Wir unterstützen Omemo

Stellungnahme zur aktuellen Entwicklung um Omemo

Update

Herr Gultsch hat nun eine Erklärung in den Sourcecode von OMEMO.java des ComplianceTesters hinzugefügt. Außerdem fügte er in die Spalte XEP-0384: OMEMO Encryption ein Fragezeichen hinzu. Dieses führt zu der Erklärung im Sourcecode auf Github. Auch wenn dies wirklich nur ein kleiner Hinweis ist, danken wir Herrn Gultsch dennoch das er unserem Wunsch nachgekommen ist.

This test checks for the availability of publish-options on the account’s PEP service. publish-options allows a client to efficiently change the access model of the OMEMO key material such that everyone can access it. Without publish-options OMEMO is only available to contacts with mutual presence subscription.

Daniel Gultsch

Hallo zusammen,

Daniel Gultsch hat vor ein paar Tagen die Compliance Liste um die Spalte XEP-0384: OMEMO Encryption erweitert. Derzeit suggeriert diese, auf Grund einer fehlenden Erklärung, das nur conversations.im OMEMO Encryption unterstützen würde. Dies entspricht natürlich nicht der Wahrheit.

Hintergrund ist, dass Daniel Gultsch empfiehlt, das das PEP-Modul der Server publish-options unterstützen sollte (ausführlichere Beschreibung). Dies bewirkt, dass User in Conversations ab Version 1.20+, auch Personen verschlüsselt anschreiben kann, ohne sie vorher in seinen Roster hinzufügen zu müssen. Auch wir finden dieses Feature gut und würden es gern unterstützen, allerdings unterstützt das PEP Modul von prosody publish-options derzeit noch nicht.

Herr Gultsch selbst, schreibt an mehreren Stellen, dass es sich hierbei um kein Security Risiko, handelt, sondern lediglich um ein Usability Problem. Das heißt, dass es sich nicht um eine Voraussetzung handelt, sondern um eine Empfehlung.

Der Vorschlag eine kurze Erklärung zu der Spalte in seiner Liste hinzuzufügen, da das ganze sonst so eine falsche Aussage über die Server widerspiegelt, wurde mit den folgenden Sätzen einfach ignoriert und das Ticket geschlossen:

While not a security problems the lack of publish-options is a huge usability problem as this limits OMEMO to contacts you have mutual presence subscription with. Conversations users will except OMEMO to work with everyone. That’s why Conversations requires publish-options.

Daniel Gultsch

Hauptproblem hierbei ist, das die Darstellung für alle Server sehr „Ruf schädigend“ sein kann. Ich und einige andere Hoster haben versucht Daniel Gultsch darauf aufmerksam zu machen, dies wird von ihm allerdings komplett ignoriert.

Lange Rede kurzer Sinn – Ihr könnt mit Conversations und anderen Clients weiterhin OMEMO über unseren und die anderen Server verwenden, nur eben derzeit noch ohne das Feature Kontakte außerhalb eurer Kontaktliste direkt verschlüsselt anzuschreiben, ohne diese vorher zu adden.

Danke geht an Sebastian von 5222.de für die Textgrundlage.