Conversations Guide

Conversations für Einsteiger

 

Conversations ist die modernste Jabber-App für Android-Smartphones und -Tablets. Sie ist einfach zu benutzen, aber die Ersteinrichtung ist nicht in jedem Punkt intuitiv. Deswegen führen wir neue Nutzer Schritt für Schritt und ohne Technik-Sprech vom Runterladen der App bis hin zum Austausch verschlüsselter Nachrichten.

Wer eine neue App installiert hat, will meist schnell loslegen – entsprechend knapp sind hier die einzelnen Schritte gehalten. Und wer doch weitergehende Infos haben will, klickt bei Bedarf einfach auf die Fußnoten.

 

  1. Voraussetzungen

 

– Ein Account bei Jabber.de: eine Adresse nach dem Muster xxx@jabber.de und das zugehörige Passwort [1]

– Ein Mobilgerät mit Android 4.0 oder neuer

  1. Download

–  Conversations ist bei Google Play für – gut angelegte – 2,39 € zu haben.

– Alternativ kann die App kostenlos und ganz legal über F-Droid heruntergeladen werden, dem App-Store für freie und quelloffene Android-Software (f-droid.org). [2]

  1. Los geht‘s

Beim allerersten Start von Conversations e rscheint ein Fenster, in dem wir unten rechts zwei Optionen haben: „Konto erstellen“ und „Nutze eigenen Provider“.

Ein Tapp auf „Nutze eigenen Provider“ führt zum nächsten Schritt, wo man seine eigene Jabber-Adresse und das
zugehörige Passwort einsetzt.

 

 

 
Dann ein Tapp auf „Weiter“, und es folgt das Angebot, einen Avatar für seinen Account festzulegen – ein Bildchen, das Kommunikationspartner künftig zu sehen bekommen.Braucht man nicht, kann man auch später einrichten, also ein Tapp auf „Überspringen“.

 

 

  1. Auf Kontaktsuche

 

Das war‘s soweit, Conversations ist jetzt mit dem eigenen Jabber-Account verknüpft
. Als nächstes erscheint ein Fenster mit den bisherigen Unterhaltungen – und da es noch keine gegeben hat, sieht es ziemlich leer aus. Und es sind auch keine Kontakte aufgelistet. Die werden in Handarbeit hinzugefügt, indem man oben in der Leiste auf das Männchen mit dem Plus-Zeichen tappt . [3]

 

 

In dem dann aufpoppenden Fenster wird unter „Jabber-ID“ die die Adresse des Kommunikationspartners eingegeben, in unserem Beispiel xanthippe@jabber.de.

 

 

 

 

 

  1. Nachrichtendienste

 

Ist der Kontakt eingegeben, kann es mit dem Austausch von Nachrichten losgehen. Die Vorgabe dabei ist „Unverschlüsselt schreiben“, das Symbol oben in der Fensterleiste zeigt ein offenes Schloss – und das reicht auch für ein erstes Hallo.
. Der Empfänger erhält die Nachricht und wird außerdem von Conversations gefragt, ob er den Absender zu seinen Jabber-Kontakten hinzufügen möchte. Bestätigt er diese Frage, haben sich damit die beiden Kommunikationspartner – oder genauer gesagt: ihre Smartphones – miteinander bekannt gemacht.

 

 

  1. Vertrauen ist gut…

Nach dieser gegenseitigen Vorstellung wird es Zeit, die weitere Unterhaltung verschlüsselt fortzusetzen. Ein Tapp auf das Schlosssymbol oben in der Leiste öffnet die entsprechenden Optionen, und wir wählen OMEMO aus [4] Schon ist der weitere Austausch von Nachrichten mit einem zeitgemäßen, auf Jabber angepassten Verschlüsselungsverfahren abgesichert.

 


Zu erkennen ist das an dem Schlosssymbol bei eintreffenden Nachrichten, die eigenen werden mit einem Schild mit Häkchen als verschlüsselt gekennzeichnet – außerdem gibt es einen entsprechenden Hinweis im Feld für die Texteingabe.

