Verschlüsselter Browser- bzw. App-basierter Chat mit Cryptocat

Neben den marktwirtschaftlich orientierten Datenkraken Google und Facebook, sammeln auch unserer Regierungen immer fleißiger Daten über unserer Kommunikation. Kein Wunder also, dass verschlüsselte Kommunikation immer mehr ein Thema wird, das auch Otto-Normal-User interessiert. Bei einer Recherche zu TorChat, das das Tor-Netzwerk für eine anonymen und komplett verschlüsselten Chat nutzt, bin ich auf das Cryptocat Projekt gestoßen, das im Ausland schon einige Presse erfahren hat, mir aber hier in Deutschland noch unbekannt war. Cryptocat bietet sicherere verschlüsselte Chats und Datentansfers über einen Web-Chat, Browser-Erweiterungen oder native Apps für mobile Geräte.

Cryptocat ist ein quelloffenes Projekt, dass vollständig verschlüsselte Kommunikation über einen Chat realisieren möchte. Die Verschlüsselung findet komplett im Client (also entweder dem Browser, einer Browser-Erweiterung, oder in Zukunft auf Apps für mobile Geräte) statt. Das Gespräch wird von Cryptocat via AES, Diffie-Hellman, and Whirlpool von Nutzer zu Nutzer verschlüsselt, so dass man aktuell sagen kann, dass der Chat uneinsehbar durch Dritte abläuft.

Anonymität wird durch Cryptocat jedoch nicht garantiert, ohne einen vorgeschalteten Tor als Hidden Service erfahren die Chat-Partner über die IP mit wem sie kommunizieren. In einem Video präsentiert sich das Projekt, es ist zwar technisch nicht sonderlich aussagekräftig, aber die coole 8-Bit Option und der Sound mussten einfach ins Blog 🙂

Das gesamte Cryptocat-Projekt ist Open-Source, sowohl der Client- wie auch der Server-Part können von GitHub heruntergeladen werden. Besonders der Server-Part ist interessant, da man sich so selber einen verschlüsselten Kanal aufbauen kann und nicht von der Infrastruktur anderer abhängt. Wichtig ist aber, dass der Webserver mit einem SSL-Zertifikat arbeitet, ohne https bringt die ganze Cryptocat-Magie rein gar nichts.

Im Browser funktioniert Cryptochat wie ein ganz normaler Webchat, oder eigentlich muss ich fast sagen, dass Cryptochat besser läuft. Man muss sich nicht lange mit Registrierungen aufhalten und Accounts anlegen, man besucht einfach nur crypto.cat, prüft mit einem kurzen Blick in die Browser-Zeile ob man auch wirklich mit https unterwegs ist und legt einen Chatraum an.

Diesen Namen bzw. Link kann man dann an seine Bekannte weitergeben, und sich dann so mit Ihnen unterhalten, es lassen sich sogar auch Dateien austauschen. Für mobile Geräte wie Android-Handys oder iPhones gibt es extra eine mobile Ansicht des Chats, so dass man Ihn auch bequem auf dem Handy nutzen kann.

Besser ist es jedoch Cryptocat als „App“ oder besser Erweiterung im Browser zu verwenden. Durch die Sandbox der Chrome-Erweiterungen bspw. sind viele denkbare Angriffe auf die Verschlüsselung nicht mehr möglich. Für Google Chrome gibt es bereits eine passende Erweiterung im Chrome-Store, für Firefox soll demnächst ebenfalls eine Erweiterung verfügbar sein.

Ebenso bekommen auch mobile Geräte mit Android und iOS eine eigene Cryptocat-App, bei der Android-Version könnt Ihr schon mal einen Blick auf eine der ersten Alphas werfen. Witzig gelöst ist dort die Erzeugung guter Zufallswerte durch den Beschleunigungssensor des Handys. Vor einem Chat muss man das Handy kurz schütteln, um die nötigen Zufallswerte zu erzeugen. Cryptocat-Chatter erkennt man daher immer am nervösen Handgelenk 😉

Der Initiator des Projekts Nadim Kobeissi  hat im Zuge eines Fundraisers, bei dem mehr als 3000 Dollar für das Projekt zusammen kamen, auf RT America im April ein Fernseh-Interview gegeben, in dem er ein bisschen über die Motivation hinter dem nicht-kommerziellen Unternehmen spricht.