presentations/content/decentral_messaging/_index.md

---
title: "Dezentrale Messenger"
outputs:
  - "Reveal"
---

<h2 style="white-space: nowrap;">Dezentrale Messenger</h2>
<br/>
<h4 style="white-space: nowrap;">The very last word in instant messaging</h4>
(Motto vom XMPP-Client Converations)

<span class="text-reboot">genofire - Chaos Computer Club Bremen e.V.</span>

---

## Agenda
- Dezentralität
- XMPP - Der Standard
- Software (Client und Server)
- Ist der Hoster gut
- Verschlüsselung
- Ausblick
- Alternativen

---

## Dezentralität
- **Peer-to-Peer**

Geräte tauschen direkt miteinander Nachrichten aus (ohne eine zentrale Componente)

- **Federation**

Kommunikation über zentrale Komponenten


{{% note %}}
**P2P**
- Postkasten, jeder kann zum Empfänger gehen und selbst etwas in den Kasten werfen.
  (wenn es keine Post gibt)

**Federation**
- E-Mail (ISP: benutzer@hoster.de)
- Telefonnummern (Addr: hat oftmals die ersten Ziffern für sich reserviert)
{{% /note %}}

---

## Dezentralität

#### Warum notwendig?

- Eröffnet ein Wettbewerb
- kleine und viele Angriffsziele
  - vor Kriminelle
  - vor Regierungen
    - alle Überwachen
    - blockieren / sperren (Zensur)
- Verringert Missbrauch durch Vertrauen

{{% note %}}
- _Eröffnet einen Wettbewerb:_ damit fortschritt
    (Gewinne gehen zum größten Teile in die USA)
   - Entscheidungen: z.B. nur noch auf Englisch, Mark Zuckerberg darf Nachrichten löschen
- _Angriffsziele:_
  - Hacker können nicht alle Server kompromentieren
  - Regierungen können nicht
    - den Zugang zu allen Servern verlangen (NSA - Snowden)
    - alle Server blockieren (Telegram - Russland)
- _Verringert Missbrauch durch Vertrauen_
  - **Auswirkung:** nicht alle Daten können **geklaut** oder **analysiert** werden
    - Analysiert zur Manipulation (Werbung oder politisch, siehe Cambridge Analytica)
  - **Bei Missbrauch** leichterer Wechsel
{{% /note %}}

---

## Dezentralität


#### Nachteile
- Komplexität steigt
- Gewollte Verringerung an Marktanteil
- Kann auch von kriminellen Elementen genutzt werden
- Nutzer müssen sich ggf. sich Ihre Adresse und Passwort sich merken

{{% note %}}
- _Komplexität steigt:_ Da nicht nur Clients, sondern auch Server untereinander sicher (Ausfall, vertrauensvoll) kommunizieren müssen.
- _kriminellen Elementen:_ wie bei jeder Technologie kann diese auch von Bösen genutzt werden.
- _... sich merken:_ allerdings müssen Sie dies auch für Ihre E-Mail-Adresse, was noch Standard im Internet ist.
{{% /note %}}

---
### Extensible Messaging and Presence Protocol (XMPP)

- Existiert seit 1999 (unter den Namen Jabber)
- IETF Standard seit 2002


- Google Talk 2005 - 2013 (entwickelte Jingle)
- Facebook 2010 - 2014
- WhatsApp nutzt es intern

{{% note %}}
- Jingle:
  - Aushandlung von Datenverbindung (angelehnt an SIP)
  - für: Datenaustausch, Video/Voice-Chat, ...
{{% /note %}}

---

## XMPP
#### Adressierung
JID (Jabber ID) genannt:
```
node@domain/ressource
```

URI-Format: (falls MUC mit `?join` am Ende)

```
xmpp:node@domain?join
```

{{% note %}}
- MUC (Multi User Chat): Gruppenchat

**Als User**

- benutzer@server/gerät

**In MUC**

- chatraum@muc-server/nickame

**Transport**
- ganz unterschiedlich
{{% /note %}}

---
## XMPP

**Message**

```xml
<message from="geno@fireorbit.de"
 to="#ccchb@irc.hackint.org" type="groupchat">
	Hello World
</message>
```

Types:

- chat
- groupchat
- headline
- normal
- error

---
## XMPP

**Present**: Aktuelle Live Informationen

```xml
<present to="#ccchb@irc.hackint.org" type="subscribe">
</present>
```

Types:

- error
- probe
- subscribe(d)
- unavailable
- unsubscribe(d)

---
## XMPP

**IQ** (Instant Query): Abfragen mit Rückantworten

```xml
<iq to="irc.hackint.org" type="get">
	<ping xmlns='urn:xmpp:ping'/>
</iq>
```

Types:

- get
- set
- result
- error

{{% note %}}
- Die Inhalte, die in diesen XML-Elementen drin sind, werden im RFC nicht vorgegeben und kann für viele Funktionen genutzt werden.
{{% /note %}}

---

## Software <small>Clients</small>
#### Empfehlungen:
- Conversations (Android)
	- Pix-Art Messenger
- ChatSecure (iPhone)
- Gajim (Desktop)
- ConverseJS (WebClient)
- Viele mehr
	- mit [OMEMO](https://omemo.top)
	- [alle](https://xmpp.org/software/clients.html)

---

## Software <small>Clients</small>
Bombus - Client in J2ME für normale Telefone
<center>
  <img width="50%" src="img/j2me-bombus.jpg" alt="Wikipedia - Article Java"/>
</center>

---

## Software <small>Server</small>
- **prosody** in lua
	- leicht erweiterbar
	- riesige Sammlung an erweiterbaren Modulen (die man nutzen muss)

- **ejabberd** (Fork: mongooseIM) in erlang
	- besitzt alle nötigen Funktionen von Haus aus
	- sehr gut gewartet

- **OpenFire** in Java

---

## Ist der Hoster gut
Tools zum Testen des Servers (Auswahl an Servern)

- [Compliance](https://compliance.conversations.im/) ([support Alles](https://compliance.conversations.im/api/compliant_servers/) / API)
- [Status](https://status.conversations.im/historical/) für S2S + Uptime

XEPs:

- PEP / PubSub
- MAM (für MUC)
- HTTP-Upload
- DNS-SRV for TLS (HTTPS)

{{% note %}}
- Personal Eventing Protocol: Geolocation, Mood, Activity, Tune
- Message Archive Management:
  - Vorteil gegenüber: Threema und WhatsApp (mit OMEMO auch gegenüber Telegram)
  - OMEMO: Neue Geräte können alte Nachrichten nicht entschlüsseln
- HTTP-Upload: Offline und in MUC Datenaustausch
- "umgeht" Firewalls
{{% /note %}}

---
## XMPP

### Verschlüsselung
- Off-The-Record
- OpenPGP
- OX
- OMEMO

Detailert: [here](https://conversations.im/omemo)

{{% note %}}
- Neben TLS (SSL)
{{% /note %}}

---

## XMPP <small>Verschlüsselung</small>

- Geräte erstellt **asynchrones** Schlüsselpaar
  - öffentlichen Schlüssel wird per PubSub auf dem Server hinterlegt
- Kontakte werden durch PEP / PubSub über neuen Schlüssel informiert
  - Dieser muss diesen öffentlichen Schlüssel laden

{{% note %}}
- synchrone: Entspricht einem Passwort, was allen Gesprächsteilnehmern bekannt ist.
  - asynchrone: mathematisches Verfahren mit Schlüsselpaaren (öffentlicher und privater Schlüssel)
- Kontakte = Roster
- den **neuen oder weiteren** öffentlichen Schlüssel

- Signiert und verschlüsselt
- zurückziehen des Schlüssels
{{% /note %}}

---

<center>
<h1>Demo</h1>
[Anleitung](https://media.kuketz.de/blog/artikel/2016/conversations/Anleitung_Conversations_V1.1_CC-BY-SA.pdf)
</center>

