Mit YABC ist der anonyme P2P-Mailing-Dienst Bitmessage nun auch online im Tor-Netzwerk verfügbar. Die Entwicklung läuft derzeit aber noch.
PyBitmessage ist eine plattformübergreifende Software, die seit fast zehn Jahren den anonymen Austausch von Nachrichten ermöglicht. Der Vorteil liegt auf der Hand, weil bei diesem P2P-Protokoll neben den Nachrichten auch alle Metadaten verschlüsselt werden. Von außen ist somit nicht sichtbar, wer wann mit wem kommuniziert. Auch der Betreff wird dabei verschlüsselt übertragen.
Die NSA kann laut dem Bitmessage-Entwickler Jonathan Warren lediglich ungefähr bestimmen, wo Empfänger und Absender wohnen. Dafür müsste der US-Geheimdienst lediglich alle zentralen Internet-Knoten überwachen.
YABC ist nicht im Clearnet verfügbar
Mit YABC (Yet Another Bitmessage Client) gibt es bei Tor nun eine Online-Alternative. Diese ist mit dem Tor-Browser unter der URL 4lk7nfizxihthsmhze3mrifeavtgdguyaqbpdhnkeg5intp7s3uqx5ad.onion erreichbar. Die Anmeldung und Bedienung der Webseite ist selbsterklärend. Wir haben den Betreiber nach seiner Motivation befragt. Er möchte mit seinem Vorhaben allen Interessenten eine Alternative zur etablierten Software anbieten, die auf dem Bitmessage-Protokoll basiert.
Das „kleine derzeit experimentelle“ Projekt hat man nach eigenen Angaben für alle Anwender konzipiert, die z.B. massive Probleme bei der Installation von PyBitmessage auf Linux, macOS oder Windows haben. Es gebe etliche Nutzer, die im Clearnet und vor allem im Darknet einen hohen Wert auf Opsec (Verschleierung der eigenen Identität) legen. Diese haben jetzt eine weitere Alternative zur Hand, die sie ausprobieren können.
Entwickler will mit PyBitmessage kein Geld verdienen
Dem Programmierer geht es nicht darum, mit der kostenlose Alternative zu PyBitmessage reich zu werden. Er würde sich allerdings über ein paar Euro Spenden freuen, um das Projekt zu finanzieren und die Weiterentwicklung dauerhaft gewährleisten zu können.
In den Nutzungsbedingungen von YABC ist an Nachrichten alles erlaubt, außer Spam, jegliche Abzocke oder provozierende Aussagen, die Dritte verletzen sollen. Die Daten dieser Webapplikation werden im Tor-Netzwerk verschlüsselt und komplett anonymisiert übertragen. Sie liegen in einem selbst entwickelten Containerfile.
Das Passwort darf man nicht verlieren, weil man sonst keinen Zugriff mehr auf die Nachrichten erhält. Ohne Passwort kann man nichts mehr lesen. Der zur generierten Bitmessage-Adresse vorhandene private Schlüssel ist mit dem Passwort (Hash) des Nutzer gekoppelt. Im Gegensatz zum Bitmessage-Referenz-Client gibt es bei der Webapplikation kein unverschlüsseltes „keys.dat“-File, was man möglicherweise im Falle eines Hacks oder einer Razzia auslesen könnte.
Zahlreiche Sicherheitsmaßnahmen ergriffen
Bei einer Beschlagnahmung des Webservers durch Behörden stehen den Mitarbeitern keine unverschlüsselten Daten zur Verfügung. Nach Fertigstellung von YABC plant man den Quellcode an heise security zu übermittelt, um dort einen Code-Review in Auftrag zu geben.
Da das Projekt kein Open Source ist, kann man die Aussagen des Entwicklers und somit auch die Sicherheit der Software nicht eigenhändig überprüfen oder checken lassen. Als Lösung bietet man Interessenten an, den Quellcode zu kaufen. Doch das hat man wohl kaum ernst gemeint …
qTox als Alternative zu PyBitmessage?
Wer anonym bleiben möchte und deutlich mehr Funktionen sucht, könnte z.B. den P2P-basierten Messenger qTox ausprobieren, den unter anderem die Crackerin Empress benutzt. Darüber ist neben einem Nachrichtenaustausch unter anderem auch Videotelefonie möglich. Doch bis auf das P2P-Prinzip haben beide Projekte ansonsten recht wenig gemeinsam. Schon der Aufbau ist komplett unterschiedlich.
qTox gibt es im Gegensatz zu Bitmessage immerhin im App Store von Ubuntu und für mehrere Linux-Distributionen, die auf Ubuntu basieren. So beispielsweise auch für Pop!_OS. Das ist bei PyBitmessage nicht der Fall.