Privacy Policy

Generelle Infos zur Privatsphäre

Vorwort

Dieser Messenger wurde von mir entwickelt, weil ich sämtlichen anderen Diensten nicht wirklich vertraue. Schitzo oder nicht sei dahin gestellt, aber mit dem, was Snowden, Assange und viele andere ans Licht der Öffentlichkeit gebracht haben, denke ich persönlich nicht, dass meine Daten bei den bekannten Messengern wirklich privat sind. Aus diesem Grund habe ich meinen eigenen Messenger entwickelt, über den ich sicher kommunizieren kann.

Sicherheitsfeatures:

• Der AES-256 Blockchiffre

  Dieser gilt als der sicherste Verschlüsselungsstandard, der der Öffentlichkeit bekannt ist. Diese Verschlüsselung zu knacken, gilt zur Zeit als unmöglich.

• Vollständige Ende-zu-Ende-Verschlüsselung

  Eventuelle Angreifer könnten zwar deine Verbindung mitschneiden, aber die Daten aus diesem Messenger bekommen sie nicht heraus. Sämtliche Nachrichten werden mit einem Geheimschlüssel auf deinem Gerät verschlüsselt und verlassen dieses nicht im Klartext. Der Schlüsselaustausch findet dort statt, wo Du Dich sicher fühlst, idealerweise auf Papier und in Person. Verlierst Du diesen Schlüssel, siehst Du genau so viel wie ich auf dem Server oder Angreifer, wenn sie deine Internetverbindung abhören: unverständlichen Buchstabensalat.

Was kann man ohne Geheimschlüssel trotzdem noch nachvollziehen?

Um an dieser Stelle für Deine Privatsphäre zu bürgen muss ich etwas weiter ausholen:
Diese Website besteht aus zwei Teilen – dem sogenannten Frontend und dem Backend. Das Frontend ist das, was Du in deinem Browser siehst und benutzt – also das Chatfenster, die Nachrichtenanzeige usw. Es läuft direkt auf Deinem Gerät. Das Backend ist der Teil, der auf meinem Server läuft. Es kümmert sich darum, Deine Nachrichten entgegenzunehmen, sie weiterzuleiten oder zwischenzuspeichern – aber eben nur in verschlüsselter Form.

Wenn Du eine Nachricht abschickst, wird sie direkt auf Deinem Gerät verschlüsselt – und zwar mit einem sicheren Verschlüsselungsverfahren (AES-256). Das bedeutet: Die Nachricht verlässt Dein Gerät nur als unlesbarer Datenhaufen. Weder die ursprüngliche Nachricht noch der geheime Schlüssel, mit dem sie verschlüsselt wurde, verlassen Dein Gerät – ich bekomme davon also nichts mit. Ich kann den Inhalt Deiner Nachrichten nicht lesen und habe auch keinen Zugriff auf die Schlüssel.

Dass die Verschlüsselung tatsächlich im Frontend passiert, kannst Du sogar selbst überprüfen: Die meisten Browser bieten eine Funktion namens „Untersuchen“ oder „Element untersuchen“. Damit kannst Du den Quellcode des Frontends einsehen und Dir anschauen, wie und wo die Verschlüsselung durchgeführt wird.
Ein paar Dinge kann ich technisch gesehen trotzdem sehen:

• Häufigkeit der Nachrichten

  Jede einzelne Nachricht muss irgendwo abgespeichert werden. Dadurch ist nachzuverfolgen, wann die jeweilige Nachricht abgesendet wurde. Da ich den Inhalt nicht kenne, kann es auch passieren, dass Nachrichten fälschlicherweise in meinem Spamfilter landen und nicht angenommen/gespeichert/zugestellt werden. Dies kann passieren, wenn Du innerhalb kurzer Zeit zu viele kurze Nachrichten versendest.

• Sender und Empfänger der Nachrichten

  Um Nachrichten korrekt zustellen zu können, muss der Server wissen, an wen er die Nachrichten schicken darf und an wen nicht. Daher können einmalige Benutzernamen nicht verschlüsselt werden. Der Anzeigename hingegen ist verschlüsselt und ist daher für mich nicht einsehbar.

• Ungefährer Standort durch die IP-Adresse

  So funktionieren Server und das Internet nun einmal. Durch die IP-Adresse kann der Standort mit 99% Genauigkeit auf das Land, mit 55% bis 80%iger Genauigkeit auf das Bundesland und mit 50% bis 75% auf die Stadt genau bestimmt werden. Wohnadressen sind mit zivil verfügbaren Mitteln nicht anhand der IP-Adresse zu bestimmen.

  Die IP-Adresse kann allerdings auch durch Gegenmaßnahmen wie Pseudonymität durch VPNs oder Anonymität durch den Onion-Router verschleiert werden, allerdings behalte ich mir in solchen Fällen vor, die Verbindung zum Server, die Annahme und Zustellung von Nachrichten o.Ä. aus Gründen des Spamschutzes zu verweigern.

Abschließend zur Einleitung muss ich klarstellen: Die oben aufgeführten Angaben sind nach meinem besten Wissen und Gewissen korrekt. Allerdings garantiere ich nicht dafür, geschweige denn hafte ich dafür. Wenn du es noch sicherer haben willst, schreibe mich gerne an und weise mich auf Sicherheitslücken hin oder gib auch gerne Feedback.

Some might say „I don't care if they violate my privacy; I've got nothing to hide." Help them understand that they are misunderstanding the fundamental nature of human rights. Nobody needs to justify why they „need" a right: the burden of justification falls on the one seeking to infringe upon the right. But even if they did, you can't give away the rights of others because they're not useful to you. More simply, the majority cannot vote away the natural rights of the minority. But even if they could, help them think for a moment about what they're saying. Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. A free press benefits more than just those who read the paper.

— Edward J. Snowden, Journalist und Whistleblower