Tox-FAQ : https://thomas-leister.de/tox/

Das schöne ist ja, dass es wenigstens komplett opensource ist.

Nicht so schön: Das benutzt wieder seine eigenen Protokolle oder koppelt sich das an XMPP oder einen ähnlich etablierten Standard an?

Nee, eigenes Protokoll.

Das klingt doch zu gut. oder?

Ich hab da mal ins Wiki geschaut, das einzige was ich erstmal komisch fand war das das das public-private-keypair nur aus jeweils 32bit schlüsseln besteht.

und wer steckt eigentlich hinter Tox?

thx. Thomas für den ausführlichen Beitrag

Sieht sehr interessant aus... Leider kann man nicht, so wie ich es verstanden habe, zum Beispiel 2 Geräte mit der selben ID verwenden um an beiden Nachrichten zu empfangen und zu senden (desktop und smartphone gleichzeitig), oder?

@Faldrian leider nein. Genau das ist für mich auch etwas enttäuschend, weil etablierte Standards so weiter geschwächt werden.
Natürlich ist der topologische Ansatz von Tox ein anderer als der von XMPP aber ich denke das es trotzdem möglich sein sollte (nein, fast müsste!) eine Idee with Tox als Service für XMPP zu implementieren. So kann man unter Umständen sogar Interesse und Manpower für beide Projekte lukrieren.

Ich werde nicht auf was umsteigen, was mal wieder sein eigenes Protokoll entwickelt. Einfach aus Prinzip, weil XMPP genau dafür gut ist und geschaffen wurde und ich es nicht einsehe, dass der Markt durch verschiedene Protokolle separiert wird und keine Interoperabilität geschaffen wird. Das möchte ich dann einfach nicht benutzen.

jabber/tox/pidgin/plugin scheint es zu geben : https://wiki.tox.im/Tox_Pidgin_Protocol_Plugin

Naja, der Vorteil der Dezentralität ist schon sehr nett... auch weil XMPP von Haus aus maximal über SSL verschlüsselt finde ich Tox interessant.

und kein anmelden oder dergleichen

Also für meine Bedürfnisse ist XMPP in der Entwicklung zu weit stehengeblieben. Oder zumindest die Clients sind nicht mehr zeitgemäß.

Wenn man auf Text only steht, ist alles bestens, aber wehe man will auch mal eine Datei anhängen, schon geht das Drama los. Ich muss also erstmal schauen, ob der Server denn ich nutze das überhaupt kann, dann uss ich das ggf. noch extra Konfigurieren etc. Und ob mein Kommunikationspartner überhaupt Binäres empfangen kann, kann ich überhaupt nicht so richtig sehen.

Eine (für mich) wichtige Funktion ist auch, das ich schnell mal meinen Standort übermittelen kann. Ich bin ja nun auch in einem fortgeschrittenen Alter und wenn ich mit dem Hund 2 Stunden in der Natur bin, will ich mal schnell in der lage sein, meinen Standort zu übermitteln, ohne das ich im ernstfall erst mühsam aus Maps oder OSM etc. den Standort extrahieren muss um dann das ganze per Mail rauszupusten ...

Nein XMPP ist irgendwo auf dem Stand der Technick von vor 10 Jahren stehengeblieben und hat es versäumt die eigene Entwicklung an der Zeit anzupassen.

ich wäre nicht so hart. ich persönlich mag xmpp auch und ist mir sympatisch – dieses ferderalserver-client system. Aber die verbrecher in den Geheimdiensten, nötigen uns usern andere techniken auf. … gut is nen anderes Thema.

Jedenfalls #P2P is die Lösung.
Vielleicht kann sollte man #Tox nicht mit dem xmpp-standart vergleichen sondern eher mit #bitmesseges?

Ich werd mir Tox mal bei Gelegenheit ansehen.

ich mag ja auch jabber/xmpp - aber je nach client können die einstellungen echt fummelig werden, vorallem mit OTR - das ist TOX echt total easy, auch für NICHTNERDS

Ja die OTR-Geschichten sind sehr hackelig. aber es funzt ;-)

Joa, darfst mich gerne mit Tox auf xmpp anschreiben. ;) Ich mag halt nicht zig verschiedene messenger-dinger haben

in anderen medien auch schon angekommen:

http://derstandard.at/2000005023064/Tox-Hacker-entwickeln-Alternative-zu-Skype

http://www.zeit.de/digital/internet/2014-09/tox-skype-alternative-sicherheit/komplettansicht

http://www.computerbild.de/artikel/cb-News-Software-Tox-Sichere-Skype-Alternative-10846209.html

Die Zeit aber so: "Ursprünglich entstanden die Idee und der Name für Tox auf dem Imageboard 4chan, auf dem in den vergangenen Tagen die gestohlenen Nacktfotos zahlreicher Prominenter auftauchten. In kürzester Zeit habe sich Tox allerdings vergangenen Sommer von 4chan emanzipiert, sagt ein Sprecher des Projekts. " hä???

Das Pidgin plugin ist ein Pidgin plugin. Das hat rein gar nichts mit Jabber/XMPP zu tun.

Nein, XMPP ist nicht stehengeblieben. Moderne Clients wie Converstions, Jappix, Candy usw. gepaart mit XEPs wie smacks, carbons und mam sind mindestens auf dem level von WhatsApp & Co. Die Probleme mit Filetransfer & Jingle werden sich spätestens mit IPv6 erledigen. Und OTR arbeitet sogar daran mehrere Clients gleichzeitig benutzen zu können.

Diese ganzen neuen Messenger schaffen nur neue Insellösungen, die Stärke von XMPP ist das es erweiterbar ist, jeder kann benutzen was er mag ohne das man von einander isoliert ist. Ich bin lediglich über dezentrale Protokolle erreichbar, alle auf meinem eigenen Server (E-Mail, XMPP, diaspora). Man kann mich auf allen verschlüsselt erreichen (OTR, PGP). Ich sehe nicht ein Feature in diesen Dingern das mir ein Vorteil geben würde, also warum sollte ich das ändern.

Jonne++ :)

Faldrian++ :)

Ich will auch nicht einfach nochmal nen Messenger/Protokoll :)

http://youbroketheinternet.org/ ;-)

Hinweis: Die Schlüssel sind nicht 32bit lang, sondern 32byte. Kleiner aber feiner Unterschied.

entspricht 256 bit. Die für die Crypto genutzte lib ist von http://nacl.cr.yp.to. Diese ist zuletzt akzualisiert worden: 2011-02-20.

Mein Fazit: heut zutage sind 256bit zuwenig. Und die Lib wird auch nicht mehr weiterentwickelt. Es werden hier tote Pferde geritten.

Zumindest interessant. Ich experimentiere gerade mit dem toxic Clienten. Falls jemand Lust zum Testen hat: 9EDB77E15C4335EEB5C99E22F2C6BD455A2521666D1130752895B3CD37D23E041C80612C2DFA

Nur weil es keine Updates seit 2011 gibt heißt das noch nicht dass die lib an sich schlecht ist o.o

Faldrian, jetzt trolle ich mal wieder Dich. Tut mir leid. Aber dann hättest Du auch nicht auf XMPP umsteigen sollen, denn Email/SMTP hat schon alles gemacht, was XMPP heute leisten kann.

Es kann durchaus vorkommen, dass ein mächtiges, erweiterbares Protokoll wie XMPP ersetzt wird durch ein weniger mächtiges, wenn das weniger mächtige die wichtigen Features des mächtigen und seiner Erweiterungen aufgreift und einen Nutzerkreis bildet, in dem zum Beispiel end2end-Verschlüsselung oder einfacher Dateiaustausch einfach mal funktioniert, anstatt dass man bei XMPP darauf angewiesen ist, dass alle OTR benutzen, was bei weitem nicht gegeben ist.

Seid 2011 ist viel passiert...

09/11, NSA, BND, BKA spielen jetzt in der IT-Sec eine große Rolle.

Die lib ist alleine durch die kurzen Schlüssellängen nicht mehr zeitgemäß.

Wer bei Tox was von Sicherheit erzählt, hat sich nicht damit beschäftigt.

und das viel gelobte otr nutzt 128 bit schlüssellänge .... *maleinwerf

sich ausschließlich auf die schlüssellänge zu stützen ist mMn ein wenig zu einfach.

@Rasmus

Da muss ich dir aber vehement widersprechen - via Email kann ich gar nicht sehen, ob mein Gegenüber gerade online ist oder sein Toaster oder wo er ist ... die "Präsenz" im Protokoll ist ein wichtiger Bestandteil. ;)

Ich sag ja nix dagegen, dass ein anderes Protokoll auch populär wird. Ich sehs für den Fall "instant messaging" einfach nicht ein. Eher sollte man dann an dem Punkt "nachrichtenformat" ansetzen, wie es OTR auch tut, um eben diesen faktor reinzubringen, statt das ganze Protokoll zu wechseln.

@devyl@despora.de

otr nutzt für den Nachrichtentransport eine symmetrische Verschlüsselung (AES) mit einer Schlüssellänge von 128bit. Mit Perfect Forward Secrecy - bedeutet für jede Kommunikation wird neu ausgehandelt.

Als Private/Public Key Pair kann bei otr PGP/GnuPG genutzt werden. Die Schlüssellängen hier: 2048 bis 4096bit. Dies kann im Unterschied zu Tox mit der Schlüssellänge von 256bit verglichen werden.

