Beim Privacy-Handbuch hat man sich die Arbeit gemacht und in zwei Artikel Matrix/Riot und Jabber/XMPP hinsichtlich der Sicherheitskonzepte überprüft. Beim Jabber/XMPP wird als Maßstab ausdrücklich Signal und Threema angelegt, bei Matrix/Riot zumindest unterschwellig. Beides lohnt sich zu lesen.
Bei beiden werden strukturelle Schwächen im Sicherheitskonzept ausgemacht. Das ermöglicht nicht nur Man-in-the-middle-Angriffe, sondern es gibt auch Datenschutz-Probleme wie unverschlüsselte Kontaktlisten, Gruppenmitgliedschaften etc. pp. auf den Servern. Ein Punkt, den man bei WhatsApp so gerne kritisiert. Im Fall von Jabber kritisieren sie beim Privacy-Handbuch auch die zusammen gestückelte Verschlüsselung (ich hatte hier schonmal darüber geschrieben: Dezentralisierte Dienste – Zu spät, zu kompliziert, zu fragmentiert).
Eine strukturelle Schwäche liegt einfach im föderalen Ansatz beider Protokolle. Dieser verhindert nicht nur systembedingt einige Sicherheitsmaßnahmen, sondern setzt z. B. bei Matrix/Riot auch Vertrauen in alle anderen Server-Betreiber voraus.
Beide Artikel sind auch deshalb lesenswert, weil in Teilen der Datenschutz-Szene und Open Source Community beide Protokolle als vermeintlich sichere Alternativen zu den klassischen Messengern hoch geschrieben werden. Hier fällt eine nicht Fakten-basierte Vermengung von Open Source-Begeisterung mit einem Faible für dezentrale Ansätze und Sicherheits-Illusionen zusammen. Dies kann man leider sehr oft beobachten, wenn Open Source und Eigenbetrieb pauschal mit Sicherheit gleich gesetzt werden (siehe auch: Kommentar: Der fatale Glaube an Open Source).
Ganz ähnlich ist das mit Telegram, dessen Popularität sich eigentlich nur aus der Halbwahrheit es sei Open Source speist und der Möglichkeit Clients für jede noch so kleine Nischenplattform zu entwickeln. Kurioserweise führte beides zu der weit verbreiteten Annahme Telegram sei in irgendeiner Form sicherer als die proprietären Alternativen (siehe: Kommentar: Telegram ist unsicher – welch Überraschung).
Die strukturellen Probleme bedeuten nicht, dass Matrix/Riot oder XMPP keine Grundlage für sinnvolle Entwicklungen seien können. So testet die Bundeswehr momentan Matrix und die französische Regierung machte dies bereits erfolgreich vor. Beide werden allerdings kaum den föderalen Ansatz unterstützen. Privatanwender sollten weiterhin auf Signal (wenn Open Source) oder Threema zurückgreifen (siehe auch: Sichere Messenger – Verschlüsselung und Metadaten). Beides ist nach aktueller Erkenntnislage sicherer als Matrix und XMPP.
