Startschuss für Chat-Verschlüsselung bei XMPP/Jabber

Seit gestern lehnen eine ganze Reihe von XMPP-Servern unverschlüsselte Verbindungen ab. Das offene XMPP-Protokoll, vielen Nutzern auch unter dem Namen "Jabber" bekannt, ist die Grundlage von vielen Chatprogrammen. Mehr als 70 Anbieter von XMPP-Diensten hatten im November ein Manifest unterzeichnet, das Verschlüsselung als zwingenden Teil des Standards gefordert hatte. Die Forderung war von Peter Saint-Andre, dem Leiter der XMPP Standards Foundation, initiiert worden.

Da XMPP ein verteiltes Netzwerk mit vielen verschiedenen Dienstanbietern ist, kann keine zentrale Instanz das gesamte Netzwerk dazu zwingen, Verbindungen zu verschlüsseln. Die an der Aktion teilnehmenden Dienste decken allerdings einen großen Teil der Verbreitung des Protokolls ab. Verbindungen über diese Dienste sind nun mit Hilfe von TLS transportverschlüsselt – nach gängigen Empfehlungen der IETF. Das verhindert zwar passives Mithören von Gesprächen auf dem Transportweg, lässt aber weiterhin Angriffe über die Server der Dienstanbieter zu.

Saint-Andre bezeichnet die gestrige Umstellung als "ersten Schritt" zu einem sichereren Netzwerk für alle XMPP-Nutzer. Nun müsse man daran arbeiten, Ende-zu-Ende-Verschlüsselung (etwa mit der Erweiterung OTR), sichere Nutzeranmeldung und unangreifbares DNS umzusetzen.Vor allem Anbieter wie Google, deren Hangouts-Dienst ursprünglich auf XMPP basierte, weigern sich nach wie vor, ihre Nutzer mit Ende-zu-Ende-Verschlüsselung zu schützen. Dabei wird oft argumentiert, dass Ende-zu-Ende-Verschlüsselung den Anwendern zu kompliziert sei. Das bestreitet Jürgen Schmidt in seinem Kommentar Warum Google uns echte Verschlüsselung verweigert und belegt das auch mit einem konkreten Beispiel.

Wenn man nach der gestrigen Änderung Probleme hat, Kontakte über XMPP zu erreichen, kann man die entsprechenden Server über das sogenannte IM Observatory auf den Status der Transportverschlüsselung testen. (fab)