Nach einer 6-jährigen Entwicklungsphase steht seit dem 21.7. die öffentliche Beta-Version im Google-Play-Store zum Download bereit. Das im Vorfeld vom Berliner IT-Security-Unternehmen Cure53 durchgeführte Audit ist öffentlich einsehbar. Es bescheinigt dem Open-Source-Messenger Briar hohe Sicherheit und gute Code-Qualität. Die durch das Audit gefundenen Schwachstellen wurden laut Entwickler vor der Veröffentlichung behoben.

Neben der Messenger-Funktion bietet die App private Gruppen, öffentliche Diskussionsforen, nur für die Kontakte sichtbare Blogs und einen integrierten RSS-Reader an.

Keine Server, keine Metadaten

Briar kommt ohne zentralen Server aus und kommuniziert direkt mit den Endgeräten. Die App nutzt sowohl Ende-zu-Ende-Verschlüsselung als auch Forward Secrecy. Durch das durchweg dezentrale Konzept sollen alle über die App verbreiteten Inhalte sicher vor Zensur sein.

Damit sich Anwender Nachrichten schicken können, müssen sie sich zuvor per QR-Code authentifizieren. Können sich zwei Person nicht zum gegenseitigem Code-Austausch treffen, kann ein gemeinsamer Freund den Kontakt direkt in der App vermitteln. So entsteht automatisch ein Web of Trust, das ebenfalls ohne Server auskommt. Es sind zudem weitere Möglichkeiten geplant, um Kontakte hinzuzufügen.

Bei Briar kommunizieren alle Geräte direkt miteinander – wenn möglich, auch ohne Internetverbindung via Bluetooth oder Wi-Fi. (Bild: Briar Projekt)

Damit keine Metadaten anfallen, die Rückschlüsse auf die einzelnen Kommunikationspartner erlauben, nutzt die Briar das Hidden-Service-Protokoll von Tor. Die Apps der Teilnehmer kommunizieren also nicht direkt miteinander, sondern verbinden sich zunächst mit dem Tor-Dienst auf dem Gerät. Damit soll sichergestellt sein, dass die Kommunikation vollständig anonym abläuft und niemand herausfinden kann, wer sich mit wem austauscht.

Internetlose Kommunikation

Befinden sich zwei Geräte in unmittelbarer Nähe, spannen sie ein Ad-Hoc-Netzwerk über Bluetooth oder WLAN auf. Somit können sich Nutzer auch dann Nachrichten schicken, wenn keine Internetverbindung besteht oder eine Regierung das Internet abschaltet/einschränkt.

Beta-Version mit eingeschränktem Nutzen

Mit der Public Beta möchte Briar Project erste Nutzererfahrungen sammeln. Die Entwickler weisen darauf hin, dass die Nutzerdaten und Accounts nach der Beta-Phase verfallen werden, da noch Änderungen am Peer-to-Peer-Protokoll zu erwarten sind. Ein Migrations-Weg für die finale Version ist nicht vorgesehen.

Zukunftspläne

Zu Briar gibt es zwar eine öffentliche Roadmap, doch einen konkreten Zeitplan zur Veröffentlichung der finalen Version gibt es nicht. Es ist ein erneutes Sicherheits-Audit der Organisation Open Technology Fund (OTF) geplant. Vor der Freigabe von Briar sollen erst alle durch das Audit gefundene Mängel behoben werden.

Man konzentriert sich zudem erst einmal auf die Android-Version. Für eine iOS-Version sei es durch das stärker abgeschottete Betriebssystem schwierig, den für Peer-to-Peer-Apps nötigen Hintergrunddienst umzusetzen. Zunächst wird es aber eine Desktop-Version des Messengers geben.

Ferner ist die App modular aufgebaut und nicht auf Tor zur Anonymisierung festgenagelt. Es gibt Überlegungen, auch das Invisible Internet Project (I2P) zu implementieren.

Weiterführende Links:

(wre)