Messenger

Skype -> Tox

Tox Logo

Quelle: tox.chat

Dieser Beitrag wurde am 2. Februar 2018 das letzte Mal aktualisiert.

Wer Skype benutzt, muss sich nicht nur damit einverstanden erklären, dass Microsoft alle übertragenen Daten quasi nach Belieben nutzt. Er muss davon ausgehen, dass dies tatsächlich geschieht und der Konzern auch nicht verrät, was  genau er mit diesen Daten anstellt.

Schon im Jahr 2013 hat Heise Security festgestellt, das Skype methodisch die Nachrichten seiner Benutzer ausließt und auswertet.

Dieses Vorgehen ist mehr als verwerflich und wir wehren uns dagegen.

Wenn ihr die Datenschutzhelden schon seit der ersten Stunde verfolgt wisst ihr, das wir schon einmal einen Artikel über eine Skype Alternative geschrieben haben.

Jedoch hat sich mittlerweile eine bessere Alternative herrausgebildet:

Aus Skype->Vsee wird Skype->Tox.

Im praktischen Einsatz konnte ich feststellen, dass Übetragung bei Tox deutlich stabiler ist als bei VSee. Außerdem ist Tox eine Open Source Software, somit kann man, im Gegensatz zu Vsee, den Quellcode einsehen und verifizieren ob das Program wirklich sicher ist.

Tox ist eine Peer-to-Peer Kommunikationslösung. Kurz gesagt, hat Tox sehr ähnliche Funktionalitäten zu Skype:

  • Chat Nachrichten
  • Videokonferenzen
  • Sprachanrufe
  • Bildschirmübertragung
  • Gruppenchats
  • Kontakte suchen & speichern
  • Filesharing
  • Emoticons 😀

Zu diesen Funktionalitäten kommen ein paar sehr spezielle Tox Features hinzu, die eure Privatsphäre schützen:

  • Peer-to-Peer: Es gibt bei Tox keine zentralen Server, die eure Daten übertragen und diese somit speichern und Auslesen könnten
  • Verschlüsselung: Alles bei Tox ist verschlüsselt, egal ob es um die Chat Nachrichten, die Videokonferenzen oder das FileSharing geht. Sogar das hinzufügen von neuen Kontakten geschieht auf kryptographischer Basis

In dem Aktuellen Bericht der Digitale Gesellschaft Schweiz bewertet diese den Tox Messenger oder genauer gesagt das Tox-Protokoll (dazu später mehr) als sehr gut:

Tox im Test

Quelle: digitale-gesellschaft.ch – CC BY-SA 4.0 [bearbeitet]

Wenn ihr euch die Tabelle anseht, erkennt ihr zwei Punkte, die laut der Digitalen Gesellschaft Schweiz (DGS) nicht optimal sind:

  • Security/Code Audits (2/3): Bei diesem Punkt wird darauf eingegangen wie gut und oft der Quellcode von Tox von externen Experten überprüft wird. Und das ist laut DGS nicht genug. Dies bedeutet nicht, das Tox einen schlechten Code hat, jedoch wird es nicht regelmäßig überprüft. Leider erleiden viele Open Source Projekte dieses Schicksal, da eine externe Überprüfung sehr teuer ist und diese Projekte meist kaum Geld einnehmen.
  • Offener Standart (1/3): Tox ist nicht unfrei. Folgt aber auch keinem freien Standard: – Zitat der Antwort von DGS auf unsere Frage Welchen unfreien Standard bemängelt ihr bei Tox? (via Twitter).

Installation

Wie in der Einleitung besprochen ist Tox nicht nur ein Programm sondern ein Protokoll. Das bedeutet, das jeder sich diese Protokoll ansehen kann und eine eigenes Programm auf dessen Basis schreiben kann. Wenn alles richtig implementiert wurde, ist es egal welches Programm ihr oder euer Gesprächspartner benutzt. Durch das Protokoll ist sichergestellt, das ihr mit jedem Client kommunizieren könnt.

Wir stellen euch hier die am meisten verbreiteten Clients vor, gerne könnt ihr euch selbst auch noch einen anderen raus suchen und testen (Berichtet uns darüber in den Kommentaren, damit wir diesen Artikel dementsprechend anpassen können):

Alle Clients: https://wiki.tox.chat/clients

Linux

Der Client qTox vereint viele Features mit einer einfachen Nutzeroberfläche

Windows

Der Client qTox vereint viele Features mit einer einfachen Nutzeroberfläche

Mac OS X

Der Client für Max OS X ist uTox

Die Installation läuft ab, wie alle anderen Installation auf Mac OS X auch

  • Herunterladen des Programs
  • Öffnet die heruntergeladene Datei und zieht uTox in den Applikationen Ordner

Android

Der bekannteste Client für Android ist Antox

iOS

Für iOS gibt es den Client Antitode

Nutzung

Erste Einrichtung von Tox

  1. Je nach Client sieht die Benutzeroberfläche anders aus, jedoch beginnen alle mit dem selben Schritt: Das einrichten einer neuen Tox ID oder das importieren einer bestehenden.
  2. Unsere Empfehlung ist es für jedes Gerät eine neue ID einzurichten
    1. Vorteile
      1. Ihr könnt auch von einem Gerät das andere anrufen
      2. Ihr könnt genau auswählen, wer euch auf welchem Gerät erreichen kann
      3. Es ist bei bei vielen Clients komplex die IDs zu ex-/importieren
      4. Sollte eines eurer Geräte geknackt werden (speziell Smartphones sind anfällig dafür) habt ihr weiterhin einen sicheren Kommunikationskanal auf einem anderen Gerät
      5. Es ist für den Anfang einfacher und weniger fehleranfällig
        1. Laut dem offiziellen Wiki des Tox Projekt: Mit mehr als einem Gerät pro ID werden böse Dinge passieren
    2. Nachteile
      1. Ihr müsst Personen die euch auf allen Geräten erreichen sollen, all eure IDs mitteilen
  3. Da die Oberflächen sehr unterschiedlich sein können, möchten wir gar nicht genauer auf die verschiedenen Clients eingehen. Schaut euch die Oberflächen an, da diese ähnlich aussehen wie bei Skype und weitestgehend selbsterklärend sind. Solltet ihr noch Fragen zu einem einzelnen Programm haben, ab damit in die Kommentare.
  4. Damit euer Tox Profil sicher bleibt, ist ein sicherer Passwort essentiell. Nutzt dafür KeepassX!

Neue Kontakte hinzufügen

Um neue Kontakte hinzu zu fügen braucht ihr deren TOX ID (diese sieht in der Regel sehr komisch und lang aus: z.B. 9D2547A0F518AC1189D3A8F0D54038EF7366441F0272FF8C0B400696E5AADC48AH29ADF0A3DA)

Lasst euch davon nicht abschrecken, es gibt auch noch eine lesbare Variante davon.

Nachdem ihr die Tox ID eures Kontakts erhalten habt, könnt ihr nach dieser suchen und hinzufügen:

  • qTox
    1. Klickt auf das +-Symbol in der linken unteren Leiste
    2. Es öffnet sich ein Fenster in das ihr die Tox ID eure Kontakts eingeben könnt. Anschließend könnt ihr noch eine Nachricht dazu schreiben, damit der Kontakt weiß wer ihr seit.
    3. Abschließend klickt ihr auf Freundschaftsanfrage senden
  • Antox
    1. Klickt im Hauptbildschirm auf das grüne + in der unteren rechten Ecke
    2. Gebt die Tox ID eures Kontakts ein. Anschließend könnt ihr noch eine kurze Nachricht eingeben
    3. Klickt zum senden auf Freund hinzufügen

Einfacheres hinzufügen von Kontakten:

  • Ihr braucht nicht zwingend die Tox ID eures Partners. Der Kontakt kann seine ID auf einen DNS Server speichern und euch dann die lesbare Adresse seiner ID geben (z.B. datenschutztest@toxme.io). Dies Adresse gebt ihr dann anstatt der ID in  das Feld ein
    • ACHTUNG: Durch das nutzen eines DNS Service ergibt sich die Möglichkeit eines Mann in der Mitte Angriffs. Hierbei kann euch der DNS Service eine falsche ID liefern und somit eure gesamte Kommunikation abfangen. Die sichere Methode ist direkt die ID zu übermitteln.
  • In mobilen Versionen (Antox, Antitode) könnt ihr einfach den QR-Code des Kontakts scannen und müsst somit die ID nicht per Hand eingeben.
    • Antox
      1. Klickt im Hauptbildschirm auf das grüne + in der unteren rechten Ecke
      2. Klickt auf das QR-Code Symbol in der oberen rechten Ecke
        1. Sollte kein Barcode-Scanner vorhanden sein, werdet ihr aufgefordert diesen zu installieren
          1. F-Droid: Nach der App Barcode Scanner suchen
      3. Der Barcode Scanner wird geöffnet und ihr könnt den Barcode des Kontakts scannen

Eigene Tox ID auf eine DNS Server speichern

Damit ihr wie in dem vorherigen Schritt beschrieben nicht mehr eure Tox ID weitergeben müsst, könnt ihr diese auf einem Server zwischenspeichern.

Zwei Dienste dafür sind:

  • http://register.utox.org/
    • Öffnet die Seite und gebt euren gewünschten Nutzernamen sowie eure Tox ID ein
    • Klickt auf Publish!
    • Wenn der Text Success erscheint, wurde eure ID erfolgreich hinzugefügt
    • Ihr seit ab sofort über <name>@utox.org auffindbar
  • https://toxme.io/
    • Öffnet die Seite und gebt euren gewünschten Nutzernamen sowie eure Tox ID ein
    • Ihr könnt noch eine kleinen Text als öffentliche Nachricht in Bio reinschreiben
    • Setzt den Haken bei Hide my name from the public list
    • Klickt auf Publish!
    • Wenn alles funktioniert hat, bekommt ihr eine neue Seite angezeigt, auf der eure Adresse steht
      • Im Normalfall <name>@toxme.io
    • Solltet ihr den Eintrag in Zukunft verändern wollen, speichert das angezeigte Passwort (Tipp:  Ihr könnt das zu KeepassX nutzen)

Nun könnt ihr euren Kontakten diese lesbare Adresse geben und diese können euch damit hinzufügen.

ACHTUNG: Durch das nutzen eines DNS Service ergibt sich die Möglichkeit eines Mann in der Mitte Angriffs. Hierbei kann euch der DNS Service eine falsche ID liefern und somit eure gesamte Kommunikation abfangen. Die sichere Methode ist direkt die ID zu übermitteln.

 

Hoffentlich konnten wir euch mit diesem Artikel dazu bewegen von Skype weg zu wechseln. Mit Tox habt ihr eine sichere Möglichkeit an der Hand, die auch noch leicht zu bedienen ist (Und das ist leider in diesem Softwaresegment nicht immer selbstverständlich)

Habt ihr Tox bereits im Einsatz bzw. gerade installiert und getestet? Was sind eure Erfahrungen damit, habt ihr Tipps für die Benutzung? Dann ab damit in die Kommentare. Wir freuen uns über einen regen Austausch mit euch.

– Eure Datenschutzhelden


Quellen:

https://tox.chat/

https://wiki.tox.chat/

https://en.wikipedia.org/wiki/Tox_%28protocol%29





  1. Anonymous

    Hey,

    wo seht ihr denn Tox im, mittlerweile recht vollen und für “Otto Normal” nicht mehr ganz so übersichlichen, Messanger Markt angesiedelt?
    Würdet ihr es nur als Skype (/ Video-Telefonie) Alternative sehen oder auch als Alternative für “normale” Messanger? Wenn man sich die Feature Liste so anschaut möchte es ja quasi alles können, was scheinbar aber noch stark von den Clients abhängt. (Messageing, [Video-]Telefonie, Filesharing, Desktopsharing) Positiv finde ich auf jeden Fall, dass es für nahezu alle oder zumindest die am meisten verbreiteten Desktop und mobilen Betriebssysteme einen Client gibt.

    Wie ist es überhaupt um die Verschlüsselung bestellt? Wurden da aktuelle, derzeit als sicher geltende Bausteine verwendet oder im Telegram Stil etwas komplett Neues “zusammengebastelt”?
    -> Naja, da würde sicher ein Code-Audit Aufschluss geben.

    Könnt ihr etwas darüber sagen, wie die Benachrichtigung über den Eingang von neuen Messages geregelt wurde? Es ist natürlich erstmal lukrativ wenn man liest, dass kein Server notwendig ist und die Clients direkt untereinander kommunizieren können. Viele dieser Lösungen schwächeln dann irgendwie wieder bei der Akku-Laufzeit (natürlich vorallem bei mobilen Geräten relevant), weil es keinen Server gibt, der eine Art Push-Notification schickt. Ok, die Clients können sich direkt ansprechen, was passiert dann, wenn einer der Kommunikationspartner offline ist?

    Nur so ein paar Sachen, die mir im Kopf umher schwirren. Ich möchte mein neues Telefon gern Google-frei betreiben und es wäre natürlich schön, wenn man mit allen, denen das (noch) nicht so wichtig ist trotzdem in Kontakt bleiben kann. Ein gut funktionierender Messager spielt dabei heutzutage natürlich eine große Rolle.

    Ich verfole natürlich auch gespannt die Entwicklung von Conversations (bzw. generell XMPP+OMEMO) oder auch Briar. Es kann natürlich sein, dass wir da direkt vom Thema abkommen, wenn ihr es nur als Skype Alternative seht. Bei der Video-Telefonie könnte man jetzt auch noch “Ring” (https://ring.cx/) in den Raum werfen.

    Gruß

    • Datenschutzhelden

      Hallo Anonymous,

      Tox basiert auf dem System der Perfect Forward Security:
      https://de.wikipedia.org/wiki/Perfect_Forward_Secrecy
      https://tox.chat/faq.html#how-tox-privacy

      Diese Verschlüsselung garantiert einen hohen Grad an Sicherheit. Dies ist ein alt bewährtes System. Wobei der Standard neu implementiert wurde.
      Die Sicherheit wird durch den Umstand das alle Clients Open Source sind weiter verstärkt. (Denn es ist schwieriger Hintertüren in die Verschlüsselung einzubauen)

      Wie schon im Artikel besprochen, sind Code Audits leider sehr teuer und deshalb für die meisten OSS (Open Source Software) Projekte nicht regelmäßig machbar.

      Wir sehen Tox als reine Skype Alternative.
      Wie schon von dir festgestellt, ist durch das fehlen eines zentralen Servers keine Kommunikation möglich wenn einer der beiden Parteien offline ist.

      Es eignet sich somit nicht als WhatsApp o.ä. Alternative, da immer alle Partner online sein müssten und das braucht viel Akku und Bandbreite.

      Um dein Telefon ohne Google zu betreiben, können wir dir unsere Artikelreihe zu Custom-ROMs empfehlen.

      – Deine Datenschutzhelden

    • Thorsten

      Hallo Pamina,

      wir haben mit Jitsi leider noch keine praktischen Erfahrungen gemacht. Tut mir Leid, dass ich dir gerade nicht mehr sagen kann.
      Als Skype Alternative habe ich gerade das Riot Projekt (das auf dem Matrix-Protokoll basiert) im Blick. Die Ende-zu-Ende-Verschlüsselung befindet sich aber leider noch in der Beta-Phase.

      Viele Grüße
      Thorsten

Einen Kommentar abgeben

Achtung! Alle Daten, die ihr in das Kommentarfeld eingebt, werden bei uns auf dem Server gespeichert. Eine Weitergabe eurer Daten an Dritte findet nicht statt.

Es ist möglich, ohne die Angabe einer Email-Adresse zu kommentieren.

Die Kommentare werden moderiert und wir versuchen, schnellstmöglich auf eure Fragen einzugehen. Bitte habt Nachsicht mit uns, wenn das auch mal ein paar Tagen dauern kann.

CC-BY-NC-SA
Alle Texte auf Datenschutzhelden.org stehen, sofern nicht anders publiziert, unter Creative Commons Attribution 4.0 International License.