XMPP und Matrix im Vergleich mit Signal und Threema

Beim Privacy-Handbuch hat man sich die Arbeit gemacht und in zwei Artikel Matrix/Riot und Jabber/XMPP hinsichtlich der Sicherheitskonzepte überprüft. Beim Jabber/XMPP wird als Maßstab ausdrücklich Signal und Threema angelegt, bei Matrix/Riot zumindest unterschwellig. Beides lohnt sich zu lesen.

Bei beiden werden strukturelle Schwächen im Sicherheitskonzept ausgemacht. Das ermöglicht nicht nur Man-in-the-middle-Angriffe, sondern es gibt auch Datenschutz-Probleme wie unverschlüsselte Kontaktlisten, Gruppenmitgliedschaften etc. pp. auf den Servern. Ein Punkt, den man bei WhatsApp so gerne kritisiert. Im Fall von Jabber kritisieren sie beim Privacy-Handbuch auch die zusammen gestückelte Verschlüsselung (ich hatte hier schonmal darüber geschrieben: Dezentralisierte Dienste – Zu spät, zu kompliziert, zu fragmentiert).

Eine strukturelle Schwäche liegt einfach im föderalen Ansatz beider Protokolle. Dieser verhindert nicht nur systembedingt einige Sicherheitsmaßnahmen, sondern setzt z. B. bei Matrix/Riot auch Vertrauen in alle anderen Server-Betreiber voraus.

Beide Artikel sind auch deshalb lesenswert, weil in Teilen der Datenschutz-Szene und Open Source Community beide Protokolle als vermeintlich sichere Alternativen zu den klassischen Messengern hoch geschrieben werden. Hier fällt eine nicht Fakten-basierte Vermengung von Open Source-Begeisterung mit einem Faible für dezentrale Ansätze und Sicherheits-Illusionen zusammen. Dies kann man leider sehr oft beobachten, wenn Open Source und Eigenbetrieb pauschal mit Sicherheit gleich gesetzt werden (siehe auch: Kommentar: Der fatale Glaube an Open Source).

Ganz ähnlich ist das mit Telegram, dessen Popularität sich eigentlich nur aus der Halbwahrheit es sei Open Source speist und der Möglichkeit Clients für jede noch so kleine Nischenplattform zu entwickeln. Kurioserweise führte beides zu der weit verbreiteten Annahme Telegram sei in irgendeiner Form sicherer als die proprietären Alternativen (siehe: Kommentar: Telegram ist unsicher – welch Überraschung).

Die strukturellen Probleme bedeuten nicht, dass Matrix/Riot oder XMPP keine Grundlage für sinnvolle Entwicklungen seien können. So testet die Bundeswehr momentan Matrix und die französische Regierung machte dies bereits erfolgreich vor. Beide werden allerdings kaum den föderalen Ansatz unterstützen. Privatanwender sollten weiterhin auf Signal (wenn Open Source) oder Threema zurückgreifen (siehe auch: Sichere Messenger – Verschlüsselung und Metadaten). Beides ist nach aktueller Erkenntnislage sicherer als Matrix und XMPP.

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...