Ich versuche zur Zeit meine Messenger durch Matrix zu ersetzen. An sich klappt das ganz gut, jedoch hab ich noch Fragen, bzw Probleme. Ich hoffe ich bin nicht off topic, denke aber dass Umstiegsprobleme von allgemeinem Interesse sind.
Die erste Frage bezieht sich auf Clients unter Android. Bis auf Element (Schildi als Fork) und Fluffy Chat (dem einige Features fehlen) hab ich nichts gefunden, was aktuell gepflegt wird. Sind das wirklich alle Clients oder hab ich was übersehen?
Warum ich das Frage:
Ich habe ein Problem mit der biometrischen Entsperrung bei meinem Pixel 7 (Es geht auf dem Samsung Tablet). Sie deaktiviert sich immer mit dem Hinweis, das etwas daran geändert wurde. (Was nicht passiert ist)
Hab es hier Mal eingestellt, vielleicht hat ja hier jemand ein Pixel 7 oder 7 pro um zu testen ob es ein Pixel Problem ist. https://github.com/vector-im/element-android/issues/7064
Bei Schildi tritt es auch auf.
Dazu nutze ich die Signal Bridge. Dort werden aber keine Bilder übertragen, obwohl die Bridge und der Server es können soll. https://tchncs.de/matrix
Auch hier die Frage, ist das Problem systematisch oder individuell?
mW gibt es darüber hinaus nur noch Syphon und SmallTalk
Ich kenne aber beide nicht und zumindest letzterer ist wohl reduziert und schlank und dürfte daher Deinen Funktionsanforderungen nicht genügen.
Fluffy und Schildichat haben auch jeweils noch ein eigenes Repo: https://gitlab.com/fdroid/wiki/-/wikis/List-of-F-Droid-repositories
Danke für den Link zu den alternativen F-Droid Repositories. (Kannte ich noch nicht)
Ne Smalltalk erfüllt nicht meine Anforderungen und Syphon auch nicht, dazu sieht es so aus, als wenn es nicht mehr weiterentwickeln wird.
Eigentlich brauche ich die Verifizierung (für die Mehrgeräteoption) und biometrisches Sperren. Beim Rest genügen mir die normalen Messenger Funktionen.
Jedoch ist es unglaublich nervig ständig den Code in Element eingeben zu müssen. Ich schau mir das noch ein paar Wochen an und versuche Kontakt mit den Entwicklern zu bekommen. (Eigentlich sollte in Android das Pixel ja der Standard für Kompatibilitätstests sein)
Ich habe auch immer wieder gesucht und lande immer wieder bei Element.
Bzgl. der Signal-Bridge: die ist i.d.R. nur Ende zu Bridge verschlüsselt, ich hoste das selber (finde das schon grenzwertig) aber das bei einem externen Anbieter zu nutzen finde ich extrem schwierig, da dein Gegenüber nicht weiß, dass du die Verschlüsselung untergräbst und ggf. nicht bei dir ankommt.
Darüber hinaus kann es passieren (je nach Konfiguration der Brücke) dass alle deine Signal-Kontakte und Gruppen auf der Instanz durchsuchbar sind.
Hmm das mit Ende zu Bridge war mir nicht bewusst, da bei der doko zur Bridge „E2EE in Matrix rooms“ steht. Ich dachte die Umschlüsselung erfolgt innerhalb der Bridge.
Aber du hast Recht, es ist sehr grenzwertig und ich stelle es ein. (Übrigens alles nur, weil es keine Multigeräte Option von Signal unter Android gibt.)
Wieder ein Pluspunkt weniger bei Matrix. Das nur Element als ernstzunehmender Client übrig ist, ist mit nun auch klar, aber der Bug mit der biometrischen Verschlüsselung nervt mich extrem. Offensichtlich sind auch Samsung-Geräte betroffen und seit einem halben Jahr tut sich nichts.