 

 

7.…Kontrolle ist besser

 

Die Vertrauensbasis, die bisher zwischen den Endgeräten der Kommunikationspartner hergestellt wurde, ist völlig ausreichend, um den Nachrichtenaustausch gegen die allgegenwärtige Massenüberwachung abzusichern… und wem das reicht, kann sich an dieser Stelle schon ausklinken.

 

Sollte aber während des ersten Austausches  mit aktivierter Verschlüsselung ein gezielter Angriff, eine sogenannte Man-in-the-Middle-Attacke, durchgeführt worden sein, könnte die folgende Kommunikation von einem technisch hochgerüsteten Gegner wie einem Geheimdienst doch belauscht werden. Wer also ein entsprechend ausgeprägtes Risikoprofil mitbringt oder sich einfach absolut sicher sein will, dass der, mit dem er kommuniziert, auch wirklich ist, wer er zu sein vorgibt, kann einen Schritt weiter gehen: durch den Austausch von QR-Codes, die den Nutzer (genauer: dessen Gerät) eindeutig identifizieren.

 

Um den eigenen QR-Code anzeigen zu lassen, tappt man zuerst auf seinen Avatar oder den Buchstaben, der die eigenen Nachrichten markiert – im Fall von Zaccharias also das Z. Es öffnet sich ein Fenster mit den eigenen Kontodetails.

Hier tappen wir auf die drei Pünktchen oben rechts und wählen „Barcode anzeigen“ aus.
Der jetzt aufpoppende QR-Code identifiziert mich so eindeutig und unverwechselbar wie ein Fingerabdruck.Um den QR-Code seines Gegenübers zu scannen, geht man entsprechend vor:

 

 

Auf der Seite, die in Conversations alle Kontakte aufführt (bei unserem Beispiel gibt es da nur Xanthippe), tappt man zuerst auf das + in der oberen Leiste, dann auf die drei Pünktchen oben rechts und wählt die Option „Barcode scannen“ aus.

Nach dem Scan ordnet Conversations
den QR-Code automatisch dem richtigen Kontakt zu.

 

 

 

 

Übrigens: Zum gegenseitigen Scannen der QR-Codes muss man sich nicht unbedingt persönlich treffen. Man kann seinen eigenen QR-Code zum Beispiel auch in einem sozialen Netzwerk veröffentlichen oder aber über einen sicheren Kanal verschicken, etwa als Anhang einer GnuPG-verschlüsselten E-Mail.

 

 

 

 

  1. Sonst noch was?

 

Jede Menge, Conversations hat einiges zu bieten. Aber einige Funktionen wie das Versenden von Bildern oder der Einsatz von Emojis sind selbsterklärend, und andere würden den Rahmen dieser kleinen Einleitung sprengen. Nur ein Hinweis noch auf ein beliebtes Feature: die Empfangsbestätigung. In den Grundeinstellungen gibt es nur eine Versandbestätigung, wer aber sicher sein will, dass die Nachricht auf dem Gerät des Kommunikationspartners angekommen ist, muss etwas tiefer vordringen: Einstellungen > Experteneinstellungen > Empfangsbestätigungen anfragen. (An der Warnung bei den Experteneinstellungen „Hier bitte vorsichtig sein“ ist was dran, doch bei den Empfangsbestätigungen ein Häkchen zu setzen bringt keine Risiken mit sich.)

 

 

 

[Fußnote 1]

Aus naheliegenden Gründen wird hier der Account von Jabber.de genannt, aber natürlich tun es auch solche von anderen Jabber-Servern. Nicht alle von ihnen unterstützen die Funktionen von Conversations allerdings vollständig. Eine empfehlenswerte Alternative zum Account bei Jabber.de (wir bitten zur Unterstützung des Serverbetriebs um Spenden!) ist etwa einer bei Conversations.im (sechs Monate kostenlos, dann 8 € pro Jahr). Abgesehen von der Deckung der Betriebskosten soll dieser Jahresbeitrag langfristing eingesetzt werden, um die Serverentwicklung zu finanzieren. Wer das unterstützen möchte, wählt unter Schritt 3 „Konto erstellen“ statt „Nutze eigenen Provider“.

