Delta Chat bietet Instant Messaging, indem es auf vorhandene E-Mail-Server aufsetzt. Es erweitert die Funktionen um Verschlüsselung auf der Basis von Autocrypt, einer Weiterenwicklung von OpenPGP.

Delta Chat will die Technik des E-Mails fit machen für das Zeitalter des Instant Messaging. Der Gedanke liegt eigentlich nahe, denn beides dient der direkten digitalen Kommunikation. Also nutzt Delta Chat bereits bestehende IMAP- und SMTP-Server und legt dort kleine E-Mail-Schnipsel ab.

Um eine unterbrechungsfreie Kommunikation herzustellen, fragt Delta Chat laufend auf dem Mailserver nach eintreffenden E-Mails. Beides belastet die E-Mail-Infrastruktur, die für diese Anwendungsmöglichkeiten eigentlich nicht entwickelt wurde. Außerdem wird E-Mail an sich nicht als sichere Kommunikationstechnik eingestuft, weshalb man entsprechend nachhelfen muss.

Aufgeräumte Oberfläche

Aber betrachten wir zuerst die App. Delta Chat zeigt sich angenehm aufgeräumt. Das Programm listet im Betrieb die bestehenden Chat-Partner auf, wie man das von anderen Messengern gewöhnt ist. Mit einem Knopfdruck können weitere Chatpartner aus der Kontaktliste hinzugefügt werden, wenn man den Zugriff auf das Adresssbuch erlaubt und die Person über eine E-Mail-Adresse verfügt.

Das ist bei jüngeren Menschen ja nicht immer der Fall. Alternativ kann der Kontakt auch via Barcode eingefügt werden, sollte man sich gerade persönlich treffen. Daneben gibt es noch einen Bereich für ausstehende Kontaktanfragen und eine eigene Kontaktliste – das war es dann auch schon.

Das eigentliche Chatfenster ist freundlich und übersichtlich gestaltet. Der Hintergrund ist frei wählbar, leider aber nicht für jeden Kontakt einzeln. Neben der Eingabezeile kann man alle Eingabeoptionen wie Emojis, Kamera-, Voice- und Dateianhang direkt aufrufen. Das ist praktisch, wenn auch nichts für Wurstfinger.

Einstellungssache

Die Einstellungen sind knapp und übersichtlich zusammengefasst. Das ist angenehm, läßt sich aber leicht damit erklären, dass die Hauptarbeit ja auch der Mail-Server erledigen muss, den man aber nicht aus dem Programm heraus aufrufen kann. Und genau hier lauern auch die Probleme dieses Konzepts. Aber dazu weiter unten.

Kontaktaufnahme

Will man einen Chat beginnen, oder vielmehr eine Message an den neuen Chatpartner senden, so wird lediglich eine E-Mail aus dem Adressbuch heraus an diesen generiert. Diese landet beim Partner im Bereich “Kontaktanfragen” und muss erst aktiv beantwortet werden, bevor eine dauerhafte Verbindung eingerichtet wird.

Da es sich ja grundsätzlich lediglich um E-Mails handelt, die hier ausgetauscht werden sollen, fragt man sich vielleicht, warum dieser Zwischenschritt notwendig ist. Die Lösung liegt in der Verschlüsselung, die in ersten Schritt einen aktiven Schlüsselaustausch verlangt. Näheres dazu kommt noch unter “Autocrypt”.

Alternativ bietet das Programm für die Kontaktübermittlung auch einen Barcode an, der zusätzlich zur eigenen E-Mail-Adresse auch den Hashwert des eigenen PGP-Schüssels enthält. Das spart einen Zwischenschritt. Ab diesem Moment ist der Datenaustausch – sowohl der Kommunikation als auch der mitgelieferten Anhänge – via OpenPGP Ende-zu-Ende-verschlüsselt und sollte für andere nicht mitzulesen sein.

Autocrypt will den Schlüsselaustausch automatisieren

PGP ist ein Standard der Verschlüsselung, der leider immer den Ruf hatte, schwierig einzurichten zu sein. Das liegt mit daran, das das Zertifikat (oder der Schlüssel) zweigeteilt ist (asymmetrische Kryptografie) und danach der öffentliche Teil dieses Schlüssels erst durch die Vertrauenswürdigkeit der Empfänger – zum Beispiel durch die persönliche, ausgewiesene Übergabe – seine Qualität erhält. Geht man bei diesem Verfahren nicht gewissenhaft vor, droht die Kompromittierung der Kommunikation, nicht aber des Schlüssels an sich.

Zu diesen Problemen gesellen sich in neuester Zeit weitere Vorwürfe, was die Sicherheit der asymmetrischen Kryptgrafie mit PGP / GnuPG angeht. Sie betreffen aber nicht die Verschlüsselungsmethode selbst oder die Sicherheit derselben. Diese wurde über die Jahre immer wieder – unter anderem vom BSI – gewissenhaft geprüft und für sicher erklärt.