---

## Ausblick

- Transports
  - Biboumi: IRC
  - Spectrum2: e.g AIM, ICQ, MSN, Yahoo, Telegram, Twitter, "WhatsApp"
- PubSub
  - Blogging / Posting (siehe Movim)
- Commands
  - Internet of Things

[XEP-Liste](https://xmpp.org/extensions/) letzter Eintrag: XEP-0410: MUC Self-Ping (Schrödinger's Chat)

{{% note %}}
- Transport WhatsApp Warnung, vor Protokolländerungen und Sperrungen
{{% /note %}}

---

## Alternativen zu XMPP

#### Peer-to-Peer
- Nutzen das Tor-Netzwerk
	- **Tox**
	- **Briar**
		- kann auch Local per Wifi und Bluetooth genutzt werden
	- ... (viele mehr)
- libp2p

- (mir sonst keine Weiteren bekannt ...)

---

## Alternativen zu XMPP

#### Federation
- **Matrix** (Riot):
	- Änderungsvorschläge am Protokoll werden durch das Unternehmen entschieden
- (mir sonst keine Weiteren bekannt ...)


---

<center>
  <h1>Ende</h1>
  <a href="https://www.ccc.de/de/hackerethik"><h4>Hackerethik</h4></a>

  **3. Mißtraue Autoritäten – fördere Dezentralisierung.**
</center>
-												Decentral Messaging (#1)


											
										