Bitte nicht Äpfel mit Birnen vergleichen.

natürlich nicht, aber auch nicht nur auf die schlüssellänge stützen :)

@devyl@despora.de

Falls von Interesse hier findest Du weiter gehende Infos zu Thema Kryto:

https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem

https://de.wikipedia.org/wiki/Symmetrisches_Kryptosystem

https://de.wikipedia.org/wiki/Hybride_Verschl%C3%BCsselung

Ich finde es ja immer witzig, wenn die Community aufschreit "Nicht noch eine Insellösung" es gibt doch bereits XMPP und dabei vergessen, das gem. Userzahlen, XMPP selber nur eine Insellösung darstellt. Klar, ich habe jetzt einfach mal Google rausgerechnet, da Google seine eigenen Server vom XMPP Netzwerk abgetrennt hat, und so starke Erweiterungen des Protokolls vorgenommen hat, das es nicht mehr kompatible zum Original XMPP sein dürfte.

Ein weitere Aspect der bei XMPP immer unerwähnt bleibt (Verdrängung, Unwissenheit oder was auch immer) ist, das die Entwicklung federführend durch Jabber Inc. vorgenommen wird. Das alleine wäre nicht so dramatisch, wenn nicht Jabber Inc. auch noch seit 2009 bereits eine 100 Prozentige Tochter von CISCO Systems wäre.

Man mag mich Schwarzmaler nennen, aber eine US Firma, mit Hauptbusiness im Routergeschäft (mit großen Anteil an den Internetbackbones) hat massgeblichen Einfluß auf ein IM Protokoll... Einfacher geht es ja wohl kaum für ein Geheimdienstliches Angriffszenario!

Bei XMPP hängt fast alles was nicht mit den Basics, also Message bzw. Präsenz Austausch zu tun hat direkt mit dem Client zusammen.

Das was XMPP als Protkoll tun kann und will ist in den 20 Jahren Bestehen mehr als solide und nutzbar. Nahezu alle der Big Player in der derzeit boomenden Unified Communication Branche wie Siemens, Cisco und Microsoft setzen in ihren Produkten auf XMPP als Unterbau oder integrieren es zumindest nahtlos - gar so am Ende kann das Prokoll also bei Gott nicht sein.

Selbst der Messaging Platzhirsch Whatsapp fährt XMPP - die Popularität und Nutzbarkeit kommt eindeutig von entsprechend durchdachten und funktionalen Clients. Im mobilen Bereich bei Android bin ich z.B. derzeit schwestens vom "Conversations" Client angetan der (entsprechende Plugins im XMPP Server aktiviert) Funktionen unterstützt die Whatsapp in fast gar nichts mehr nachstehen.

Im Desktop Bereich bin ich leider immer noch auf der Suche nach dem ultimativen Client. Ich möchte demnächst einmal Jitsi (https://jitsi.org/) ausprobieren das dieses ZRTP verschlüsselte Voice/Video Calls über XMPP und JingleNodes Unterstützt. Das wäre für mich persönlich die Ablöse von Skype, wenn es denn funktioniert, denn ich muss nicht wieder alle meine Contacts dazu bewegen auf etwas neues umzusteigen. War schon schwierig genug die meisten von XMPP zu überzeugen und die nicht Nerds mit einem komfortablen Client auszustatten.

Genau das ist doch der Hinweis, das das XMPP Protocoll die Zeit verschlafen hat. Es dient nur noch als Grundlage dazu, abgeschlossene Netze, die untereinander inkompatibel sind, zu bauen.

Eine Argumentation wie: WhatsApp nutzt ja auch XMPP ist da nur die halbe Wahrheit. WhatsApp nutzt ein mit eigenen Features versehenes XMPP Protokoll.

Das hat im eigentlichen Sinne dadurch nichts mehr mit XMPP zu tun.

Hab mich da jetzt nicht reinvertieft, aber mein tox läuft mit der NaCL fork libsodium, eine lib die aktuell entwickelt wird. Noch nicht verstanden habe ich, was mit der FAQ "Encryption used in Tox not only provides same features as OTR, but is also a default, and only operation mode of Tox." gemeint ist.

nach libsodium habe ich noch nicht geschaut. Danke für den Tipp!

Das heißt, dass Tox nicht nur die selben Features wie OTR nutz, sondern diese auch die einzige Arbeitsweise von Tox darstellt... @Manuel

https://github.com/jedisct1/libsodium/network

ok, da wird aktuell dran geschraubt. Sieht schon besser aus.

Aber 32byte Länge für Private/Public-Key-Pair (nach der Webseite von Tox ( https://github.com/irungentoo/toxcore/blob/master/docs/updates/Crypto.md )) ist mir zu wenig. Mag mittlerweile keine Beschränkung von der lib mehr sein, wird es aber nach der Webseite von Tox doch so genutzt...

ups, aus versehen meine ID gelöscht ;)

hier meine neue tox-ID:
1C46F2DD801CDEA6BDE68152964B5B27F622A2E2AF6F598F55A1B7650AEAD64EC059AB34B6D4

Ich frag mich ja grad, wie man sowas weitergibt? Trifft man sich auf der Strasse: "Wie ist denn deine tox-ID" "1C46....." "ok, ist ja ganz einfach zu merken, ich füg dich dann Zuhause hinzu" ? oO

verschlüsselt per e-mail!

QR-codes wie bei Threema wäre eine Idee

gibts glaube ich beim venom-client