 

[Fußnote 2]

Dafür ist dann zuerst ein Besuch auf der Website https://f-droid.org/ fällig, um die F-Droid-App herunter zu laden. Ist die auf dem Smartphone installiert, lassen sich daraus eine große Anzahl von Apps herunterladen – und eben auch Conversations. BITTE BEACHTEN: Bei der Installation aller Apps, die nicht über Google Play heruntergeladen werden, müssen in den Einstellungen des Smartphones unter „Sicherheit“ vorher „unbekannte Quellen“ zugelassen werden. Und wichtig: Nach der Installation hier wieder „unbekannte Quellen“ verbieten.

[Fußnote 3]

Warum so umständlich? Andere Messaging-Apps wie WhatsApp oder Signal machen es dem Nutzer einfacher, indem sie dessen Adressbuch flöhen, die Telefonnummern darin selbständig an den Server schicken, dort einen Abgleich mit bereits empfangenen Telefonnummern machen und dann die komplette Liste der möglichen Kommunikationspartner automatisch in der App präsentieren. Die Antwort ist schlicht: Sicherheit und Datenschutz. Zwar werden bei diesem bequemen Verfahren die Telefonnummern nicht im Klartext, sondern als sogenannte Hashes übermittelt, das bringt allerdings trotzdem Risiken mit sich.

 

Dabei ist die Idee von Hashes überzeugend (Vegetarier jetzt bitte weghören): Aus einem Rind kann man leicht Hack machen, aber es ist unmöglich, aus dem Hack das Rind zu rekonstruieren. In der Praxis haben solche mathematischen Einwegfunktionen allerdings einen Haken, obwohl hier Hash-Algorithmen als Fleischwolf eingesetzt werden: Die übermittelten Daten dürfen nicht aus zu wenigen Zeichen eines zu kleinen Zeichenraums bestehen. Und der Zeichenraum von Telefonnummern umfasst gerade mal 10 Ziffern, außerdem ist die Zeichenkette, die eine Telefonnummer darstellt, sehr kurz. Die Folge: Mit einem gewissen Rechenaufwand und sogenannten Rainbow-Tables lässt sich aus dem Häufchen Gehacktes das Rind, sprich die Telefonnummer, wieder herstellen. Aus diesem Grund wird bei Conversations weder die eigene Telefonnummer, noch solche aus dem Adressbuch an einen Server übertragen. Ein dickes Plus an Sicherheit, das die händische Eingabe der Kontakte nötig macht.

 

 

[Fußnote 4]

Conversations stellt drei verschiedene Verschlüsselungsverfahren zur Auswahl, wobei OMEMO die höchstentwickelte und als standardisierte Erweiterung (XEP) am besten an Jabber angepasste ist.

OTR hat historische Verdienste, ist aber aus verschiedenen Gründen nicht mehr zeitgemäß. Einer davon: Asynchrone Kommunikation ist nicht möglich, das heißt, die Verschlüsselung funktioniert nur, wenn beide Kommunikationspartner gleichzeitig online sind. Deswegen ist OTR in Conversations bloß als Fallback-Option gedacht – falls das Gegenüber auf dem Desktop oder dem Mobilgerät ein Jabber-Programm einsetzt, das keine Möglichkeit für OMEMO-Verschlüsselung bietet.

Auch die dritte Option, OpenPGP, bringt gegenüber OMEMO Nachteile mit sich, mal abgesehen von sehr speziellen Anwendungsfällen. Einer von diesen Nachteilen: Fällt einem Angreifer jemals der geheime PGP-Schlüssel in die Hände, ist er in der Lage, die komplette Kommunikation der Vergangenheit zu entschlüsseln. Das ist bei OMEMO anders: Hier werden auf Basis des geheimen Schlüssels auf dem Gerät laufend neue, nur kurzlebige Sitzungsschlüssel erzeugt. Für den Angreifer heißt das: Es führt kein Weg zurück. Im Normalfall sollte deswegen auch OpenPGP nur als Notlösung gewählt werden.