										
											2018-12-07 09:17:49 -06:00
+								---
 								title: "Dezentrale Messenger"
 								outputs:
 								  - "Reveal"
 								---
 								<h2 style="white-space: nowrap;">Dezentrale Messenger</h2>
 								<br/>
 								<h4 style="white-space: nowrap;">The very last word in instant messaging</h4>
 								(Motto vom XMPP-Client Converations)
 								<span class="text-reboot">genofire - Chaos Computer Club Bremen e.V.</span>
 								---
 								## Agenda
 								- Dezentralität
 								- XMPP - Der Standard
 								- Software (Client und Server)
 								- Ist der Hoster gut
 								- Verschlüsselung
 								- Ausblick
 								- Alternativen
 								---
 								## Dezentralität
 								- **Peer-to-Peer**
 								Geräte tauschen direkt miteinander Nachrichten aus (ohne eine zentrale Componente)
 								- **Federation**
 								Kommunikation über zentrale Komponenten
 								{{% note %}}
 								**P2P**
 								- Postkasten, jeder kann zum Empfänger gehen und selbst etwas in den Kasten werfen.
 								  (wenn es keine Post gibt)
 								**Federation**
 								- E-Mail (ISP: benutzer@hoster.de)
 								- Telefonnummern (Addr: hat oftmals die ersten Ziffern für sich reserviert)
 								{{% /note %}}
 								---
 								## Dezentralität
 								#### Warum notwendig?
 								- Eröffnet ein Wettbewerb
 								- kleine und viele Angriffsziele
 								  - vor Kriminelle
 								  - vor Regierungen
 								    - alle Überwachen
 								    - blockieren / sperren (Zensur)
 								- Verringert Missbrauch durch Vertrauen
 								{{% note %}}
 								- _Eröffnet einen Wettbewerb:_ damit fortschritt
 								    (Gewinne gehen zum größten Teile in die USA)
 								   - Entscheidungen: z.B. nur noch auf Englisch, Mark Zuckerberg darf Nachrichten löschen
 								- _Angriffsziele:_
 								  - Hacker können nicht alle Server kompromentieren
 								  - Regierungen können nicht
 								    - den Zugang zu allen Servern verlangen (NSA - Snowden)
 								    - alle Server blockieren (Telegram - Russland)
 								- _Verringert Missbrauch durch Vertrauen_
 								  - **Auswirkung:** nicht alle Daten können **geklaut** oder **analysiert** werden
 								    - Analysiert zur Manipulation (Werbung oder politisch, siehe Cambridge Analytica)
 								  - **Bei Missbrauch** leichterer Wechsel
 								{{% /note %}}
 								---
 								## Dezentralität
 								#### Nachteile
 								- Komplexität steigt
 								- Gewollte Verringerung an Marktanteil
 								- Kann auch von kriminellen Elementen genutzt werden
 								- Nutzer müssen sich ggf. sich Ihre Adresse und Passwort sich merken
 								{{% note %}}
 								- _Komplexität steigt:_ Da nicht nur Clients, sondern auch Server untereinander sicher (Ausfall, vertrauensvoll) kommunizieren müssen.
 								- _kriminellen Elementen:_ wie bei jeder Technologie kann diese auch von Bösen genutzt werden.
 								- _... sich merken:_ allerdings müssen Sie dies auch für Ihre E-Mail-Adresse, was noch Standard im Internet ist.
 								{{% /note %}}
 								---
 								### Extensible Messaging and Presence Protocol (XMPP)
 								- Existiert seit 1999 (unter den Namen Jabber)
 								- IETF Standard seit 2002
 								- Google Talk 2005 - 2013 (entwickelte Jingle)
 								- Facebook 2010 - 2014
 								- WhatsApp nutzt es intern
 								{{% note %}}
 								- Jingle:
 								  - Aushandlung von Datenverbindung (angelehnt an SIP)
 								  - für: Datenaustausch, Video/Voice-Chat, ...
 								{{% /note %}}
 								---
 								## XMPP
 								#### Adressierung
 								JID (Jabber ID) genannt:
 								```
 								node@domain/ressource
 								```
 								URI-Format: (falls MUC mit `?join` am Ende)
 								```
 								xmpp:node@domain?join
 								```
 								{{% note %}}
 								- MUC (Multi User Chat): Gruppenchat
 								**Als User**
 								- benutzer@server/gerät
 								**In MUC**
 								- chatraum@muc-server/nickame
 								**Transport**
 								- ganz unterschiedlich
 								{{% /note %}}
 								---
 								## XMPP
 								**Message**
 								```xml
 								<message from="geno@fireorbit.de"
 								 to="#ccchb@irc.hackint.org" type="groupchat">
 									Hello World
 								</message>
 								```
 								Types:
 								- chat
 								- groupchat
 								- headline
 								- normal
 								- error
 								---
 								## XMPP
 								**Present**: Aktuelle Live Informationen
 								```xml
 								<present to="#ccchb@irc.hackint.org" type="subscribe">
 								</present>
 								```
 								Types:
 								- error
 								- probe
 								- subscribe(d)
 								- unavailable
 								- unsubscribe(d)
 								---
 								## XMPP
