Briar ist eine Messaging App, bei der sich die Nutzer anonym und sogar ohne Internetverbindung austauschen können, denn sie kommt ohne einen zentralen Server aus. Die Daten werden direkt zwischen den Geräten abgeglichen, wenn diese miteinander Kontakt aufnehmen. Das geschieht Ende-zu-Ende-verschlüsselt über WLAN, Bluetooth oder das Tor-Netzwerk. Die Kommunikationsinhalte sind verschlüsselt nur auf den Geräten der beteiligten Nutzer gespeichert.

Herkömmliche Messenger wie Whatsapp, Signal, Threema oder Telegram, aber auch XMPP gleichen ihre Daten zuerst mit Servern ab, bevor diese sie dann an das Empfängergerät weiterreichen. Das kann eine zentrale Serverinstanz sein wie bei den proprietären Anbietern oder über ein verteiltes, föderales System wie bei XMPP. Der oder die Server gewährleistet, dass die Nachrichten auch zugestellt werden, wenn nicht alle Geräte miteinander verbunden sind.

Dieses Vorgehen ist soweit akzeptabel, solange die Kommunikationspartner nicht eindeutig identifizierbar sind und die Informationen zwischen den Geräten sicher Ende-zu-Ende-verschlüsselt sind. Zugleich birgt das Verfahren aber Probleme, falls die Server nicht erreichbar sind oder in falsche Hände geraten, sei es durch Hacking oder Beschlagnahmung.

Es geht auch ohne Server

Im Beitrag zu Jami habe ich ja bereits einen Messenger vorgestellt, der auf einen zentralen Server zum Datenaustausch verzichtet. Die Apps brauchen dennoch einen oder mehrere Vermittlungsserver, welcher die Ring-ID mit der IP-Adresse der App an den Kommunikationspartner weiterreicht. Dieser Server stellt aber die Schwachstelle des Systems dar. Ist dieser Vermittlungsserver nicht erreichbar, zum Beispiel durch Ausfall des Internets, so kann auch kein Kontakt zwischen den Geräten aufgebaut werden.

(c) Briar Project, CC 2.0

Eine weitere Messaging App dieser Kategorie ist Briar. Briar treibt das Konzept noch einen Schritt weiter. Hier ist auch kein Vermittlungsserver vorgesehen. Das System tauscht seine Daten über WLAN, Bluetooth oder das Tor-Netzwerk aus. Dazu starten die einzelnen Apps auf dem Gerät einen Hidden-Service einer Tor-Instanz, die selbstständig im verfügbaren Netzwerk nach anderen Tor-Instanzen sucht. Wird eine weitere Instanz entdeckt, so wird die Verbindung aufgebaut.

Einrichten

Beim ersten Start von Briar muss man einen Benutzer anlegen und diesen mit einem Password sichern. Danach kann er nciht mehr verändert werden, denn aus diesen ANgaben wird ein Schlüssel generiert, mit dem die Datenbank verschlüsselt wird und der später als Schlüssel zur Kontakterstellung dient.

Private Messaging, private Gruppen, öffentliche Foren und Blogs

Die meisten von uns sind es gewöhnt, Messaging Apps dafür zu nutzen, direkte, mehr oder weniger private Nachrichten auszutauschen. Dann gibt es noch die Gruppen, wenn mehrere Kontakte sich zusammen organisieren wollen. Aber man kann in einer Messaging App noch weit mehr anstellen. Briar ist wie jede andere Messaging App zuerst einmal für den Austausch von Nachrichten da. Überdies tauscht Briar nicht nur Direktnachrichten zwischen einzelnen Partnern und Gruppen aus. Die Software vereint unter ihrem Dach auch noch öffentliche Foren sowie Blogs. Und wer will, kann auch noch externe News-Feeeds abonnieren und lesen.

Der Unterschied zwischen den verschiedenen Methoden liegt im Wesentlichen in der Kontaktverwaltung und Informationsverschlüsselung. Direktnachrichten dürfen selbstredend nur von den Partnern gelesen werden, Gruppennachrichten entsprechend von den Mitgliedern der Gruppe. Zu dieser kann auch nur der Ersteller der Gruppe einladen.

