Vor ein paar Monaten habe ich über Bitmessage gelesen. Ich habe es kurz ausprobiert, gemerkt das irgendwie nichts wirklich funktioniert und es erstmal wieder an die Seite gestellt, weil ich es nicht sinnvoll einsetzen konnte. Dann habe ich Bitmessage ein bisschen beobachtet und jetzt kürzlich auf Heise von einer interessanten Lücke gelesen, die allerdings keine wirkliche Lücke im Bitmessage-Prinzip ist, sondern eher eine Lücke im Kopf der Benutzer, die zu blöde sind sich korrekt zu schützen.
Ersteinmal möchte ich ein bisschen zur “Lücke” erzählen. Die funktioniert nämlich ziemlich primitiv. Und gerade deshalb sind vermutlich einige drauf reingefallen.
Ein Rechner schaut nach Adressen im Bitmessage-Netzwerk. Weil alle Adressen öffentlich bekanntgegeben werden ist das kein Problem. Nun erstellt der Rechner mit einem Skript eine bestimmte URL und schickt an jede Bitmessage-Adresse eine andere URL. Im für den bösen Bub besten Fall ruft der Empfänger die URL aus Neugierde in seinem Browser auf. In dem Moment des Abrufs der Seite hat der Webserver vom bösen Bub die IP des Aufrufers. Da die URL in der Nachricht einzigartig war, kann der böse Bub nun die Adresse einer IP zuordnen und hat das Sicherheitssystem ausgehebelt. Wenn man einen Proxy, ein VPN oder gar Tor oder I2P nutzt, kann einem das nicht passieren weil der böse Bub nur die IP vom jeweiligen Austrittspunkt (Exit-Node) bekommt.
Warum Leute mit Halbwissen bei Twitter das Bitmessage-Projekt beschimpfen und meinen es solle etwas gegen einen solchen “Angriff” unternehmen, verstehe ich nicht ganz. Aber das ist wohl zu hoch für mich.
Jedenfalls habe ich mich in den letzten Tagen wieder mit Bitmessage befasst und muss sagen, dass ich positiv überrascht bin. Es ist viel geschehen dort. Es gibt jetzt “Chans”. Bei einem Chan teilen sich alle Teilnehmer die gleichen Keys und haben die gleiche Adresse. Gleichzeitig lauscht jeder auf der gleichen Adresse. Das Führt dann dazu, dass man anonym alles schreiben und lesen kann. Es gibt ja nur noch eine Adresse. Optional kann man natürlich auch weiterhin von seiner öffentlichen Adresse an die Chan-Adresse schreiben.
Auch habe ich einige interessierte Leute gefunden, die aktuell Gateways für Thunderbird, Online-Frameworks und andere Benutzungsmöglichkeiten für Bitmessage programmieren. Das macht natürlich Hoffnung auf mehr und vorallem Hoffnung auf eine Ausweitung des Programms/des Prinzips dahinter.
Das Prinzip von Bitmessage ist dabei recht kühl und ähnlich, wenn auch nicht gleich, dem Bitcoin-Prinzip. Wenn jemand eine Nachricht schreibt, wird diese in einer Art blockchain (wie bei Bitcoin) gespeichert und an andere Teilnehmer übermittelt – verschlüsselt versteht sich. Die Teilnehmer, welche nicht die Empfängeradresse haben können die verschlüsselte Nachricht nicht lesen, aber weiterleiten. Das geschieht so lange bis der richtige Empfänger die Nachricht hat. Er kann sie nun entschlüsseln und lesen. Bei Bitcoin ist das ähnlich – denn die Transaktionen werden in den blockchains gespeichert. Das Problem bei Bitcoin – die blockchain wird nie erneuert oder gelöscht. Deshalb ist die ja auch schon einige Gigabyte groß. Bei Bitmessage werden alle Nachrichten, welche älter als 2 Tage sind nicht mehr verteilt und auch nicht mehr angenommen. Das führt dazu, dass man den Client mindestens alle 2 Tage einschalten muss um die Nachrichten zu empfangen. Andernfalls gehen sie verloren.
Dies sorgt dafür, dass die blockchain nicht zu groß wird und eine gewisse Schnelllebigkeit entsteht. Natürlich werden nicht alle Nachrichten gelöscht – die, welche ihr einmal empfangen und entschlüsselt habt, bleiben natürlich erhalten.
Wer sich jetzt für Bitmessage interessiert kann sich mal hier umschauen.
Für den Blog habe ich mir eine Adresse angelegt unter der ihr mich erreichen könnt: BM-Gu1w17mNPzu53MhQsECG9ADfPkVXcP3c