Ich denke ich lasse das Testen von Matrix einfach ruhen und schaue in 2-3 Monaten ob der Bug gefixt wurde und sich ein weiterer Test rentiert.
Das ist für mich superkomfortabel, weil der fliegenden Wechsel wirklich funktioniert und ich sehr schnell auf einer richtigen Tastatur bin.
Ich nutze es sogar zur einfachen Dateiübertragung (Fotos, Texte etc.) von/auf PC/Laptop/Tabletund und Mobile, indem ich einen zusätzlichen (Alt-)Account etwas sende, der „ich selber bin“.
ps. LOL ? Ich kann element.io zwar noch öffnen, nicht aber bedienen. Grund: Nun auch cloudfront ( = Amazon) verseucht … und als Extremdatensammler bei mir geblockt. Dazu gibt es ja einige Threads hier, zu dieser neuen Seuche.
Das mit dem Browser hatte ich mir überlegt, aber ich möchte als zusätzliche Ebene noch die biometrische Entsperrung haben und das klappt nicht mit dem Browser.
Ich hab mich gestern nach der Antwort von @nr845h nochmal hingesetzt und alles durchgelesen.
Realistisch betrachtet ist Matrix nicht darauf ausgelegt Metadaten zu vermeiden. Das einzig sichere ist die E2E Verschlüsselung, die standardmäßig an ist. Was die Metadaten betrifft, sofern man keinen eigenen Server betreibt ist man den Betreibern völlig ausgeliefert. (Und das sind in der Regel irgendwelche Privatleute oder Vereine, bei denen man vielleicht Glück hat oder auch nicht, das wegen Problemen im persönlichen Umfeld Sachen nicht gepflegt werden)
Dazu sind Mehrwertfunktionen wie Bridges nicht sicher und E2E verschlüsselt.
Das ganze Messenger-Thema ist ein einziges Dillema. Entweder einem Konzern Vertrauen oder irgendwelchen Privatleuten, oder Vereinen und hoffen dass die ersteren einen nicht „verkaufen“ und die zweiten kompetent genug sind bzw. Nicht die Lust verlieren.
Da zur Zeit praktisch alle Mobilgeräte durchgehend am Netz sind, wo bleibt der wirklich dezentrale Ansatz mit E2E ohne überflüssige Metadaten.
Stimme dir zu, dass wir in einem Dilemma stecken.
Das ist in IT-Fragen, wo es um unsere Daten geht, gerade auch im Bereich Betriebssysteme, merkwürdig grundsätzlich der Fall.
Ich selbst sehe aufgrund der US-Auffassung, dass uns dummen Ausländern kein Privatheitsschutz zusteht (ganz anders die EU!), die Metadaten als geringeres Problem, zumal ich, wie oben gesagt, den Matrix-Server eines deutschen IT-Sicherheitsunternehmens nutze.
Signal, was mit der zwingenden, technisch aber völlig unnötigen Nutzung der Mobilfunknummer sowieso lächerlich wirkt, mag weniger Metadaten erzeugen, aber allein durch Mustererkennung der permanent auflaufenden IP-Adressen, wüsste zumindest ich, wie ich dort Kontakte automatisiert einander zuordnen könnte.
Auf die Idee sind die selbst gggaaanzzz bestimmt noch nicht gekommen …
Ich muss mich revidieren. Ich habe gerade mit Milan geschrieben und auch wenn es per Defualt nicht aktiv ist, ist anscheinend bei tchncs.de E2BE aktiviert.
Auch das Thema mit den Nummern muss ich korrigieren, sofern die Person dir mindestens einmal antwortet wird die Handynummer durch den öffentlichen Handel aus Signal (also einer öffentlichen Information) ersetzt.
Somit bleibt als Erfordernis, das Vertrauen gegenüber dem Provider aber ich würde es nicht mehr so hart/eng sehen, wie ich es oben formuliert habe
Das würde mich ja schon interessieren, weil eigentlich (zumindest soweit mein Verständnis) kommuniziert die App ja mit dem Server nicht nur wenn ich eine Nachricht schicke.
