Conversations er en open source og sikker Jabber/XMPP-klient til Android. En praktisk instant messaging-app uden at ofre dit privatliv.
Facebook Messenger, WhatsApp og WeChat er de tre bedste instant messaging-apps, der i øjeblikket dominerer markedet. Deres fortsatte dominans kan let forklares ved deres inklusion af en brugervenlig grænseflade sammen med en brugerbase på millioner af mennesker. Imidlertid deler hver af disse IM-apps én fejl: de ejes af sociale medier-giganter. Hvis nogen tilmelder sig en WhatsApp-konto, skal de også acceptere Facebooks brugerlicensaftale. Det er generelt underforstået, at du handler med dit privatliv for at bruge disse bekvemme tjenester. Selvom WhatsApp-udviklere implementerede end-to-end-kryptering som en standardfunktion, er selve appen det ikke fuldt åben kildekode, så det kommer ned til blind tillid, om du mener, at Whatsapp ikke kan indsamle data om du.
For en glat meddelelsesoplevelse er alle de store instant messaging-apps afhængige af Androids native meddelelsesoverførselsimplementering kaldet Google Cloud Messaging (GCM). Beskeden kommer i kontakt med forretningsinteresser, før den overhovedet når serveren. De fleste brugere er ikke villige eller i stand til at bekræfte, om den tjeneste, de bruger, holder sine løfter, og endda eksperter kan kun gætte, om WhatsApp stadig opfylder visse sikkerhedsstandarder, efter at applikationen har været opdateret. Hver opdatering kræver en uafhængig sikkerhedsrevision, som kræver samarbejde fra udbyderen – i dette tilfælde Facebook.
Uafhængighed er nøglen her, som fører os til Samtaler Messenger. Det er en fuldt open source-instant messaging-app, som undgår at bruge GCM ved at bruge XMPP protokol i stedet - giver kontrol til brugeren. Samtaler giver dig mulighed for køre flere konti samtidigt og du kan endda bruge en anden konto for hver kontakt. Mens andre messengers ikke synligt nævner, hvilken server den givne information er uploadet, lader Conversations brugeren bestemme, hvilken Jabber-server der fortjener deres tillid. Eller du kan endda bare bruge din egen server. Conversations tilbyder også en server, der er optimeret til dens krav, og de første 6 måneders serverbrug er gratis.
Valg adskiller samtaler fra mængden. Applikationen understøtter skift mellem krypteringsalgoritmer i farten, og du kan vælge mellem tre krypteringsalgoritmer: PGP, OTR og OMEMO. Mens PGP og OTR er velbetroede algoritmer, skubber OMEMO det videre. OTR var aldrig egnet til et flertal af brugere, simpelthen fordi begge kommunikationspartnere skulle være online på samme tid til levering af beskeder. OMEMO løser denne store ulempe ved OTR; levering af beskeder kræver ikke, at begge brugere er online samtidigt.
OMEMO tilbyder Fremad hemmeligholdelse. Hvad betyder det? Det giver et ekstra lag af beskyttelse, der holder dine data sikre. Her er et scenarie: ende-til-ende-kryptering er afhængig af den private nøgle, der udelukkende er gemt på enheden, så hvis telefonen bliver stjålet, falder den private nøgle i hænderne på tyven. Uden Forward Secrecy kunne tyven dekryptere alle beskeder gemt på telefonen. Forward Secrecy-protokollen genererer en tilfældig nøgle for hver session, så selvom den private nøgle er i de forkerte hænder, er de gemte beskeder stadig sikre.
Normalt stoler brugere på identiteten af deres samtalepartner, så det er derfor, OMEMO bruger enhedsidentiteter. Hver OMEMO-tast kommer med et unikt fingeraftryk, der gør det muligt at verificere samtalepartneren for eksempel via et telefonopkald. Når chatpartnerne er verificeret, vil Double Ratchet-algoritme sikrer, at kun modtageren af beskeden er i stand til at dekryptere den. Double Ratchet genererer og krypterer hver besked med en midlertidig nøgle. Når leveringen er vellykket, er nøglen værdiløs og kan ikke bruges til at dekryptere noget. Det er kun beregnet til at holde data sikker, mens du rejser gennem world wide web.
Samtaler er tilgængelige i Google Play Butik og Amazon App Store. Selvom App Store-versionerne ikke er gratis, er applikationen det åben kildekode så du kan kompilere det til dig selv eller tag det fra F-Droid.