 								**IQ** (Instant Query): Abfragen mit Rückantworten
 								```xml
 								<iq to="irc.hackint.org" type="get">
 									<ping xmlns='urn:xmpp:ping'/>
 								</iq>
 								```
 								Types:
 								- get
 								- set
 								- result
 								- error
 								{{% note %}}
 								- Die Inhalte, die in diesen XML-Elementen drin sind, werden im RFC nicht vorgegeben und kann für viele Funktionen genutzt werden.
 								{{% /note %}}
 								---
 								## Software <small>Clients</small>
 								#### Empfehlungen:
 								- Conversations (Android)
 									- Pix-Art Messenger
 								- ChatSecure (iPhone)
 								- Gajim (Desktop)
 								- ConverseJS (WebClient)
 								- Viele mehr
 									- mit [OMEMO](https://omemo.top)
 									- [alle](https://xmpp.org/software/clients.html)
 								---
 								## Software <small>Clients</small>
 								Bombus - Client in J2ME für normale Telefone
 								<center>
 								  <img width="50%" src="img/j2me-bombus.jpg" alt="Wikipedia - Article Java"/>
 								</center>
 								---
 								## Software <small>Server</small>
 								- **prosody** in lua
 									- leicht erweiterbar
 									- riesige Sammlung an erweiterbaren Modulen (die man nutzen muss)
 								- **ejabberd** (Fork: mongooseIM) in erlang
 									- besitzt alle nötigen Funktionen von Haus aus
 									- sehr gut gewartet
 								- **OpenFire** in Java
 								---
 								## Ist der Hoster gut
 								Tools zum Testen des Servers (Auswahl an Servern)
 								- [Compliance](https://compliance.conversations.im/) ([support Alles](https://compliance.conversations.im/api/compliant_servers/) / API)
 								- [Status](https://status.conversations.im/historical/) für S2S + Uptime
 								XEPs:
 								- PEP / PubSub
 								- MAM (für MUC)
 								- HTTP-Upload
 								- DNS-SRV for TLS (HTTPS)
 								{{% note %}}
 								- Personal Eventing Protocol: Geolocation, Mood, Activity, Tune
 								- Message Archive Management:
 								  - Vorteil gegenüber: Threema und WhatsApp (mit OMEMO auch gegenüber Telegram)
 								  - OMEMO: Neue Geräte können alte Nachrichten nicht entschlüsseln
 								- HTTP-Upload: Offline und in MUC Datenaustausch
 								- "umgeht" Firewalls
 								{{% /note %}}
 								---
 								## XMPP
 								### Verschlüsselung
 								- Off-The-Record
 								- OpenPGP
 								- OX
 								- OMEMO
 								Detailert: [here](https://conversations.im/omemo)
 								{{% note %}}
 								- Neben TLS (SSL)
 								{{% /note %}}
 								---
 								## XMPP <small>Verschlüsselung</small>
 								- Geräte erstellt **asynchrones** Schlüsselpaar
 								  - öffentlichen Schlüssel wird per PubSub auf dem Server hinterlegt
 								- Kontakte werden durch PEP / PubSub über neuen Schlüssel informiert
 								  - Dieser muss diesen öffentlichen Schlüssel laden
 								{{% note %}}
 								- synchrone: Entspricht einem Passwort, was allen Gesprächsteilnehmern bekannt ist.
 								  - asynchrone: mathematisches Verfahren mit Schlüsselpaaren (öffentlicher und privater Schlüssel)
 								- Kontakte = Roster
 								- den **neuen oder weiteren** öffentlichen Schlüssel
 								- Signiert und verschlüsselt
 								- zurückziehen des Schlüssels
 								{{% /note %}}
 								---
 								<center>
 								<h1>Demo</h1>
 								[Anleitung](https://media.kuketz.de/blog/artikel/2016/conversations/Anleitung_Conversations_V1.1_CC-BY-SA.pdf)
 								</center>
 								---
 								## Ausblick
 								- Transports
 								  - Biboumi: IRC
 								  - Spectrum2: e.g AIM, ICQ, MSN, Yahoo, Telegram, Twitter, "WhatsApp"
 								- PubSub
 								  - Blogging / Posting (siehe Movim)
 								- Commands
 								  - Internet of Things
 								[XEP-Liste](https://xmpp.org/extensions/) letzter Eintrag: XEP-0410: MUC Self-Ping (Schrödinger's Chat)
 								{{% note %}}
 								- Transport WhatsApp Warnung, vor Protokolländerungen und Sperrungen
 								{{% /note %}}
 								---
 								## Alternativen zu XMPP
 								#### Peer-to-Peer
 								- Nutzen das Tor-Netzwerk
 									- **Tox**
 									- **Briar**
 										- kann auch Local per Wifi und Bluetooth genutzt werden
 									- ... (viele mehr)
 								- libp2p
 								- (mir sonst keine Weiteren bekannt ...)
 								---
 								## Alternativen zu XMPP
 								#### Federation
 								- **Matrix** (Riot):
 									- Änderungsvorschläge am Protokoll werden durch das Unternehmen entschieden
 								- (mir sonst keine Weiteren bekannt ...)
 								---
 								<center>
 								  <h1>Ende</h1>
 								  <a href="https://www.ccc.de/de/hackerethik"><h4>Hackerethik</h4></a>
 								  **3. Mißtraue Autoritäten – fördere Dezentralisierung.**
 								</center>