Skype zählt zu den weltweit wohl bekanntesten Messengern. Der einst als Pionier in Sachen Sprach- und Videotelefonie über das Internet gestartete Dienst befindet sich seit einiger Zeit im Besitz von Microsoft. Der Konzern hat sich zuletzt den Anfragen von US-Behörden bezüglich Daten europäischer Nutzer widersetzt, trotzdem gibt es viele Nutzer, die ihre Kommunikation seit der NSA-Affäre dort und generell bei amerikanischen Unternehmen nicht mehr sicher wähnen.

Eine Gruppe von Hackern hat sich nun zusammengefunden, um eine Alternative zu Skype zu entwickeln, die es Geheimdiensten verunmöglichen soll, mitzulauschen. "Tox" heißt das Tool, das sich noch in einem frühen Entwicklungsstadium befindet und von Wired näher inspiziert wurde.

Dezentral

Tox kommt ohne zentralem Server und folglich auch ohne der Registrierung eines Accounts aus. Nach P2P-Prinzip werden Verbindungen verschlüsselt zwischen den Usern hergestellt, was die Überwachung deutlich erschwert. Um auch die IP-Adresse des jeweiligen Gegenübers zu verschleiern, laufen die Daten nach Tor-Prinzip über mehrere Nodes, bevor sie beim Rezipienten eintreffen.

Das Team hinter Tox, das für sich gesehen eigentlich nur ein Protokoll ist, konzentriert sich auf jene Funktionen, die ihr Tool zu einer Skype-Alternative machen soll. Theoretisch lassen sich damit aber auch andere Dinge verwirklichen – so arbeiten andere Programmierer etwa an einer Art E-Mail-Dienst und Software zur Datensynchronisation.

Kontakt per Key

Zehn Messenger gibt es bereits, die auf das Tox-Protokoll setzen. uTox ist dabei die Referenzsoftware, die die aktuellste Version und neuesten Features beinhaltet. Sie kann bereits heruntergeladen werden und steht für Windows-Systeme zur Verfügung. Eine Umsetzung namens qTox gibt es für Mac OS. Die Linux-Variante heißt Toxic und kann derzeit nur über die Kommandozeile bedient werden. Für Android empfiehlt man die Umsetzung Antox. Künftig könnte es "offizielle" Clients für verschiedene Systeme geben.

Die Kontaktaufnahme erfolgt unter Kenntnis des eindeutigen Public Keys des Nutzers, den Tox beim erstmaligen Start generiert. Dieser und die eigenen Kontakte werden in einer Datei hinterlegt, die man einfach auf andere Geräte, auf welchen man Tox nutzt, kopieren muss.

Kinderkrankheiten

Das Design hat allerdings noch Schwächen, so gibt es im Moment noch keine Möglichkeit, auf mehreren Systemen gleichzeitig mit dem selben Schlüssel online zu sein. Ein Problem, das die Entwickler bald beheben möchten. Die bislang fehlende Möglichkeit für Gruppenchats wurde zumindest in der Windows-Version bereits nachgereicht.

Anonyme Entwickler

David Lohle, der für das Projekt die Kommunikation übernimmt, sagt, dass es keine Pläne gibt, Tox zu monetarisieren. Die Entwicklung, die von einem mehr als zehnköpfigen, teils anonymen Team betrieben wird, erfolgt in der Freizeit. Geleitet wird sie von einer Person unter dem Pseudonym "irungentoo", dessen Realname laut Lohle im Projektteam wohl niemandem anderen bekannt sein dürfte.

Ursprungsort 4chan

Entstanden ist das Projekt aus einer Diskussion auf 4chan. Man sei von der umstrittenen Plattform aber sehr schnell unabhängig gewesen und habe neue Mitglieder unter anderem durch Präsenz auf Plattformen wie Reddit oder Hacker News gewonnen.

Um erfolgreich zu sein benötigt Tox viel Vertrauen der Nutzerschaft. Explizit wird auf der Website darauf verwiesen, dass das Protokoll und der Messenger in ihrer derzeitigen Frühform nicht als sicher anzusehen sind, da sie möglicherweise Fehler enthalten.

Security Audit geplant

Genutzt werden Kryptoalgorithmen aus der recht jungen NaCl-Bibliothek. Diese wird laut Jacob Hofmann-Andrews von der Electronic Frontier Foundation in der Sicherheitscommunity als vielversprechend eingeschätzt. Derzeit verlässt sich das Tox-Team auf die Open-Source-Community, spart aber Geld für einen künftigen Security Audit durch ein Sicherheitsunternehmen.

Warrant Canary

Ein anderes Thema ist eine mögliche Belangung durch Behörden, die das Projekt etwa mit einer Geheimanordnung gefährden könnten. Hier soll ein sogenannter "Warrant Canary" helfen, eine Seite, auf der festgehalten wird, ob man von einer solchen Order bereits betroffen war. Sie dient als Trick, um die erzwungene Unterverschlusshaltung einer solchen Anordnung zu umgehen.

Eine Woche lang war die Seite vom Webauftritt des Tox-Projektes verschwunden, was für Sorge unter Beobachtern sorgte. In einem Blogpost erklärten die Entwickler nach der Wiederherstellung, dass man übersehen hatte, den Warrant Canary nach dem Wechsel zu einem anderen Webhost wieder online zu stellen. (gpi, derStandard.at, 01.09.2014)