Bittorrent Bleep: dezentraler Krypto-Messenger

bittorrent_bleepBittorrent Bleep ist ein neuer, dezentraler Krypto-Messenger für Windows, Mac, Android, mit dem man anonymer und sicherer Kurznachrichten austauschen, chatten und auch telefonieren kann.

Vorsicht, die Software ist noch Alpha!

Die wichtigsten Ideen des Messengers:

Bittorrent Bleep: das gefällt

Bittorrent Bleep: Menü

Bittorrent Bleep: Menü

  • Dezentral: Bittorrent Bleep verzichtet weitgehend auf zentrale Server (die man ausspionieren, lahmlegen, fälschen kann): Wie bei einem P2P-Filesharing-Netzwerk a la Bittorrent hält sich die Infrastruktur selbst aufrecht. Jeder einzelne Bleep-Client agiert intern als (eine Art SIP-) Server, dessen (SIP-) Client die Bleep-Benutzeroberfläche ist.
  • Abhörsicherer: Alle Bleep-Verbindungen sind verschlüsselt, verwendet wird eine rudimentäre PKI, innerhalb der temporäre symmetrische Sitzungsschlüssel ausgehandelt werden.
  • Metadaten-sparsam: … weil Bleep eben ohne zentrale Server arbeitet. Wer mit wem, das wissen nur die jeweils beteiligten Kommunikationspartner. Eine Ausnahme ist die Verbindungsaufnahme: Denn um die IP-Adresse zum Public Key zu ermitteln, muss Bleep in einer Art Telefonbuch nachsehen; dieses wird in Bleep als verteilte Hashtabelle (DHT) von allen Teilnehmern gehalten.
  • Anonymer: Als Identität dient allein der Public Key, man kann (muss aber nicht: beim Start einfach „incognito“ wählen) sich über zusätzliche E-Mail-Adressen (oder eine Telefonnummer) findbar machen, auch gibt es einen Nickname. Natürlich hat die „Anonymität“ Grenzen und ist nicht gegen Fehlbedienungen gefeit, wenn man etwa, wie ich, seinen Namen und reale Mail-Adresse mit dem Key verbindet oder den QR-Codes seines Public Keys dort postet, wo auch die Identität offenbart wird (etwa in einem Forum, das man nicht via Tor nutzt).
  • Plattformen: Bittorrent Bleep läuft sowohl auf Desktops als auch auf Mobilgeräten (derzeit: Android).
  • Free: Man darf gespannt sein, ob irgendwann noch ein Geschäftsmodell absehbar ist. Denkbar wäre etwa, den Client, der ja auch Telefonie kann, als „serverfreien Radiosender für alle“, eine Art Hangouts ohne Googlekrake, zu etablieren, ähnlich, wie sich dies in Bittorrent Live ankündigt.
  • Easy: Mit Bleep will Bittorrent sichtlich „normale User“ ansprechen, entsprechend ist das eigentlich alles sehr einfach gestaltet. (Aber ob die Masse der Nutzer wirklich mit den QR-Codes klarkommt?)
  • Chat und Telefonat: Heißt es, ich habe nur Chat (und nur auf Win/Mac) ausprobiert. (Telefon ist so 70er…)

Natürlich kann man auch einiges an dem Ding aussetzen:

 Bittorrent Bleep: das gefällt nicht

Bittorrent Bleep: Chat

Bittorrent Bleep: Chat

  • Zu USA: Die Software kommt aus einem Land, dessen Geheimdienste den Etat ganzer Staaten haben und das nicht dafür bekannt ist, die „Nationale Sicherheit“ hintenan zu stellen.
  • Zu closed-source: Es ist derzeit nicht transparent, welche Protokolle Bittorrent Bleep nutzt und wie diese implementiert sind und mangels Open Source kann dies auch keiner sichten. Allerdings kommt so manches Open-Source-Projekt ja nicht recht in die Gänge, während Bittorrent, Inc. eben Geld verdient und damit Dinge weiterentwickelt. In bin da wenig dogmatisch, es sei dennoch erwähnt.
  • Zu easy: Um den Private Key, der ja zur Entschlüsselung unbedingt notwendig ist und der unbedingt geheim bleiben muss, ins Smartphone zu übertragen, knipst man mit dem Android-Smartphone samt Bleep-App einen von der Windows-Anwendung erzeugen QR-Code ab, der den privaten Schlüssel enthält (KREISCH!). Das macht es natürlich einfacher, als die Nutzer mit irgendwelchem Passwortgeschützten Import- und Export von Zertifikaten zu behelligen, aber da schüttelt’s mich doch ein bisschen.
  • Eben doch nicht sooo anonym: Zwei Identitäten im aktuellen Internet können nicht miteinander kommunizieren, ohne ihre Identität in Form ihrer IP-Adresse zu kennen. So ermittelt man ja auch die Raubkopierer in Bittorrent: Man hängt sich an den gleichen Torrent und sieht, wer außer einem selbst beteiligt ist. Die Metadaten der bestehenden IP-Verbindungen wiederum lassen sich nicht tarnen, das könnte nur ein komplett anderes Internet (etwa auf Basis von cjdns). Führt eine angreifende Schurkenstaat-Organisation, nennen wir sie spaßeshalber „NSA“, eine hinreichende Menge an solchen Verbindungsdaten zusammen, könnten sich daraus Dinge ableiten lassen wie „Terrorist A telefonierte früher drei Mal pro Woche mit Terrorist G, L, O und Z UND derzeit hat IP-Adresse n1 drei Mal pro Woche Bleep-Kontakt mit n2, n3, n4 und n5, ergo ist n1 A, n2 G, n3 L und so weiter“ (sehr, sehr vereinfacht dargestellt und vielleicht auch falsch ;-).
  • Noch-ein-Messenger: Ich wollte mich dem Thema Krypto-Messenger mal in einem Beitrag nähern, aber das ist ja leider inzwischen ein Fass ohne Boden, und man fragt sich schon, warum man noch einen braucht. Im Fall von Bleep spricht der dezentrale Ansatz dafür und die Hoffnung, dass Bittorrent die Popularität seines P2P-Protokolls ins Reichweite umsetzen kann. Aber es gibt durchaus Alternativen zu Bleep, etwa CryptoCat, MyEnigmaTextSecure und Threema (weitere s.u.).

Warum Bittorrent Bleep nutzen?

  • Es plattformübergreifend nutzbar. Was mich am meisten an Diensten wie Threema stört, ist, dass sie nur mobil zu haben sind. Ich sitze aber nun mal 90% der Zeit am Desktop, jeder Messenger, der nicht auch Desktop-fähig ist, nützt mir einfach nichts.
  • Es sicherer als Whatsapp und Konsorten. Denn auch wenn sich sicher zahlreiche mal mehr, mal weniger hypothetische Angriffsszenarien ausdenken lassen, so ist jede verschlüsselte Kommunikation besser als die unverschlüsselte. Dabei sollte man dennoch nicht darauf vertrauen, dass keiner mithört, denn der Lauschangriff könnte auch schon in der Tastatur und via Bildschirm stattfinden. Sprich: Freischaltcodes für den Atomraketen-Erstschlag bitte nach wie vor nur persönlich übergeben.

Ich probiere das Teil selbst gerade erst aus. Falls jemand Bittorrent Bleep ausprobieren möchte und eine Gegenstelle sucht: 8fbb5ec5cc16ad98d2d10d914903a2dac5b8f09200574beffd3ee1fc0c591f3b,andreaswinterer

bleep_andreaswinterer_qr

Alternativen zu Bleep

Man sieht hier schon das Problem: die wenigstens verbinden mobile Geräte mit Desktops. Warum?

Nutzen Sie einen Krypto-Messenger? Welche Erfahrungen haben Sie gemacht?

 

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …