Session: Dezentraler Messenger ohne Telefonnummern-Pflicht

Session: Dezentraler Messenger ohne Telefonnummern-Pflicht

Moderne Messenger plagt ein gemeinsames Privatsphäre-Problem: Sie fragen fast ausnahmslos nach Eurer Telefonnummer. Auch wenn wir uns inzwischen daran gewöhnt haben, ist das eigentlich nicht besonders diskret. Schließlich wissen wir nicht, an wen sie weitergegeben wird. "Session" soll es besser machen. Wir stellen den neuen Messenger für Privatsphäre-Freunde näher vor.

Smartphones sollen uns vor allem unkompliziert miteinander verbinden. Die einfachen Messenger-Apps bieten bequeme Möglichkeiten und sind größtenteils kostenlos. Dennoch zahlen wir einen Preis dafür: Unsere Telefonnummer und unsere Kontakte sowie die so genannten Meta-Daten werden oft von den Betreibern kommerziell genutzt. Es lässt sich Geld machen mit der Information, wann wir mit wem wie lange kommunizieren.

session begin 2020 03 03
Am Anfang entsteht eine Session-ID … / © NextPit

Und selbst wenn wir einem App-Entwickler vertrauen können, wie es etwa beim Signal-Messenger der Fall ist, hat die Sache einen Haken: Wir sollen uns mit unserer Telefonnummer registrieren und der App Zugriff auf unsere Kontakte geben. Erstere ist in Deutschland unweigerlich mit unserer echten Identität gekoppelt und letztere müssten theoretisch einzeln einwilligen, dass wir ihre Telefonnummern weitergeben.

Paranoider als Signal oder Threema

Der neue Messenger Session ist ein so genannter Fork von Signal. Funktionell ist er damit weitgehend identisch, aber beim Einrichtungs-Prozess werdet Ihr nicht mehr nach Eurer Telefonnummer gefragt. Auch der Zugriff auf Eure Kontaktliste oder das Verknüpfen Eurer Nummer oder E-Mail-Adresse mit Eurer Session-ID ist nicht vorgesehen – damit ist Session noch paranoider als Threema.

Was Session kann

Session beherrscht die üblichen Chat-Funktionen: Es gibt Sprachnachrichten, eine GIF-Suche (mit Privatsphäre-Warnung), Dateiaustausch und Gruppenchats. Neue Kontakte fügt Ihr per Scan eines QR-Codes oder Austausch der Session-ID hinzu. Eure Gruppen könnt Ihr per Link teilen.

session gif warning 2020 03 03
Teilt Ihr GIFs, warnt Euch Session vor kompromittierten Meta-Daten. / © NextPit

Verschlüsselte Gruppenchats

Ein weiterer Vorteil gegenüber Signal oder Telegram sind Ende-zu-Ende-verschlüsselte Gruppenchats. Bis zu zehn Leute können sich via Session voll anonym vernetzen. Ja, auch WhatsApp hat verschlüsselte Gruppenchats. Aber Eure Meta-Daten, Telefonnummern und IP-Adressen bleiben für Facebook sichtbar. Session ist komplett ahnungslos.

Session auf allen Plattformen

Session startet richtig durch. Es ist im Play Store (oder als APK), im App Store sowie zum Download für Windows, macOS und Linux erhältlich. In der Theorie könnt Ihr dieselbe Session-ID auf all Euren Geräten gleichzeitig nutzen. Im Selbstversuch ist mir das leider nicht gelungen. Wenn Ihr Session zum ersten Mal installiert, erstellt es eine – daher der Name – neue Sitzung oder Session. Diese wird durch eine Wiederherstellungs-Phrase geschützt. Solltet Ihr Euer Smartphone wechseln, könnt Ihr also Eure Session auf dem neuen Gerät über diese Phrase fortsetzen.

Sessions übertragen

Chat-Backups werden in Sessions auf zweierlei Arten gemacht. Entweder Ihr legt eine – ebenfalls durch Passphrase geschützte – lokale Sicherung an; ganz genau wie in Signal. Diese könnt Ihr vor dem Zurücksetzen Eures Smartphones aus dem internen Speicher vom alten aufs neue Gerät kopieren.

Oder Ihr verlasst Euch auf Eure Chat-Partner und ladet die Chat-Protokolle nach der Wiederherstellung Eurer Session von ihnen herunter. Leider wollte auch dies im Selbstversuch nicht gelingen.

session restore 2020 03 03
Nach der Wiederherstellung fehlen Teile der alten Chats. / © NextPit

Was Session (noch) nicht kann

Wie oben schon zu erkennen, ist Session nicht besonders talentiert beim Wiederherstellen der Sicherung. Falls Ihr die App auf ein neues Gerät umziehen wollt, müsst Ihr mit Schwierigkeiten beim Wiederherstellen der Chat-Protokolle rechnen. Da Session jedoch auf kurzlebige Sitzungen ausgelegt ist, rechne ich in diesem Bereich nicht mit baldiger Besserung.

Wiederhergestellte Sessions freischalten

Session ist auch nicht besonders zuverlässig darin, Euch mit Leuten in Kontakt zu halten. Stellte ich im Test eine Session wieder her, konnte ich zwar meine Session-Kontakte wiederherstellen – wenngleich nur mit ihren IDs und ohne ihre Spitznamen. Doch konnte ich ihnen aufgrund meines veränderten Krypto-Schlüssels nicht mehr schreiben. Erst wenn sie mich kontaktierten, konnte ich wieder antworten. Falls also einer Eurer Session-Kontakte sich länger nicht meldet, pingt ihn einmal an. Eventuell müsst Ihr ihn erst wieder freischalten.

Telegram ist Sessions bester Freund

Da Sessions eher darauf ausgelegt ist, dass Ihr Sessions nur für kurze Einsätze kreiert und dann wegwerft, lohnt sich parallel die Nutzung von Telegram. Ich habe letzteren zum schnellen Austausch von IDs (optional per sicherem Chat mit Selbstzerstörungs-Timer) und zum Sichern und Synchronisieren meiner IDs und Passphrasen genutzt. Ähnliche Funktionalität böte auch die Kombination aus Syncthing und Text-Editor, die ist aber nicht ganz so simpel einzurichten.

Wer steckt hinter Session?

“Session” gehört zur Loki Foundation, einer Non-Profit-Organisation ohne festen Sitz. CEO ist Simon Harman. Auch wenn das Projekt nicht profitorientiert arbeitet, will es Session monetarisieren. Teile der Infrastruktur basieren auf einem Blockchain-Netzwerk, das die hauseigene Währung $LOKI schürft.

Das Netzwerk stellt wichtige Infrastruktur zur Anonymisierung seiner Nutzer bereit; darunter auch einen Onion-Router zur Verschleierung Eurer IP-Adresse. Weder Euer Gegenüber noch die Loki-Foundation können Euren Standort ermitteln.

Falls also einmal ein Staat per Gerichtsbeschluss Einsicht in die Session-Server erwirken sollte, würden die Fahnder nichts außer wenig aussagekräftiger Session-IDs und TOR-IP-Adressen vorfinden. Nichts von diesen Informationen ließe eindeutige Rückschlüsse auf die Identität der Nutzer der Messenger-App zu.

Fazit

Session ist einer der vielversprechendsten Messenger für den Paranoiker in mir. Falls er die störenden Schwächen bei der Verwendung auf mehreren Geräten und vor allem beim Wiederherstellen der Session überwindet, wird er auch für mich alltagstauglich. Bis dahin ist er auf jeden Fall eine spannende Machbarkeitsstudie und Beweis, dass es auch anders geht.

Neueste Artikel bei NextPit

Empfohlene Artikel bei NextPit

Top-Kommentare der Community

26 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Netter Artikel, dennoch möchte ich kurz ein paar Dinge klar stellen.

    Ja mit dem Multi-Device hat Session im Moment noch Probleme, deshalb ist es auch deaktiviert.

    Chat Wiederherstellung ist nicht möglich, da Session von sich aus keine Backups macht und Nachrichten nur auf den Geräten der Benutzer gespeichert werden.

    Die Größe der geschlossenen Gruppenchats wird in nächster Zeit auf 500 Teilnehmer angehoben.

    Neben den geschlossenen Gruppenchats bietet Session ebenfalls Open Groups, welche einen eigenen Server benötigen. Der Zugang zu diesen kann per Whitelist oder Blacklist vom Administrator beschränkt werden.

    Ein abschließend ist noch wichtig zu erwähnen, das Session nicht auf das TOR Netzwerk für das Onion Routing setzt sondern auf das Service Node basierte Onion Routing, welches eine Lightversion des Lokinets ist.

    Session ist komplett dezentral und hat keine zwingenden von der Loki Foundation betriebene Komponente.

    Der Sitz der Loki Foundation ist übrigens:
    L 1 452 Flinders St
    Melbourne VIC 3000
    Australia

    Der Quellcode für Session ist auf Github:
    loki-project/session-android
    loki-project/session-ios
    loki-project/session-desktop

    Meine Quellen angaben durfte ich leider aufgrund der Richtlinien von NextPit nicht teilen.


