Matrix will die Vorteile von E-Mails und Messengern verbinden. Was ist das? Was kann es? Matrix gilt momentan als Eier legende Wollmilchsau.
Vorwort zum Thema Matrix
Die Welt ist (auch ohne Matrix) voller Messenger und gefühlt nutzen die allermeisten WhatsApp, Telegram oder Signal. Dazu gesellen sich dann noch eher Community getriebene Projekte, wie Discord, Slack oder Microsoft Teams.
Unser Dank gilt Marcel Stritzelberger, der uns diesen Text seines Blogs bsdbox.de netterweise kostenlos zur Verfügung gestellt hat. Das Timing kommt nicht von ungefähr, weil unser Techniker Clemens einen eigenen Matrix-Server aufgesetzt hat und wir dort einen eigenen Chat-Kanal planen. Der Traffic in unserer Telegram-Gruppe ist leider eher rückläufig. Außerdem bleibt abzuwarten, wann die EU dem Betreiber endgültig vorschreiben wird, was man dort so alles erlaubt und was nicht.
Alle Kommunikationslösungen beinhalten so ihre individuellen Vor- und Nachteile. Wer sich dann noch die üblichen Sicherheits-Blogs und Seiten anschaut (kuketz oder privacy-handbuch), wird schnell feststellen:
Auch Matrix ist nicht der Weissheit letzte Schluss
Es gibt nicht DEN einen Messenger, den alle toll finden und die Nutzung empfohlen wird. Der eine ist gut bedienbar, der andere hochsicher, aber nicht für Freunde und Familie geeignet. Das Ziel des Ganzen hier ist auch nicht eine anonyme und behördenzugriffsresistente Plattform zu betreiben, sondern, dass wir alle sicher und souverän miteinander kommunizieren können und dabei die Kontrolle über unsere Daten behalten. Und das last, but not least unter Umgehung der Ausschlachtung unser aller Daten von den IT-Konzernen.
Dabei dürfen wir auch nicht die Menschen vergessen, die eben kein tieferes IT-Wissen mit sich herumtragen und glauben, dass eine Verschlüsselung in WhatsApp kryptografischer Voodoozauber ist.
Wir suchen also einen Dienst, der auf dem Desktop und mobil per App genutzt werden kann, die eigenen Daten schützt, verteilt (also ohne zentrale Abhängigkeiten) betrieben und verschlüsselt wird, aber dabei benutzerfreundlich bleibt. Außerdem soll der Dienst beim Verlust des Gerätes nicht alle Daten verlieren, auch ohne Mobilfunknummer betrieben werden und mit einer eigenen eigenständigen Adresse versehen sein, die weltweit von allen anderen erreicht werden kann. Wenn wir die Verschlüsselung kurz ausblenden, haben wir das sogar schon. Ja, tatsächlich, die E-Mail! Dazu aber später mehr.
Über die individuellen Vor- und Nachteile gehen wir hier einmal kurz ein, zusammengefasst können wir aber festhalten:
- E-Mails: Verteilt, alt und kompliziert. Aber jeder kann jeden erreichen. Verschlüsselung ist bis auf ein paar Insel-Lösungen nicht so einfach machbar. Datensparsam zu mailen, ist ein riesen Problem.
- Messenger: Zentralisiert, einfach, aber nur ein interner Nutzungskreis. Also WhatsApp-User zu WhatsApp, WeChat zu WeChat etc. In Fragen des Datenschutzes oft fragwürdig, Metadaten werden kommerzialisiert und nicht selten zudem gewinnbringend an Geheimdienste übermittelt.
- Matrix: Verteilt und relativ einfach. Jeder kann jeden erreichen, Brücke zu anderen IM Diensten verfügbar, das Konzept spart Daten, statt sie zu verteilen.
- Fazit: Matrix kombiniert die Vorteile der Messenger mit der E-Mail.
Die klassische E-Mail mit Vorbildfunktion
Denn die E-Mail ist ein wunderbares Beispiel, wie verteilte Kommunikation funktionieren und jeder (wer möchte) einen eigenen E-Mail-Server betreiben kann. Kurz gesagt: Es reicht eine eigene Domain, damit jeder auf der Welt jede andere Adresse einrichten und erreichen kann. Das war auch das Erfolgsrezept der E-Mail und ist es heute noch.
Der Nachrichtenablauf bei der E-Mail ist wie folgt:
- ABSENDER A schreibt eine Email per E-Mailclient über seinen eigenen E-MAIL-SERVER A an EMPFÄNGER B
- E-MAIL-SERVER A fragt MX Eintrag den DNS der Zieldomain für E-MAIL-SERVER B: Welcher E-MAIL-SERVER ist denn für DOMAINNAME zuständig?
- Antwort vom DNS wer E-MAIL-SERVER B ist und genutzt werden soll.
- E-MAIL-SERVER A schickt seine Email per SMTP an E-MAIL-SERVER B.
- EMPFÄNGER B kann seine Emails vom E-MAIL-SERVER B per POP3 oder IMAP abholen/empfangen.
Heutzutage betreiben aber immer weniger Menschen oder Organisationen einen eigenen Server für E-Mails (für NAME@WUNSCHDOMAIN) und nutzen stattdessen einen freien Dienst (z.B. NAME@gmail.com), was aber eine nicht wünschenswerte Zentralisierung und Abhängigkeit erzeugt. Die E-Mail als Medium wird zunehmend nur noch im professionellem Umfeld genutzt. Jugendliche nutzen sie gar nicht oder nur selten. Trotzdem gilt die E-Mail immer noch eine sichere Bank und Schlüsseldienst im Internet. Gerade für eine Zwei-Faktor-Authentifizierung wird die E-Mail neben der SMS immer wichtiger.
Vor- und Nachteile bei- E-Mail-Versand
Vorteile:
- Jeder kann es nutzen
- Das Protokoll ist offen und verteilt
- Es gibt keine Beschränkung über das genutzte E-Mailprogramm
- Industriestandard
Nachteile:
- Keine Verschlüsselung der eigentlichen Nachricht. Nur mit extra Erweiterung SMIME (kostenpflichtige Zertifikate) oder GPG (kompliziert).
- Gesendete Nachrichten (z.B. aus Versehen) können nicht korrigiert werden.
- Die Einrichtung des E-Mail-Clients (E-Mailservers für Empfang und den Versand) ist für viele Menschen eine (zu hohe) technische Barriere.
- Für Gruppen und größere Diskussionen unübersichtlich und ungeeignet. Wir kennen und hassen alle die typische Mailflut.
- Anhänge vergrößern Nachrichten unverhältnismäßig (um Faktor 1,6).
- Formatierung der Nachrichten willkürlich und ineffizient (HTML vs. TXT vs. RTF).
- Hohes Spam-Aufkommen und ein oft genutztes Einfallstor für Schadcode.
- Das alles abzuwehren, macht das eigene Hosting heutzutage sehr aufwendig.
Was ist mit den typischen Instant Messaging Diensten (IM) ?
Für einfache, kurze und schnelle Nachrichten wie Whatsapp, Telegram, Signal und Co. ist E-Mail nicht geeignet. IM-Dienste sind extrem schnell und für den Benutzer einfach eingerichtet. In der Regel wird eine E-Mailadresse oder Mobiltelefonnummer als Benutzername vorausgesetzt. Eine Authentifizierung erfolgt per SMS/Zwei Faktor, teilweise sogar ohne Benutzeraktion. Daher kommunizieren die meisten Menschen über einen dieser IM Dienste. Wenn es dann noch um Gruppen – und Social Media- artige Funktionen geht, ist die E-Mail endgültig aus der Nummer raus. Geht es um Gruppen, stoßen Messenger allerdings schnell an ihre Grenzen. Der Klassen-Chat, den niemand mehr aufgrund der Masse der Beiträge lesen kann, lässt grüßen.
Eine gute Übersicht der Dienste mit allen Vor- und Nachteilen ist hier zu finden bei messenger-matrix.de.
