CryptoChat: anonym verschlüsselt chatten
von Lars "Ghandy" Sobiraj 9. Januar 2016
Cryptochat. Foto: Frederic Jacobs, thx! (CC BY 2.0)
Bei CryptoChat kann man anonym und verschlüsselt chatten, allerdings ist der Chatroom auf zwei Personen begrenzt. Anders als bei Cryptocat ist dies kein Plug-in für einen Browser, sondern eine eigenständige Webseite. Der Betreiber beteuert, keine Logs von den Chatverläufen anzufertigen. Die Webseite kann auch via Tor besucht werden, um die eigene IP-Adresse zu verschleiern.
Der Betreiber weist eindringlich darauf hin, dass sein Online-Angebot nicht die IP-Adresse der Nutzer verbirgt. Im Gegensatz zu den meisten IRC-Netzwerken kann man sich mit dieser Webseite auch über das Tor-Netzwerk verbinden, um die eigene Identität zu verschleiern. Zwar werden alle eingegebenen Texte verschlüsselt übertragen. Wurde ein Keylogger angeschlossen oder der PC durch einen Trojaner etc. verseucht, dann wird der Chat dennoch im Klartext an Dritte übertragen. Außerdem sollte man sich so oder so vor jeder Kommunikation ein Bild von seinem Gegenüber machen, um negative Überraschungen zu vermeiden oder zumindest zu minimieren.
Wie funktioniert CryptoChat?
Ganz einfach. https://cryptochat.pw besuchen, die Zahlenkombination oben im Kästchen per Copy & Paste an den Chatpartner geben und den Chatroom betreten. Nach Eingabe des Nicknames ist man drin und wartet auf sein Gegenüber. Pro Nachricht sind nur 256 Zeichen möglich. Im Normalfall ist das aber mehr als ausreichend. Über den Grad der Sicherheit können wir leider keine Angaben machen. Aufgrund der geringen Verbreitung dieses Angebots ist es eher unwahrscheinlich, dass sich schon Behörden oder Geheimdienste um CryptoChat „gekümmert“ haben, um die Verschlüsselung zu knacken. Für einen simplen Chat ohne Schnickschnack ist die Webseite auf jeden Fall ausreichend. Wer mehr Features benötigt, muss sich Blowfish für einen IRC-Client oder ein Verschlüsselungs-Plugin für Jabber bzw. ICQ installieren.
Jochim Selzer bezeichnete derartige Lösungen im Interview als „Baustellen“. Sie sind stets besser als gar keine Verschlüsselung. Da der Quellcode nicht veröffentlicht wurde, kann man die Verlässlichkeit des Codes leider nicht überprüfen. Selzer weiter: „Spielt damit herum, haltet euch über den Stand der Projekte auf dem Laufenden, aber kommt keinesfalls auf die Idee, diese Software produktiv einzusetzen.“ Das gilt neben Bitmessage, Pond, Tox, Jitsi natürlich auch im gleichen Umfang für CryptoChat.
tor gibt doch schon extreme anonymität, so lange man es richtig konfiguriert, aber wozu soll ich dann dieses programm nutzen`??
Ist doch nur eine weitere Option und total unbekannt.
Was genau ist jetzt eigentlich das Feature von diesem Chat? Anonymität kommt von Tor, Verschlüsselung von HTTPS, der Quellcode ist weder offengelegt noch frei lizenziert, man kann nicht selbst einen Chat-Server hosten und muss dem bloßen Versprechen trauen, dass schon nicht geloggt werden wird. Ich kann nicht erkennen, was an dem Ding gut sein soll, im Gegenteil. Die Ähnlichkeit zu CryptoCat im Namen und dem FavIcon halte ich für einen Versuch, Leute über den Sicherheitsgrad zu täuschen, indem suggeriert wird, CryptoChat wäre wie CryptoCat, nur eben ohne Plugin-Installation. Dem scheint nicht so!
Das behauptet ja auch niemand, dass das das gleiche in Grün sein soll. Außerdem ist nicht jeder dazu in der Lage, selbst einen Server aufzusetzen. Es wird mehr als nur per https verschlüsselt, soviel steht schon mal fest.
Nun, die grünen Sicherheitskonzepte würde man aber nicht durch rote Pseudo-„Sicherheit“ ersetzen wollen, nur weil rot „anders“ ist. Zur Lösung des SaaS-Loophole-Problems muss gar nicht jeder zwangsläufig seinen eigenen Server aufsetzen und betreiben, weil es schon reicht, wenn man eine Person oder ein Unternehmen seines Vertrauens damit beauftragen kann und nicht auf den zentralistisch organisierten CryptoChat-Server als single-point-of-failure angewiesen ist.
Super Sache. Besonders gut, wenn man mit dem Gesprächspartner noch keine anderen Verschlüsselungslösungen besprechen konnte.. Für mich eine gute Ergänzung zu Privnote. LG