Pris: 3,99.
4.2.
[appbox amazonapps B00WD35AAC]
Interesseret i at lære mere om appen fra hestens mund? Daniel Gultsch, hovedudvikler af Conversations, tog sig tid til at besvare mine spørgsmål.
Interview med udvikleren af samtaler
Q: Vil du venligst kort præsentere dig selv?
A: Mit navn er Daniel Gultsch og jeg arbejder som freelance softwareudvikler og rådgiver.
Q: Hvad motiverede dig til at udvikle samtaler?
A: Jeg bruger Jabber/XMPP i mange mange år. Allerede tilbage i 2009 var jeg i stand til at bruge Jabber på min Nokia e71. Engang omkring år 2012 skiftede jeg til en Android-telefon, så jeg pludselig var ude af stand til at bruge Jabber. Der var en Jabber-klient til Android tilgængelig (Xabber), men det var det modsatte af visuelt tiltalende.
I begyndelsen af 2014 spekulerede jeg på, hvor svært det kunne være at udvikle en chatklient, der ser bedre ud (end Xabber). På dette tidspunkt havde jeg erfaring inden for softwareudvikling, men ikke til Android. Efter et par dage kom en UI Mockup til live, så jeg spekulerede på, hvor svært det kunne være at lære at sende og modtage jabber-beskeder til denne UI. Tre måneders fuldtidsarbejde senere blev den første version af Conversations frigivet.
Q: Kan du give tre grunde til, hvorfor Samtaler beskytter dit privatliv bedre end Whatsapp eller Threema?
A: Jeg behøver ikke at give mit private telefonnummer til fremmede, hvis jeg vil chatte med dem. Jeg kunne have en privat og en virksomhedskonto. Jeg kan deaktivere virksomhedskontoen efter min vagt for at forhindre, at min chef irriterer mig i min fritid. WhatsApp giver alle mulighed for at analysere mine appbrugsmønstre til enhver tid. (Min chef kunne forfølge mig for at undersøge, om jeg bruger WhatsApp i min arbejdstid, eller om jeg bruger WhatsApp om natten i stedet for at sove og komme veludhvilet til kontoret.) Dette er anderledes med Samtaler; Samtaler uploader heller ikke hele min adressebog til Facebook.
Spørgsmål: Hvor meget koster et års abonnement på en Conversations.im-konto?
A: 8 Euro (ca. 9 USD). Efter seks måneders prøveperiode. Abonnementer fornyer ikke sig selv. Det er ikke nødvendigt at opsige abonnementet.
Q: Hvilke fordele tilbyder en Conversations.im-konto sammenlignet med andre XMPP-servere?
A: Nye funktioner, som kræver support på serversiden, leveres først til conversations.im. Generelt forsøger vi at køre conversations.im med lidt højere krav. En server, der er drevet af et hobbyprojekt, kan svigte i en dag, mens personen er på ferie. Vi forsøger at undgå sådanne ting til samtaler.im. I det mindste i servicetiden er der altid nogen i nærheden, der kan tage sig af serveren, hvis det kræves. Ydermere understøtter du udviklingen af serveren, som også er open source. Ændringer, der er lavet specifikt til vores Samtale-app, ender i serverens kode og er tilgængelige for andre.
Q: Kan jeg købe samtaler via Bitcoin?
A: Ikke appen. Appen sælges i Google PlayStore, de accepterer ikke Bitcoins. Det er muligt at downloade appen gratis via Open Source App Store F-Droid. I så fald tager jeg gerne imod donationer via Bitcoin.
Q: Hvad er OMEMO?
A: En (valgfri) ende-til-ende-kryptering til Jabber.
OTR fejlede let. Hvis en bestemt besked går tabt på grund af dårlig telefonsignaldækning, kan opfølgende beskeder heller ikke leveres. Desuden er OTR kun i stand til at udveksle beskeder mellem præcis to enheder max. For eksempel: Når jeg er logget på med to enheder samtidigt (mobiltelefon og desktop), skal min modpart beslutte, om han vil sende beskederne til telefonen eller til skrivebordet. Hvis min modpart ikke er i stand til at klare clairvoyance, hvilken enhed jeg bruger i øjeblikket, er dette et problem. Udover det synkroniseres beskeder selvfølgelig ikke i det tilfælde, og jeg savner en del af samtalehistorikken på hver enhed. OMEMO slipper for begge problemer. OMEMO er mere pålidelig og i stand til at håndtere flere enheder.