Wollen sich die Kontakte in einem Forum treffen, so darf dazu jedes Mitglied neue, eigene Kontakte einladen. Damit ist der Austausch der Forumsbeiträge quasi öffentlich. Ein Blogbeitrag hingegen kann nur vom Ersteller mit anderen Kontakten geteilt werden.

Dieses scheinbar komplizierte Prozedere ist notwendig, weil alle Informationen mit den jeweiligen Schlüsseln der entsprechenden Kontakte chiffriert werden muss.

Neue Kontakte hinzufügen

Soll der Informationsaustausch wirklich sicher sein, so dürfen sich die Kontakte nicht einfach so vertrauen können. Das macht es zwar etwas schwieriger, miteinander in Kontakt zu treten, sorgt aber auch für wesentlich mehr Sicherheit. Dieses Konzept des “Web of Trust” hat es PGP und seinem Geschwisterchen GnuPG immer sehr schwer gemacht, eine größere Verbreitung zu erreichen. Nicht zuletzt wegen der Einfachheit der Kontaktaufnahme hat WhatsApp seinen Siegeszug überhaupt antreten können.

Wie kommen also neue Kontakte hinzu? Briar bietet dazu zwei Verfahren an: Kontakte aus der Nähe und aus der Ferne hinzufügen. Aus der Nähe müssen beide Partner gegenseitig via QR-Code einen öffentlichen Schlüssel austauschen. Das geht nur innerhalb von Briar, andere Barcodeleser funktionieren nicht. Sind beide Schlüssel ausgetauscht, nehmen die Geräte über das jeweilige Netzwerk Verbindung auf und verbinden sich.

Will man hingegen einen Kontakt über die Ferne hinzufügen, müssen beide Instanzen jeweils einen public-key-link austauschen und in Briar eintragen. Auch hier geschieht anschließend die Authentifizierung über das Netzwerk. Anschließend muss man den neuen Kontakt manuell akzeptieren. Briar empfielt sogar, den Link öffentlich zu machen, damit andere Personen mit einem Kontakt aufnehmen können.

Die Sache ist also im Grunde sehr einfach, setzt aber auf jeden Fall das manuelle Zutun der beiden Kontaktpartner voraus. Ein Betrug ist damit wohl sehr schwer gemacht.

Leistung

Ein Wort sollte man noch zum Stromverbrauch von Briar verlieren. Verschiedentlich wurde schon berichtet, dass Briar den Akku des Mobilgerätes sehr strapaziert. Es heißt, dass der Stomverbrauch von Briar etwa viermal höher sei als bei anderen Messengern. Verursacht wird dies durch die Notwendigkeit, einen eigenen push-Dienst zu betreiben. Herkömmliche Messenger nutzen für diese Zwecke den push-service von Google mit den allseits bekannten Nachteilen, dass Google damit über die Kommunikation informiert wird. Briar muss hingegen im Hintergrund den ‘Tor-hidden-service laufen lassen, um mit regelmäßigen Anfragen im Tor-Netz bekannt zu bleiben. Andernfalls würde es nach 10 Minuten aus den Listen der Tor-Services geworfen. Der Stromverbauch ist also der Sicherheit geschuldet. Man muss also für sich entscheiden, wann und wie viel man den Messenger einsetzen will.

Fazit

Briar setzt alles daran, Kommunikation zwischen Kontakten privat und geheim einzurichten. Das ist natürlich nicht immer bequem, aber im Großen und Ganzen sehr einfach gelungen. Leider gibt es nur eine App für Android; alle anderen Plattformen bleiben außen vor. Dann ist es aber eine klare Empfehlung für größere private Netzwerke.

  • Pro: Ende-zu-Ende-Verschlüsselung, Privates Messaging, private Gruppen, öffentliche Foren, Blogs, verbindung via Tor-Netzwerk
  • Contra: Abgleich der Daten nur bei direkter Verbindung; nur Texte, keine Binärdaten, Bilder Ton oder Videos austauschbar; keine iOS-App

 

Link: