Ricochet: Sicheres Messaging über Tor

Einen ähnlichen, dezentralisierten Ansatz verfolgt Ricochet, das inzwischen ein Teil des Messenger-Projekts invisible.im ist. Doch im Gegensatz zu Tox oder Bleep nutzt es nicht das BitTorrent-, sondern das Tor-Netzwerk. Das ermöglicht anonymes Browsen, indem es den Datenverkehr zwischen Sender und Empfänger über mehrere und regelmäßig wechselnde Knotenpunkte leitet, und somit eine Rückverfolgung weitestgehend unmöglich macht.

Der Entwickler von Ricochet ist der 22-jährige John Brooks. Bereits vor vier Jahren begann er die Arbeit an Ricochet, durch die Snowden-Enthüllungen hat er im vergangenen Jahr das Programm wiederbelebt und mit der Gruppe von invisible.im Unterstützer aus der IT-Sicherheitsszene gefunden. Das Team um den australischen Journalisten Patrick Gray wollte ebenfalls einen metadatenfreien Messenger entwickeln, um die Quellen von Journalisten zu schützen. Als Gray von Brooks und Ricochet erfuhr, schlossen sie sich zusammen. Ricochet ist eine Weiterentwicklung von TorChat.

Im Gegensatz zu Messenger-Apps wie Threema nutzt es keinen zentralen Server. Und im Gegensatz zu Tox oder Bleep findet auch keine direkte Verbindung zwischen zwei Nutzern statt. Die nämlich könne prinzipiell überwacht werden, wenn Geheimdienste davon wüssten, sagt John Brooks im Gespräch mit Wired. Allerdings erwidert ein Kommentator, dass man zusätzlich zu Tox auch einfach eine Tor-Verbindung nutzen könne.

Bis jetzt nur als Alpha-Version

Für Ricochet ist eine zusätzliche Tor-Software nicht nötig. Beim Start des Programms wird automatisch ein Schlüssel und eine Verbindung mit dem Tor-Netzwerk erstellt, die wie üblich über drei Knotenpunkte den Kontakt zu einem zweiten Nutzer aufbaut. Die Nachrichten gelangen von diesem neutralen "Rendezvous"-Knoten über drei weitere zum Empfänger, es sind also immer mindestens sechs Knotenpunkte zwischen beiden Chat-Teilnehmern, weshalb keine Metadaten auf deren Kontakt hinweisen.

Seit Mittwoch ist die erste Alpha-Version von Ricochet verfügbar. Im Gegensatz zu Tox oder Bleep ist das Programm noch sehr rudimentär. Es besteht lediglich aus einem einzigen Fenster und einer Kontaktliste, über die andere Nutzer per manueller ID-Eingabe gefunden werden können. Ricochet unterstützt zurzeit weder Telefonie noch Dateitransfer. Im November soll erstmals eine offizielle Testversion erscheinen, die zumindest Letzteres ermöglicht. Wenn das Programm fertig ist, soll es zudem einer unabhängigen Sicherheitsüberprüfung unterzogen werden.

Die ist auch nötig, denn vor allem Bleep hat zum jetzigen Zeitpunkt einen Nachteil: Es ist keine Open-Source-Programm. Und beide werden zudem vorrangig von US-Entwicklern programmiert, was möglicherweise viele Interessenten abschreckt: Schließlich könnten sie von der US-Regierung gezwungen werden, Hintertüren einzubauen. Der Quellcode von Ricochet steht immerhin offen und ist unter eine BSD-Lizenz gestellt.

Im Fall von Ricochet kommt zudem noch ein dritter Punkt hinzu: Seit Jahren versuchen die Geheimdienste, die Nutzer im Tor-Netzwerk zu entschlüsseln - bis jetzt, jedenfalls offiziell, ohne großen Erfolg. Ricochet-Entwickler John Brooks sieht es pragmatisch: "Wir wollen mit Ricochet das Vertrauen in sichere Kommunikation stärken. Aber wenn die NSA dich bereits auf dem Schirm hat, hast du eh schon gelitten."