Vielmehr taucht immer wieder Kritik auf an der Verteilung der Schlüssel auf, vor allem in letzter Zeit an der Methode der vertrauenswürdigen Signatur der Schlüssel auf den jeweiligen Key-Servern, und damit ein massiver Verlust an Sicherheit in der Vertrauenskette.

Lange hatte man nach Wegen gesucht, den Schlüsselaustausch zu vereinfachen und damit dem Verfahren zu einer größeren Verbreitung zu verhelfen. Autocrypt umgeht diesen komplizierten Prozess und will den automatischen Austausch des öffentlichen Schlüssels ermöglichen.

Dazu erstellen entsprechend ausgerichtete Programme wie etwa Delta Chat automatisch ein Schlüsselpaar und packen den öffentlichen Schlüssel bei der ersten Kontaktaufnahme in den Kopfteil der Nachricht. Das geschieht für den Benutzer vollkommen unsichtbar und ermöglicht, dass jede weitere E-Mail anschließend automatisch mit diesem öffentlichen Schlüssel verschlüsselt wird. Soweit so gut.

Das Verfahren ist nicht ohne Kritik. Genauso, wie E-Mail-Adressen bekanntlich leicht gefälscht werden können, lassen sich entsprechende Zertifikate fälschen. Werden diese gefälschten Zertifikate dann automatisch in Umlauf gebracht, kann der Angreifer die Kommunikation bequem umleiten und mitlesen, ohne dass jemand dies mitbekommen könnte. Zumindest Delta Chat bietet hier keine Kontrollfunktion, um die Echtheit des empfangenen Schlüssels zu prüfen.

Einrichtung mit Hürden

Sind die ersten E-Mails erst einmal ausgetauscht, kann die eigentliche Kommunikation beginnen. Wenn denn alles so klappt, wie vorgesehen. Leider birgt die eingesetzte Technik einige Fallstricke, die eine Benutzung mühsam gestalten, wenn nicht sogar verhindern können. Das kann man der App nicht zum Vorwurf machen, da es dem zugrunde liegenden Konzept zuzurechnen ist. Entsprechend durchwachsen waren auch meine ersten Erfahrungen mit dem Programm.

Der eigene Mail-Server (und natürlich der des Chatpartners) muss vor allem die IMAP-Technik anbieten. Das ist bei den meisten Freemail-Anbietern (Gmail, GMX, Web.de, t-online u.a.) nur über Umwege möglich und muss erst in deren Einstellungen freigeschaltet werden.

Schon dies dürfte die meisten Nutzer überfordern. Denn Delta Chat verwaltet die Messages in speziellen Mail-Ordnern, auf die es laufend zugreifen muss.

Außerdem haben die heute bei Mail-Servern üblicherweise eingesetzten Spamfilter die Angewohnheit, E-Mails aus unbekannter Quelle erst einmal in den Spamordner oder einen ähnlichen Extra-Ordner zu verschieben. Die Folge ist, dass man bis zum jüngsten Tag auf eine Zertifizierungsmail wartet und der Chat deshalb nicht starten kann.

Ist diese Hürde genommen, dann droht weiterer Ungemach. Besonders Freemail-Anbieter begrenzen vielfach die Anzahl der täglich zu versendenden Mails, um damit Spam und Massenmails aus ihren Quellen zu verhindern.

Die Folge beim Chat ist natürlich, dass eine Unterhaltung unerwartet abbricht, weil die Mails nicht mehr ausgeliefert werden. Das ist dann natürlich blöd, zumal Delta Chat keine Erklärung für das Verhalten anzeigen kann.

Zu allem Überfluss verlangt ein aktiver Chat auch sehr kurze Pull-Intervalle, um neu eingetroffene E-Mail-Antworten zügig anzuzeigen. Aber auch darauf reagieren die meisten Mail-Server eher verschnupft. Freemailer erlauben häufig nur eine bestimmte Anzahl Abfragen an den IMAP-Server oder eine bestimmte Mindestdauer zwischen zwei Abfragen. Das kann eine Unterhaltung dann schon unangenehm in die Länge ziehen.

Fazit

Alles in allem zeigen sich in dem Konzept doch einige Schwächen, die eine vernünftige Chat-Kommunikation über Delta Chat stark behindern. Auch wenn das Modell von Autocrypt eine gute Idee ist, um eine sichere Verschlüsselung in E-Mails endlich allgemein zugänglich und einfach erhältlich zu machen, so ist diese Technik nicht einfach auf das Instant Messaging zu übertragen. Schade, aber nicht zu ändern.

 

  • Pro: Aufgeräumte Oberfläche, Einfache Bedienung, Server meist schon vorhanden
  • Contra: Sicherheitsstandard Autocrypt ungeklärt, Einrichtung auf Server schwierig, nur für Android erhältlich

 

Link: