Fragen und Antworten: Wie Session plant, Signal und Telegram zu übertreffen

Nur als Hinweis: Wenn Sie etwas über unsere Links kaufen, erhalten wir möglicherweise einen kleinen Anteil am Verkauf. Das ist eine der Möglichkeiten, wie wir hier dafür sorgen, dass das Licht an bleibt. Klicken Sie hier für mehr.

Anfang dieser Woche haben wir Session entdeckt, die Messaging-App, der es im wahrsten Sinne des Wortes egal ist, wer Sie sind. Keine Telefonnummern, keine zentralen Server und integriertes Onion-Routing – Big Tech würde Sie nicht erkennen, wenn es es versuchen würde.

Oh, habe ich schon erwähnt, dass sie bereits über eine Million Nutzer gewonnen haben, ohne einen einzigen Cent für Werbung auszugeben? Offenbar legen die Menschen Wert auf ihre Privatsphäre und wollen ein Produkt, das dieses Versprechen hält. Wer hätte das gedacht, oder?

Jetzt führen wir das Gespräch weiter. In unserem exklusiven Q&A setzen wir uns mit Kee Jefferys, dem Mitbegründer von Session, zusammen, um die Inspiration hinter der App, die Technologie hinter ihr und die Herausforderungen zu erfahren, mit denen sie konfrontiert waren.

Von Verschlüsselungsdetails bis hin zum Umgang mit globalen Vorschriften – dieses Interview deckt alles ab.

Ist Privacy-First-Messaging die Zukunft? Lesen Sie die vollständigen Fragen und Antworten, um zu erfahren, wie Session führt und welche Updates für datenschutzorientierte Benutzer geplant sind.

Beginnen Sie jetzt mit dem Lesen

Die Sitzung begann als Proof-of-Concept, der auf einem dezentralen Netzwerk namens Loki Service Node Network aufbaute. Damals war es als „Loki Messenger“ bekannt (später umbenannt in Session).

Die Idee war einfach: Wir wollten Entwicklern zeigen, was im dezentralen Netzwerk möglich ist. Eine Messaging-App schien das perfekte Beispiel zu sein, denn wenn wir den Leuten zeigen könnten, wie man Nachrichten speichert und weitergibt, könnte das auf andere Anwendungen übertragen werden und die Kreativität von Entwicklern anregen, ihre eigenen Projekte zu erstellen.

Was wir nicht erwartet hatten, war, wie schnell sich die Community auf Loki Messenger einlassen würde.

Fast vom Moment unserer Einführung an fragten die Leute nach Verbesserungen und neuen Funktionen. Sie sahen, was wir sahen: Loki Messenger hatte etwas Besonderes, etwas, das andere Messaging-Apps nicht boten.

Es gab drei wesentliche Dinge, die es auszeichneten:

• Keine Telefonnummern : Für die Anmeldung war keine Telefonnummer erforderlich. Diese einfache Änderung machte das Versenden von Nachrichten privater und anonymer.
• Keine zentralen Server : Durch die Ausführung in einem dezentralen Netzwerk gibt es keinen Server, der Ihre Daten sammelt oder einen Honeypot für Hacker erstellt.
• Integriertes Onion-Routing : Onion-Routing versteckte die IP-Adressen der Benutzer und erhöhte den Datenschutz noch weiter.

Dies alles wurde in einer plattformübergreifenden App verpackt, die einfach zu bedienen war und den Datenschutz für jedermann zugänglich machte.

Seit den Anfängen hat sich Session auf diese Prinzipien konzentriert und vor Kurzem hat Session die Marke von 1 Million aktiven Nutzern pro Monat überschritten.

Was als Proof-of-Concept begann, hat sich zu einer datenschutzorientierten Messaging-Plattform entwickelt, die wirklich einen Unterschied macht, und ich bin stolz darauf, daran beteiligt gewesen zu sein.

Die Sitzung verwendet beim Senden und Empfangen von Nachrichten mehrere Verschlüsselungsebenen. Wenn ein Benutzer ein Sitzungskonto erstellt, generiert er ein zufälliges öffentlich-privates Schlüsselpaar Ed25519.

Der öffentliche Schlüssel wird zur Konto-ID des Benutzers, die über einen QR-Code oder eine 66-stellige Zahlen- und Buchstabenfolge out-of-band weitergegeben werden kann. Sobald Sie die Konto-ID einer Person haben, können Sie Nachrichten für diesen bestimmten Benutzer signieren und verschlüsseln.

Um in einem Einzelchat eine gültige Nachricht zu senden, erstellt der Absender zunächst die Nachricht. Die Nachricht wird mit dem privaten Ed25519-Schlüssel des Absenders gemäß dem Ed25519-Signaturalgorithmus signiert.

Dieser Schritt stellt die Authentizität der Nachricht sicher. Der öffentliche Schlüssel Ed25519 des Absenders und die digitale Signatur werden dann an die Nachricht angehängt.

Als nächstes generiert der Absender ein ephemeres X25519-Schlüsselpaar. Dieses temporäre Schlüsselpaar wird zusammen mit dem öffentlichen Schlüssel X25519 des Empfängers verwendet, um einen gemeinsamen symmetrischen Verschlüsselungsschlüssel zu erstellen.

Mithilfe dieses Schlüssels wird die Nachricht mit dem XSalsa20-Poly1305-Algorithmus verschlüsselt, wodurch sowohl Vertraulichkeit als auch Integrität gewährleistet werden.

Die verschlüsselte Nachricht und zugehörige Metadaten, wie der öffentliche X25519-Schlüssel des Empfängers und der kurzlebige öffentliche X25519-Schlüssel des Absenders, werden in einen Umschlag verpackt. Dieser Umschlag wird dann zur sicheren Zustellung mithilfe des Onion-Routing-Protokolls von Session, Onion Requests, erneut verschlüsselt.

Beim Onion-Routing-Prozess wird der Umschlag dreimal verschlüsselt – einmal für jeden Hop im Netzwerkpfad. Jede Verschlüsselungsebene basiert auf symmetrischen Schlüsseln, die aus den Ed25519-Schlüsseln jedes Hops abgeleitet und entweder mit AES oder XChaCha20-Poly1305 verschlüsselt werden.

Der dreifach verschlüsselte Umschlag wird an den ersten Hop gesendet, und jeder weitere Hop entfernt eine Verschlüsselungsschicht und gibt das nächste Ziel preis, bis der Umschlag den Schwarm des Empfängers erreicht. Sobald der Umschlag beim Schwarm des Empfängers ankommt, holt der Empfänger ihn ab und entschlüsselt ihn, um die Nachricht abzurufen.

Das Verschlüsselungsprotokoll von Session bietet eine End-to-End-Verschlüsselung und ein hohes Maß an Metadatenschutz für jede gesendete Nachricht.

Trotz der ausgefeilten Technologie hinter den Kulissen müssen sich Benutzer keine Sorgen über die Komplexität machen. Sie können einfach wie mit jeder anderen App Nachrichten senden und empfangen und profitieren dabei vom hohen Maß an Privatsphäre und Sicherheit von Session.

Die Sitzung ist vollständig Open Source. Dazu gehören alle Client-Anwendungen, einschließlich Session iOS, Android und Desktop, sowie die gesamte Software, die das dezentrale Knotennetzwerk antreibt, das Nachrichten speichert und weiterleitet.

Der Quellcode ist öffentlich auf GitHub unter https://github.com/session-foundation verfügbar

Um eine Hintertür in der Anwendung zu implementieren, müssten böswillige Entwickler Codeänderungen in diese Repositorys übertragen und eine neue Version erstellen. Solche Änderungen würden von der Session-Community und ihren Mitwirkenden nicht unbemerkt bleiben.

Sollte dies geschehen, könnten die Repositorys dem böswilligen Entwickler leicht entzogen werden und die Anwendung könnte ohne den schädlichen Code erneut bereitgestellt werden.

Session wurde außerdem unabhängigen Audits durch Dritte unterzogen, um seine Sicherheit und Integrität zu gewährleisten. Eine solche Prüfung wurde von Quarkslab durchgeführt und die Ergebnisse wurden öffentlich zugänglich gemacht. Sie können ihren Bericht hier einsehen:

Diese Offenheit und Transparenz erschweren es einer Hintertür oder Schwachstelle, in eine Veröffentlichung zu gelangen.

Das langfristige Modell für die nachhaltige Entwicklung von Session beinhaltet die Monetarisierung durch eine Premium-Version von Session, genannt Session Pro.

Session Pro wird ein Abonnementdienst sein, der für Power-User entwickelt wurde und zusätzliche Funktionen bietet, ähnlich wie Telegram Premium das Erlebnis für Telegram-Benutzer verbessert.

Alle Abonnements für Session Pro-Abonnements fließen zurück in das Session-Ökosystem. Diese Zahlungen werden dazu beitragen, das Session Node-Netzwerk aufrechtzuerhalten und zu erweitern und dessen Skalierbarkeit und Zuverlässigkeit sicherzustellen, während die Benutzerbasis von Session weiter wächst.

Wichtig ist, dass Session immer eine kostenlose Version bereithält, die allen Benutzern das gleiche hohe Maß an Privatsphäre gewährleistet. Dieses Engagement für datenschutzorientierte Nachrichten bleibt von zentraler Bedeutung für die Mission von Session.

Das gesamte Wachstum von Session war bisher ausschließlich organisch und wurde größtenteils durch Empfehlungen einflussreicher Datenschutzexperten vorangetrieben. Ich glaube, dass sich dieses Wachstum beschleunigen wird, da Session sich weiterhin als sicherere Alternative zu WhatsApp, Telegram und Signal positioniert. Die Mannschaften

Die an Session arbeitenden Personen verfügen über enge Kontakte im NGO-Bereich und zu Vordenkern im Bereich Datenschutz, die sich weiterhin für Session einsetzen werden, während die App wächst und ihre zugrunde liegenden Funktionen verbessert.

Auf technischer Seite gibt es noch viel zu tun, um die Benutzerbindung zu verbessern.

In den nächsten 6–12 Monaten wird der Schwerpunkt auf Schlüsselbereichen wie der Verbesserung der Gruppenfunktionalität, der Erhöhung von Geschwindigkeit und Zuverlässigkeit sowie der möglichst nahtlosen Gestaltung des Onboardings liegen. Dazu gehört, sicherzustellen, dass Benutzer problemlos mit Freunden und Familie in Kontakt treten und neue Leute einladen können, der App beizutreten.

Durch die Bewältigung dieser technischen Herausforderungen bei gleichzeitiger Beibehaltung einer starken Interessenvertretung im Datenschutzbereich ist Session gut aufgestellt, um seinen Aufwärtstrend als führende datenschutzorientierte Messaging-Plattform fortzusetzen.

Die Regulierungslandschaft rund um private Nachrichten ist noch im Entstehen begriffen, und verschiedene Länder verfolgen unterschiedliche Ansätze zur Regulierung der Ende-zu-Ende-Verschlüsselung und des Datenschutzes.

Session gab kürzlich bekannt, dass die Verwaltung des Projekts außerhalb Australiens verlagert wird, und zwar vom ursprünglichen Projektverwalter (OPTF) zur Session Technology Foundation, einer in der Schweiz ansässigen Stiftung, die sich der Förderung digitaler Innovation und digitaler Rechte widmet.

Dieser Schritt war größtenteils eine Reaktion auf die jüngste Gesetzgebung und den Druck australischer Regulierungsbehörden, die es für Session immer schwieriger machten, von Australien aus zu operieren und gleichzeitig die Datenschutz- und Sicherheitsgarantien aufrechtzuerhalten, die das Unternehmen seinen Benutzern bietet.

Im Gegensatz zu Australien verfügt die Schweiz über starke Verfassungsschutzmaßnahmen zum Schutz der Privatsphäre und unterstützt seit langem datenschutzfreundliche Anwendungen wie ProtonMail, Threema und Nym.

Die an der Entwicklung von Session beteiligten Unternehmen und Einzelpersonen haben konstruktionsbedingt keinen privilegierten Zugriff auf Benutzerdaten.

End-to-End-verschlüsselte Nachrichten werden gespeichert und über ein Netzwerk von über 2.100 von der Community betriebenen Knotenpunkten weitergeleitet. Dieser Ansatz unterscheidet sich grundlegend von anderen Messaging-Plattformen.

In der Vergangenheit bedeutete dieses Design, dass beim Empfang von Datenanfragen keine Informationen verfügbar waren, die der anfragenden Partei mitgeteilt werden konnten. Die OPTF, der frühere Verwalter des Session-Projekts, hat zur Untermauerung dieser Tatsache regelmäßig Transparenzberichte veröffentlicht, die hier eingesehen werden können.

Da die Session Technology Foundation die Leitung übernimmt, wird sie diese Tradition fortsetzen und Transparenzberichte hier veröffentlichen: https://session.foundation/transparency-reports

Keines der an der Entwicklung von Session beteiligten Unternehmen oder Einzelpersonen hat Anfragen zur Implementierung von Hintertüren in die Anwendung erhalten.

Die Übertragung der Verantwortung an die in der Schweiz ansässige Session Technology Foundation ist ein proaktiver Schritt, um sicherzustellen, dass Session weiterhin die Privatsphäre und Sicherheit seiner Benutzer schützen kann.

Die aktuelle Session-Roadmap konzentriert sich auf die Überarbeitung wichtiger Funktionen, um die Zuverlässigkeit und Benutzerfreundlichkeit der gesamten Anwendung zu verbessern. Hier sind die Schwerpunkte:

Gruppen : Seit ihrer Veröffentlichung im Jahr 2022 standen Gruppen vor mehreren Herausforderungen.

Benutzer haben berichtet, dass sie gelegentlich den Zugriff auf Gruppen verlieren, wenn die zugrunde liegenden Verschlüsselungsschlüssel rotiert werden, was passiert, wenn Mitglieder aus einer Gruppe entfernt werden.

Darüber hinaus können Nachrichten verloren gehen, wenn Benutzer einer Gruppe beitreten oder länger als 14 Tage offline bleiben. Um diese Probleme anzugehen, wird die Architektur der Gruppen vollständig neu gestaltet, um sie im Knotennetzwerk beständiger zu machen und die Zuverlässigkeit während der Verschlüsselungsschlüsselrotationen zu verbessern.

Im Rahmen dieser Überarbeitung werden auch mehrere Verbesserungen der Benutzerfreundlichkeit implementiert, darunter die Unterstützung mehrerer Administratoren in Gruppen, ein neues Gruppeneinladungssystem und eine verbesserte Unterstützung für Push-Benachrichtigungen.

Ziel dieser Änderungen ist es, Gruppen zuverlässiger und benutzerfreundlicher zu machen.

Onboarding : Nicht-technische Benutzer hatten manchmal Probleme mit dem Onboarding-Prozess von Session.

Historisch gesehen führte Session bereits zu Beginn des Onboardings komplexe Konzepte für die Verwaltung privater Schlüssel ein, beispielsweise mnemonische Startphrasen. Diese Komplexität führte oft zu Frustration und Abbruch bei der Anmeldung.

Ein aktuelles Update vereinfachte den Onboarding-Prozess, indem diese erweiterten Konzepte auf die Zeit nach der Kontoerstellung verschoben wurden. Diese Änderung hat die Bindung während des Onboardings verbessert.

Allerdings gibt es noch Raum für Verbesserungen.

Zukünftige Pläne werden wahrscheinlich die Integration von Passkeys umfassen, um die Eintrittsbarrieren weiter zu senken und den Prozess der Einladung neuer Benutzer durch die Nutzung von Deeplinks zu vereinfachen.

Onion Routing : Kurz nach der Veröffentlichung von Session wurden Onion Requests als vereinfachte Implementierung eines Onion Routing-Protokolls eingeführt.

Onion Requests erfüllen zwar grundlegende Anforderungen, sind jedoch kein Streaming-HTTP-basiertes Protokoll und von Natur aus langsamer und weniger leistungsfähig als fortgeschrittenere Protokolle.

Das Senden von Nachrichten dauert normalerweise 1–3 Sekunden, während das Hoch- und Herunterladen von Dateien deutlich länger dauern kann. Darüber hinaus legen Onion Requests eine Obergrenze von 10 MB für Dateien fest, wodurch die Funktionalität von Session für größere Dateiübertragungen eingeschränkt wird.

Um diese Einschränkungen zu überwinden, hat das Session-Team Lokinet entwickelt, ein fortschrittlicheres Onion-Routing-Protokoll. Lokinet unterstützt Stream-basierte Verbindungen und basiert auf UDP, was eine schnellere und flexiblere Leistung ermöglicht.

Lokinet durchläuft derzeit eine vollständige Umgestaltung und nähert sich der Reife. Interne Tests zeigen, dass Lokinet drei- bis zehnmal schneller ist als Onion Requests, was bedeutet, dass die Nachrichtenübermittlungs- und Dateiübertragungszeiten nach der Implementierung drastisch verbessert werden könnten. Darüber hinaus gibt es bei Lokinet nicht dieselben Dateigrößenbeschränkungen, was den Weg für das Hochladen viel größerer Dateien auf Session ebnet.

Ein großer Dank geht an Session-Mitbegründer Kee Jefferys und den Rest des Teams, die sich die Zeit genommen haben, den Vorhang zu lüften und zu erklären, was ihre App ausmacht – und warum Datenschutz wichtiger denn je ist.

Wenn Sie bereit sind, Ihr Messaging-Spiel noch eine Stufe (oder sogar zehn) zu verbessern, können Sie Session kostenlos im App Store oder bei Google Play herunterladen. Es ist auch für PC, Mac und Linux verfügbar. Probieren Sie es aus und erleben Sie, wie sich echte Privatsphäre anfühlt.

Wie stehen Sie zu den möglichen Aktualisierungen und Entwicklungen, die der Mitbegründer von Session erwähnt hat? Teilen Sie Ihre Erkenntnisse in den Kommentaren unten .