Der Nachrichtenablauf bei Messengern ist wie folgt:
- ABSENDER A schreibt eine Nachricht an EMPFÄNGER B über seine App.
- Die App sendet die Nachricht an IM Dienst X.
- Es folgt eine interne Verarbeitung innerhalb des IM Dienst X Netzwerkes.
- IM Dienst X schickt die Nachricht an die App von EMPFÄNGER B.
Vor- und Nachteile bei Messengern
Jeder IM Dienst hat zwar eigene Besonderheiten und Ansprüche, aber folgende Vor- und Nachteile treffen auf die meisten der Top 5 zu:
Vorteile:
- Für den Anwender sehr einfach einzurichten
- unter anderem deswegen hohe Benutzerakzeptanz
- Bei den meisten Messengern sind die Nachrichten Ende-zu-Ende-verschlüsselt
- Versehentlich oder falsche Nachrichten können oft im Nachhinein gelöscht werden.
Nachteile:
- Geschlossene Protokolle: Eine App, ein Dienst.
- Nachrichten werden auf dem Mobiltelefon gespeichert. Ist dies defekt und gibt es kein Backup: Datenverlust. Ausnahme: Telegram.
- Kommunikation nur innerhalb des Dienstes möglich.
- Kein eigenes Hosting möglich und die genutzten Protokolle sind nicht öffentlich.
- Datenschutzrechtliche Risiken (Adressbuch wird auf IM Dienst X Server gespeichert), Hintertüren für Behörden.
- Metadaten werden kommerziell zu Werbezwecken ausgenutzt.
- Fällt der Dienst X aus, sind direkt Millionen von Menschen gleichzeitig betroffen.
Die Vorteile von E-Mail und Messenger vereinigen?
Matrix ist ein quelloffenes Protokoll, welches von jedem Menschen genutzt werden kann. Es ist so verteilt wie die E-Mail, geht aber insbesondere auf die modernen Möglichkeiten der Kommunikation und Erreichbarkeit ein.
Seien es Berechtigungen, Räume (Gruppen), Ende-zu-Ende Verschlüsselung oder Vertrauensstellungen zwischen Geräten. Das macht es beispielsweise für Behörden und Organisationen interessant, die damit ihren Mitarbeitern eigene abgetrennte IM Dienste anbieten können. Dafür gab es in der Vergangenheit schon verschiedene Beispiele.
Wer keinen eigenen Matrix Server betreiben möchte, kann sich (so wie beim E-Mail-Empfang bzw. Versand) bei einem freien Matrix Dienst registrieren: matrix.org oder mozilla.org. Eine Liste mit weiteren bekannten Homeservern ist hier zu finden.
Der Nachrichtenablauf bei Matrix ist wie folgt:
- ABSENDER A schreibt eine Nachricht an EMPFÄNGER B über seinen Matrix Client.
- MATRIXSERVER A liest "server"-Datei, die auf der Webseite DOMAINNAME liegt: Welcher MATRIXSERVER ist denn für DOMAINNAME zuständig?
- MATRIXSERVER A schickt seine Nachricht per MATRIX an MATRIXSERVER B.
- MATRIXSERVER B schickt die Nachricht an den Matrix Client von EMPFÄNGER B.
Damit haben wir den MATRIXSERVER für die Adressen @BENUTZER:DOMAINNAME. Ohne diese hätten wir nur die Addressen @BENUTZER:MATRIXSERVER, was nicht empfohlen ist. Resultat:
Einen MATRIXSERVER kann man überall hosten (auch zum Beispiel zu Hause) und behält den kurzen DOMAINNAMEN als Teil des Benutzernamens.
Vor- und Nachteile von Matrix
Vorteile:
- Jeder kann es nutzen, auch mit einem eigenen Hosting/Server
- Das Protokoll ist offen und verteilt.
- Guter Datenschutz!! Was bei Matrix nicht gewünscht ist, kann deaktiviert werden. Es ist auch ohne Telefonnummer oder Angabe der E-Mail-Adresse nutzbar.
- Es gibt keine Beschränkung über den genutzten Client. Es steht für praktisch alle Systeme zur Verfügung. Sogar für CLI.
- Für den Anwender einfach einzurichten.
- Nachrichten sind standardmäßig Ende-zu-Ende-verschlüsselt, ganz im Gegenteil zu Telegram.
- Versehentlich oder falsche Nachrichten können im Nachhinein gelöscht werden.
- Insbesondere für Gruppen und größere Diskussionen gut geeignet.
- Anhänge, also Dateien und Bilder lassen sich sehr einfach verschicken.
- Formatierung der Nachrichten ist bei Matrix standardisiert.
- Kommunikation primär nur innerhalb des Dienstes, kann aber mit „Brücken“ auf andere IM Dienste ausgeweitet werden
Nachteile:
- Eine (noch) geringe Benutzerakzeptanz. Aktuell gibt es rund 60 Millionen Matrix-Nutzer.
- Trotz des verteilten Systems hängt die Verfügbarkeit des Dienstes an den Fähigkeiten der eigenen oder des Serverbetreibers.
- Matrix ist zwar Ende-zu-Ende verschlüsselt, aber kein Protokoll für perfekte Anonymität.
- Denn: Es werden protokollbedingt immer noch Metadaten erzeugt, die der Serverbetreiber auswerten könnte.
- Audio als auch Video möglich, aber dies belegt den Server mit etwas extra Aufwand.
Metadaten
Noch ein kurzes Wort zu Metadaten: Die Nachrichten sind zwar verschlüsselt, die Metadaten aber nicht (weil föderiert und verteilt). Matrix ist kein Hochsicherheitsmessenger im Sinne der vollen Anonymität, eher als Spagat zwischen E-Mail und z.B. Signal. Der Komfort der Multidevices wie bei Telegram (ohne auf ein Handy angewiesen zu sein), aber auf einem eigenen Server in der eigenen Kontrolle. Bei einer Kommunikation zwischen Server A und B fallen die Metadaten nur auf den beiden Servern an. Der Weg dazwischen ist per HTTPS verschlüsselt. Wissen sollte man dies trotzdem.
OK, überzeugt, wie kann ich bei Matrix mitmachen?
Um mit dem Matrixprotokoll kommunizieren zu können, stehen mehrere Möglichkeiten zu Verfügung.
Am Matrix.org Server anmelden
Die allereinfachste Form ist es, über die normalen Matrix.org Server zu testen (mit einer @BENUTZERNAME:matrix.org Adresse).
- Die Registrierung und Anmeldung erfolgt dann
Selber einen Matrix Server betreiben
Die Königsdisziplin ist es natürlich, einen eigenen Matrix Server zu betreiben. Damit unterliegt die Kontrolle nun vollends bei einem selbst und man kann eine eigene individuelle Adresse nutzen, z.B. @NAME:EIGENEDOMAIN. Das kann man auf verschiedene Arten realisieren:
- Auf einem heimischen RaspberryPI schlüsselfertig mit FETA als eine Art Matrix-Distribution.
- Auf einem heimischen Server mit FreeBSD oder TrueNAS.
- Auf einem Server bei einem Provider mit FreeBSD.
- Die Anmeldung erfolgt dann wie folgt:
Darüber hinaus sind die Möglichkeiten auch mit LINUX und Co. schier unendlich. Es ist bestimmt für jeden etwas dabei, je nachdem, welche Möglichkeiten bereits bestehen. Extra und nur dafür einen TrueNAS Server zu installieren, ist wenig sinnvoll. Wichtig dabei ist, dass ihr eine Plattform wählt, die gut bekannt und beherrschbar ist. Nur dann ist ein sicherer Betrieb möglich.
Weiterführende Artikel:
Matrix mit OPNsense und TrueNAS / FreeBSD und
Matrix auf einem eigenen Cloud Server mit FreeBSD betreiben.
Egal, wie ihr es nutzt. Viel Spaß dabei wünscht euch Marcel Stritzelberger für …