liste der nicht vertrauenswürdigen E-Mail-Provider ist schier endlos lang. Die Liste der vertrauenswürdigen E-Mail-Provider hingegen extrem kurz. Liegt wohl in der Natur der Sache. Das könnte vielleicht eine kleine Entscheidungshilfe sein.
Das hier auch.
Von dismail.de würde ich abraten, da es a) ein spendenfinanzierter Anbieter ist,
b) Der Betreiber Stefan Sieg ist keine öffentliche Entität. Ich habe außer dismail und einigen Beiträgen im Forum nichts gefunden und wüsste nicht, warum ich ihm vertrauen sollte
c) Der Bus Faktor
Vielleicht habe ich da etwas missverstanden: Ist Delta Chat nicht genauso Walled Garden wie z.B. Signal? Nachrichten werden doch nur dann als Nachricht empfangen, wenn beide (Sender + Empfänger) DC nutzen. Wenn der der Empfänger DC nicht nutzt, kriegt er/sie eine Mail. Bei Signal wird’s eine SMS. Letzlich müssen für einen Chat beide den gleichen Messenger nutzen, oder?
Jain würde ich als Laie sagen.
Nach deiner Definition könnte man (übertrieben zur Veranschaulichung) auch sagen Mail ist ein walled garden. Denn ich brauche einen Computer um sie zu empfangen 😜
Delta Chat ist im Grunde genommen ein Mailclient der die Mails anders darstellt (mit ein paar Verfeinerungen).
Anders als bei Signal kann ich auch ohne Delta Chat Client Bilder, Videos und Sprachnachrichten empfangen und senden. Die werden dann eben etwas anders formatiert.
Signal nutzt als Fallback schlicht einen anderen Dienst. Wie du schon sagst, Wenn der Gesprächspartner kein Signal hat, wird einfach auf einen anderen offenen Dienst ausgewichen und eine SMS versendet.
Und ich habe die Wahl welchen Server/Provider ich nutzen möchte.
Außerdem ist Delta Chat kryptografisch kompatibel mit jedem autocrypt fähigen Mailclient (z.B. Thunderbird oder K9).
Und genau das Provider/Serverübergreifende macht eben den Unterschied.
Ich habe gerade gesehen das bei Delta Chat an Telefonie via WebRTC gearbeitet wird. Wenn das mal steht, ist es auch mit jedem Mailclient kompatibel.
Also viel weniger walled garden als Mail/Delta Chat kann ich mir aktuell nicht vorstellen.
Das zeigt schon, dass die Trennung Walled Garden /= Dezentralisiert eigentlich Unsinn ist.
Mike Kuketz macht das an einem Server fest, also wer den Server(-cluster) hostet. Die Begründung dafür ist 1) Kontrolle und 2) Metadaten.
Aber wenn man ein iPhone benutzt, nutzt man immer Apple Push Services, egal für welchen Messenger. Apple kennt also immer die Metadaten, und die Begründung 2) für Dezentralität ist hinfällig.
1) Kontrolle (seitens des Serverbetreibers) hat aber auch den Vorteil, dass neue Features besser umgesetzt und alte Zöpfe besser abgeschnitten werden können.
Man muss eben dem Betreiber vertrauen, aber das muss man auch bei Email
Wenn beide Gesprächspartner einen Walled Garden benutzen, einigen sie sich sozusagen auf einen Server, über den sie kommunizieren.
Ergebnis: 1 Server kennt die Metadaten
Wenn beide Gesprächspartner förderiert kommunizieren, benutzen beide den Server, den sie für sich ausgesucht haben.
Ergebnis: 2 Server kennen die Metadaten
Und wie bei Email schön sieht, reicht es nicht aus, wenn man selber einen guten Provider hat. Der andere muss auch einen guten Provider haben.
Und das ist meistens nicht der Fall (zumindest in einer Nicht-Nerd Umgebung).
Liegt mMn auch daran, dass die meisten einfach zu faul sind, a) nachzudenken und b) Geld zu bezahlen.
Außerdem ist es sowieso so, dass sich bei Online Services meist ein Anbieter durchsetzt (Suchmaschine -> Google, Email Provider -> Gmail, Newsletterversand -> Mailchimp).
D.h. es ist quasi auch ein Walled Garden, mit dem Unterschied, dass sich einige Nerds die Illusion machen, dass dem nicht so ist.
Nein, ich bin bin der Meinung, das ist kein Walled Garden. DC benutzt ganz normale pgp-Schlüssel. Der Empfänger sollte also auch andere pgp-fähige Mailprogramme verwenden können.
(Konkret ausprobiert habe ich gerade, dass ich DC-Nachrichten mit Fairmail lesen kann.)
Bitte immer dran denken, das sich OpenSource nicht von alleine finanziert – man sollte immer genau gucken, wo das Geld herkommt!
Der genannte „Open Technology Fund“ ist ein Fond der der US Regierung nahe steht – siehe Wikipedia:
„Affiliations : U.S. Government“
https://en.wikipedia.org/wiki/Open_Technology_Fund
Der OTF hat bereits über 200.000 US$ in DeltaChat gesteckt. Siehe deren Webseite:
https://www.opentech.fund/results/supported-projects/delta-chat/
Wer alles nach dem 11.9.2001 und vor allem alles das was Edward Snowden 2013 aufgedeckt hat, in Erinnerung hat, der weiß dass die Amis niemals in etwas investieren, ohne da auch eine „Rendite“ raus zu holen. Vielleicht langen ihnen die Email-Meta-Daten, vielleicht lohnt sich aber auch ein Blick auf die Webseite des OTF:
„Addressed problems
– Technical attacks against government critics, journalists, and/or human rights organizations (Cyberattacks)
– Repressive surveillance or monitoring of communication
– Blocking, filtering, or modification of political, social, and/or religious content (including apps)
– Policies, laws, or directives that increase surveillance, censorship, and punishment
– Government practices that hold intermediaries (social networks or ISPs) liable for user content“
zu Deutsch
(mittels Google Translate)
„Behobene Probleme
– Technische Angriffe gegen Regierungskritiker, Journalisten und / oder Menschenrechtsorganisationen (Cyberattacks)
– Repressive Überwachung oder Überwachung der Kommunikation
– Blockieren, Filtern oder Ändern von politischen, sozialen und / oder religiösen Inhalten (einschließlich Apps)
– Richtlinien, Gesetze oder Richtlinien, die die Überwachung, Zensur und Bestrafung erhöhen
– Regierungspraktiken, die Vermittler (soziale Netzwerke oder ISPs) für Benutzerinhalte haftbar machen“
Siehe:
https://www.opentech.fund/results/supported-projects/delta-chat/
„Behobene Probleme“ ist eine sehr zweideutige Formulierung: Kann heißen, dass sie diese Punkte unterdrück haben, kann aber auch genauso gut heißen, dass sie diese Punkte erst ermöglicht haben!
Vielleicht sollten Source-Code-Checker DeltaChat mal genau unter die Lupe nehmen, ob irgendwelche Backdoors eingebaut sind!
Derzeit wackelt die Finanzierung des OTF, der auch für Tor, Signal oder Mailevlope mitfinanziert: https://heise.de/-4789928
Und bitte immer im Hinterkopf haben – so wie Mike das auch angesprochen hat:
„Metadaten verraten Ihnen absolut alles über das Leben einer Person. Wenn Sie genug Metadaten haben, brauchen Sie den Inhalt nicht wirklich.“
(Zitat von: Stewart Baker – früherer NSA General Counsel)
Entnommen dem Artikel ‘We Kill People Based on Metadata’
https://www.nybooks.com/daily/2014/05/10/we-kill-people-based-metadata/
Wie TOR (das auch vom OTF finanziert wird/wurde, sind viele dieser Projekte sog. „Triple Use Techniken“: Hier ein Text im Privacy Handbuch dazu.
Im Weißen Haus und in der Army benutzen die Leute Signal, Dienste und große Unternehmen brauchen TOR für bestimmte Zwecke.
Ich denke mal, wenn die Finanzierung des OTF wackelt, weil die „Dienste“ mittlerweile genug Ressourcen haben sollten, wichtige, für sie wichtige Technologie selber zu entwickeln. Für die Destabilisierung unbequemer Länder reichen die „closed source circumvention tools“ aus.
Vielleicht waren die bisherigen Member auch tatsächlich interessiert an Datenschutz? Man weiß es nicht.
Ich bin seit einem Jahr „clean“ – habe meinen WhatsApp-Account und meinen Facebook-Accont gelöscht.
Seitdem nutze ich viele Messenger parallel (Signal, Threema, Delta Chat) – diejenigen die trotz aller Argumente AUSSCHLIEßLICH bei WhatsApp bleiben wollen, weil da halt alle sind (außer mir), sind mir total egal! ;-)
Ich finde die Idee hinter Delta Chat klasse. Ein weiteres Argument für Delta Chat ist aus meiner Sicht, dass man nicht jedem Hannes seine Handy-Nummer geben muss – und E-Mail kann man ziemlich gut filtern…
Tolle Idee, mit Vor- und Nachteilen, wie Mike ja schon ausgeführt hat…
Der größte Vorteil ist für mich: Delat Chat gehört nicht Google, Facebook und Co.
VG
Chris Koester (www.privatarchiv-koester.de)
Bei E-Mail-Newsletter bzw- Gruppenchats wird jedem Teilnehmer das Hinfügen / Entfernen von E-Mail-Adressen (Teilnehmern) signalisiert. Ist das technisch notwendig damit es funktioniert? Wenn der Messenger sowieso auf SMTP/IMAP basiert, warum benutzt man für die Benachrichtigung(en) nicht BBC (blind carbon copy) ? Alternativ könnte die App natürlich auch die Teilnehmerliste intern selbst verwalten (gern auch verschlüsselt) und bei Bedarf jeweils einzelne Emails versenden. Natürlich dürfte die Liste dann nur beim Listenersteller/ bzw. -verwalter verfügbar und einsehbar sein, denn selbst bei der BCC-Methode verbleibt die Empfängerliste ja automatisch immer auch beim Sender. Funktioniert also durchaus bei einem Newsletter aber nicht bei einem Gruppenchat – oder habe ich etwas übersehen? Optional sehe ich als weitere Lösung die Einrichtung eines E-Mail-Verteiler.