  • Threema war damals eine gute Alternative.
    Konnte sich leider nicht durchsetzen weil weder der Wille noch das Verständnis warum zu wechseln da war.
    Heute scheint es allgemein akzeptiert zu sein der völligen Protokollierung ausgeliefert zu sein.
    So ändern sich die Zeiten.


  • Auch über Tor lassen sich Nutzer identifizieren, das ist schon lange bekannt.


  • Aries vor 6 Monaten Link zum Kommentar

    Nur 10 Gruppenmitglieder? Da bekommt ein Fußballtrainer nicht einmal seine Mannschaft zusammen und der Lehrer nicht seine Klassen. Ich denke, das ist ein großes Manko, um Leute zum Umstieg zu bewegen.


  • Aries vor 6 Monaten Link zum Kommentar

    @Eric:
    “Ein weiterer Vorteil gegenüber Signal oder Telegram sind Ende-zu-Ende-verschlüsselte Gruppenchats.“

    Bei Signal sind (genauso wie bei WhatsApp) alle Nachrichten E2E-verschlüsselt. WhatsApp verwendet ja sogar das Signal-Protokoll.

    Telegram verschlüsselt zunächst nichts E2E. Man muss das explizit aktivieren, indem man „Private Chats“ auswählt, und dann sind nur Einzelchats verschlüsselt. Für Gruppenchats gibt es das nicht.


  • C. F.
    • Blogger
    vor 6 Monaten Link zum Kommentar

    „Paranoider als Signal oder Threema“

    Warum sind Signal- oder Threema-Nutzer paranoid? Blöder kann man‘s ja wohl nicht mehr ausdrücken. Aber ja, der Herrmann....

    muwe


    • Aries vor 6 Monaten Link zum Kommentar

      Eric schreibt doch gar nicht, welche Nutzer paranoider sind.


      • C. F.
        • Blogger
        vor 6 Monaten Link zum Kommentar

        Eine Paranoia ist immer personen- und nicht sachbezogen. Von daher fällt es automatisch auf den Nutzer zu. Und da in der Vergangenheit schon User, die aus bekannten Gründen nicht WhatsApp nutzen, mehrfach als Paranoiker bezeichnet wurden, stößt zumindest mir solch eine Ausdrucksweise bitter auf.

        "...damit ist Session noch paranoider als Threema." 😡


      •   75
        Gelöschter Account vor 6 Monaten Link zum Kommentar

        Deswegen WhatsApp und aus.


    • Na zum Glück ist auch Deine Kritik nicht persönlich.


  • Sebo vor 6 Monaten Link zum Kommentar

    War das früher so schön mit ICQ...


    • Aries vor 6 Monaten Link zum Kommentar

      ...und erst mit Brief! ;)


    • Ironie? Sarkasmus? Zu kurz um das zu erkennen bei dem was ich dazu im Kopf habe.
      Wir waren nämlich schön doof ICQ zu benutzen. Beim Anbieter (spätestens AOL) war nix verschlüsselt, die Nutzungbedingung sagte sogar, dass jede Idee oder Erfindung - also geistiges Eigentum - die man verschickt denen (AOL) unentgeltlich gehört. Was facebook mit Photos macht ist ein scheiß dagegen.
      Aber ja, das WhatsApp unserer Zeit 😆


    •   54
      Gelöschter Account vor 6 Monaten Link zum Kommentar

      Ich/wir nutzen auch ICQ noch, ist heute also immer noch schön :)


  • Tim vor 6 Monaten Link zum Kommentar

    Was ich auf jeden Fall nicht mag, sind die überall eingeblendeten, elendig langen IDs... wieso kann die nicht erst beim Druck auf das Profil angezeigt werden?
    Und irgendwie unschön langsam ist sie auch... scrolle ich zum Beispiel durch einen Chat und drücke auf das Settings-Zahnrad, dann wird dieses Menü erst geöffnet, wenn die Scroll-Animation komplett beendet wurde. Das ist echt komisch... ^^

    Und wie Jörg schon sagte, wird die App eh kaum jemand nutzen...


  • Da können noch zig Messenger kommen die werden aber von den meisten Leuten nicht angenommen .
    Fast alle bleiben bei WA . Habe auch schon mal versucht Leute zu bewegen was anderes auszuprobieren hatten alle kein Interesse . Also WA for ever !


    • Tim vor 6 Monaten Link zum Kommentar

      Ist leider wahr ^^ 1-2 Leute kriegt man vielleicht zu anderen Apps bewegt, aber am Ende hat man selbst zig Messenger, in der man jeweils nur 1-2 Kontakte hat und naja...

Zeige alle Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!