Q: Hvad er fremadrettet hemmeligholdelse?
A: Lad os antage, at jeg ville slette min samtalehistorik ofte (kan automatisk slette beskeder, der er ældre end en konfigureret tidsperiode.
Lad os antage, at nogen gemte hele min krypterede kommunikation.(Så han kan ikke gøre noget med det, han har den krypterede tekst, ikke den almindelige tekst. Nu stjæler denne person min telefon. Selve beskederne er ikke længere placeret på telefonen (de slettes ofte), men mit nøglemateriale (min private nøgle) er der stadig.
Hvis en kryptering ikke har Forward Secrecy, er denne nogen i stand til at kombinere det fundne nøglemateriale på min telefon plus de krypterede beskeder, som han optog, før han var i stand til at rekonstruere sletten tekst. Hvis krypteringen har Forward Secrecy, er dette ikke muligt.
Q: Hvad beskriver begrebet Per Message Overhead?
A: Mængden af båndbredde, der kræves henholdsvis tilføjet af krypteringen. Lad os antage, at en ikke-krypteret besked har en størrelse på 2KB, og den samme krypterede besked ville have en størrelse på 5KB. I dette tilfælde er 3KB "overhead" skabt ved kryptering.
Q: Planlægger du at implementere en opkaldsfunktion?
A: Nej. Nye funktioner kommer, hvis jeg selv har brug for dem, eller hvis de giver mening ud fra et økonomisk perspektiv. (Hvor mange flere mennesker ville bruge appen, hvis denne funktion var der, og hvor dyrt er det at udvikle sådan en funktion?) Desværre er opkaldsfunktionen meget, meget, meget dyr, og personligt bryder jeg mig ikke meget om dette funktion.
Q: Hvordan kan jeg understøtte udviklingen af appen efter at have købt applikationen?
A: Der er detaljer om, hvordan man donerer på vores hjemmeside. Promotion og reklame hjælper selvfølgelig også, og appen er Open Source. Dem, der er i stand til at udvikle software, kan selvfølgelig hjælpe med kodning.
Q: Har du udviklet OMEMO-algoritmen på egen hånd?
A: Nej. Det var et Google Summer of Code-projekt.(Google Summer of Code betyder, at Google betaler eleverne 3 måneder for at arbejde på Open Source-projekter). OMEMO blev udviklet til samtaler af en studerende.
Q: Hvad er dine videre planer for udviklingen af Samtaler?
A: Virkelig store nye funktioner kommer sandsynligvis ikke. Samtaler gør alt, hvad de skal. Under motorhjelmen vil der være en eller anden tweak (Dataforbrug/forbindelseshastighed og så videre.) Men det er ikke noget synligt for den gennemsnitlige bruger. En lille ting, der højst sandsynligt vil blive realiseret næste gang, er muligheden for at bekræfte overførslen, før billedet sendes. Indtil dato billeder sendes altid med det samme.
Spørgsmål: Er det tilladt at kompilere samtaler på egen hånd fra din Github og bruge den til privat brug?
A: Selvfølgelig. Ikke kun privat, også til erhverv og alt det andet, du ønsker. Det er også tilladt at ændre koden for at opfylde individuelle krav.
Q: Er det muligt at tunnelere samtaler via en VPN?
A: Ja.
Q: Til sidst vil vi gerne høre antydningen af en professionel. Hvilke målinger, udover at bruge Samtaler, anbefaler du for at beskytte privatlivet som Android-bruger?
A: Aktiver annonceblokering i din browser. For eksempel Firefox (også tilgængelig til Android) og tilføjelsen uBlock.
Sluk placeringstjenesterne (i de seneste Android-versioner er der en quicktile til det), når de ikke er i brug. Ellers ved Google, hvor du har været hele tiden.
Disse to ting er meget enkle at anvende og er praktisk nyttige.
Redaktørens note: denne artikel blev oprindeligt skrevet på tysk af Raúl Radonz. Den blev oversat af Raúl Radonz og blev redigeret af Mishaal Rahman. Raúl Radonz og XDA-Developers vil gerne takke Mr. Gultsch for at tage sig tid til at gennemføre dette interview.