Außerdem hat Signal auch „versucht“ Schutzmaßnahmen zu implementieren um Paket-Daten/Größe-Analyse zu erschweren (finde aber gerade keine Quelle)
Absolut, ob es von Anfang an geplant war möchte ich nicht behaupten, aber die Metadaten werden sicher mittlerweile von Sicherheitsbehörden automatisiert ausgewertet. (Zumindest in Amerika und auch in Europa bei Verdacht).
Signal, Threema, Telegram… Sind da auch nicht die Lösung
Ich hatte mir Deltachat mal angeschaut und fand das Grundkonzept eigentlich sehr gut. Wenn man nun noch mehrere E-Mail Provider hinterlegen könnte und diese zufallsgesteuert zum Senden der Nachrichten benutzt würden, wäre mit einfachen Mitteln viele Probleme gelöst. (Ohne jetzt auf die Verschlüsselung als solches einzugehen. Man müsste halt die Reihenfolge irgendwie in die verschlüsselten Nachrichten mit einbetten.)
Die Server, die Signal einsetzt, erhalten jeweils notwendig die IP-Adressen der Kommunizierenden.
Kommunikationspartner reagieren viel häufiger zeitnah als andere.
Dh. du musst nur herausfinden, wer häufig schnell nach einer anderen IP reagiert. Dann hast du schon einmal eine Wahrscheinlichkeit, dass die beiden „zusammengehören“.
Zweitens zerstäuben unsere Geräte nicht umsonst permanent ihre IP in alle Welt, insbesondere auch an den Hersteller, was technisch völlig unnötig ist und lange Zeit auch nicht der Fall war.
Da braucht also nur ein weiteres „Netz“ aufgespannt zu sein - existieren tun sie in der Form von US-Datenkraken oder auch „Leitungsüberwachung“ - allüberall und du hast auch die Identität beider Kommunikationspartner schnell mit einer extremen Wahrscheinlichkeit.
Ein „im selben WLAN“ „schlafend“ herumliegendes Android … EINE Email an einen, der dummerweise eben nur eine Google-Email-Adresse hat (IP-Stripping ist die Ausnahme, gibt es aber bspw. bei Posteo.de).
Wie schnell bist du anhand all „dieser Bewegungen“ auch bei wechselnder IP identifiziert?
Ein paar Stunden vielleicht, je nach Intensität der Nutzung …
„Bewegungen“ reichen. Immer.
NUR EXKURS Unternehmen, die der NSA/FBI NICHT den Zugriff auf Ausländerdaten ermöglichen, sind in den USA ganz schnell illegal: Schließlich „unterschreibst“ du ja überall - in allen AGBs -, dass die deine Daten aufgrund rechtmäßiger Anforderung an Dritte übermitteln dürfen. Wenn dann also die Anforderung deiner Daten keiner nennenswerten Begründung bedarf, weil du Ausländer bist, wo ist dann dein „Schutz“? Der „große Krieg“ zwischen Apple und dem FBI vor ein paar Jahren als es um die Daten von zwei Terrorverdächtigen ging, wäre uns nicht bekannt geworden, hätte es sich nicht um US-Bürger gehandelt.
*Keine Presse, kein Gericht hätte sich interessiert. Denn nur US-Bürger genießen Privatheitsschutz. Nicht aber wir. * Wir sind, was Datenschutz angeht, in Guantanamo. Von (US-)Verfassungs wegen. Ganz anders: Die EU. Hier darf sogar jeder US-Bürger, dem bspw. der Zoll das Tagebuch/das Smartphone/den Laptop „geöffnet“ hat, mit vollem Recht Klage vor Gericht erheben. Warum? Weil er ein Mensch ist und die EU deshalb „Privatheit“ als Menschenrecht anerkannt hat (Art. 8 Grundrechtecharta), weil sie sowohl essentiell für die Menschenwürde, als auch das Funktionieren von Rechtsstaat und Demokratie ist.