palava.tv – Alternative zu Hangout, Skype und Co.?

Das Problem an Diensten wie Google Hangout und Skype ist, dass jeder weiß, wie sehr man sich durch deren Nutzung der Datensammlung von großen amerikanischen Unternehmen und Geheimdiensten aussetzt. Aber: Sie funktionieren in der Regel gut und jeder kann sie benutzen. Es fehlt an Alternativen, die nutzerfreundlich und zuverlässig sind.

Eine solche bieten will palava.tv, eine neue Videochatplattform. Die Technik dahinter wird von vier Studenten der TU Dresden und HU Berlin entwickelt und basiert auf WebRTC. WebRTC ist eine in der Standardisierung begriffene offene Technologie zur Echtzeitkommunikation zwischen Browsern, die auf Peer-to-Peer-Verbindungen basiert.

Das heißt, die Videoinhalte werden nicht über einen zentralen Server geleitet, sondern direkt mit dem DTLS-Protokoll verschlüsselt zwischen den Teilnehmern ausgetauscht. Die Schlüssel dafür werden für jede Verbindung neu von den einzelnen Browsern erzeugt, die sich mittels Diffie-Hellmann-Schlüsselaustausch auf einen Sitzungsschlüssel einigen.

Doch ganz kann auf einen zentralen Server noch nicht verzichtet werden. Zum Koordinieren der Teilnehmer braucht man einen Messaging-Server, der den Verbindungsaufbau möglich macht, indem die vorhandenen Nutzerinformationen ausgetauscht und die Medienformate festgelegt werden.

Die Videodaten selbst bekommt diese zentrale Instanz aber nie zu sehen. Damit jedoch niemand einem zentralen Server vertrauen muss, wenn er das nicht will (denn genau das ist ja das Ziel der Entwickler), wird der gesamte Code veröffentlicht. Momentan findet man den Serverteil bereits auf github, der Rest soll in Kürze folgen. Wer also unabhängig von der bereitgestellten Infrastruktur sein will, kann damit seinen eigenen Server hosten und außerdem noch den Code inspizieren.

palavaWer das nicht will oder wem das nicht möglich ist, dem wollen die Entwickler weiterhin einen Server unter palava.tv zur Verfügung stellen. Denn dann ist alles, was man benötigt, ein aktueller Chrome- oder FireFox-Browser. Durch einen Klick auf der palava.tv-Seite lässt sich ein Konferenzraum erstellen, dem jeder beitreten kann, der die URL kennt. Bevor die Video- und/oder Audiodaten übertragen werden, muss der Nutzer dem zustimmen und dem Browser Zugriff auf die Hardware gewähren.

Um die palava-Server zu betreiben und werbefrei durch Spenden finanzieren zu können, befindet sich ein gemeinnütziger Verein im Aufbau, damit die Infrastruktur nicht mehr wie zuvor über innovailable, eine Firma, die von zweien der Programmierer betrieben wird, abgewickelt werden muss.

Mehr Infos und Neuigkeiten findet man auf dem palava-Blog, technische Details gibt es in den Präsentationen im github-Repository. Man kann sich aber auch den Mitschnitt des Talks zu palava und WebRTC auf den Datenspuren anschauen (MP4, WebM, MP3).

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

14 Ergänzungen

  1. Was mir bei WebRTC ehrlich gesagt noch nicht ganz klar ist: Wird es eine Art „Kontakliste“ geben? Ansonsten stelle ich mir das als Ersatz sehr schwierig vor. In Skype und Co. sehe ich gleich den Status meines Kommunikationspartners. Wenn ich bei WebRTC erst einem Raum beitreten muss um dann anschliessend den Link an den oder die Teilnehmer zu schicken, dann wird das Ganze vermutlich eher nicht so gut angenommen werden.

      1. Das waere prima. Ich werde mal an dem Thema dranbleiben, auf Anhieb habe ich den Server nicht ans Laufen bekommen. Es wird wirklich Zeit das es eine Alternative zu Skype gibt und WebRTC scheint da ja wirklich das ideale Werkzeug zu sein.

  2. Mir würde es völlig reichen, wenn es, was Chat-Clients angeht, ordentliche Unterstützung für XMPP/Jingle mit ZRTP/SRTP gäbe. (Mit „ordentlich“ mein ich nicht Jitsi, sondern eher z.B. ein ZRTP/SRTP-Plugin für Pidgin.)

    1. Nur leider gerade da stagniert’s seit Jahren vor sich hin. Von Psi nach Pidgin via jingle ist leider selten wirklich möglich.
      Dabei sind webRTC und jingle gar nicht so unverwandt, bei irgniterealtime arbeitet man wohl schon seit einiger Zeit an einer Brücke, wie weit das momentan ist, keine Ahnung.

    2. Was spricht gegen Jitsi? Warum da nicht mithelfen, dass das endlich mal ordentlich benutzbar wird? Finde Jitsi eine gute Alternative. Verfolge die Entwicklung recht genau seit paar Jahren und sie kommen ganz gut voran. Wenn ich überlege wo die vor ca 2 Jahren waren und wie es aktuell ausschaut hat sich doch einiges getan.

  3. Jitsi ist zwar nicht 100% zuverlässig in der Anwendung, aber in Kombination mit ChatSecure bisher der beste Ersatz zu Skype und Whatsapp, oder?

  4. Sei es beim Austausch des DTLS oder beim Vermitteln im identitätsstiftenden Server gibt es auf jeden Fall eine Möglichkeit einen man-in-the-middle einzuschleusen, da die beiden Gesprächspartner nicht nur einander cryptographisch nicht kennen – es findet nicht einmal eine TOFU-Strategie statt (trust on first use), weswegen die cryptographische Identität der Gegenseite für die Zukunft gespeichert werden würde. Ein Angreifer der institutionellen Art hat also je nach Architektur der WebRTC-App eine irgendwie geartete Möglichkeit sich in Gespräche etc einzuklinken – und dabei nicht einmal erwischt zu werden.

    Ich befürchte WebRTC wird sich als das neue Skype etablieren, mit denselben Nachteilen. Schlimm, denn es macht es noch schwerer, der Bevölkerung Software nahezulegen, die dessen Privacy tatsächlich schützt, wenn sie nicht genauso schwuppdiwupp auf Anhieb funktioniert.

    Ich mache mir Sorgen, dass wir in WebRTC eines Tages eines der größten Übel sehen werden, aber alle verwenden es und es ist nicht mehr wegzukriegen. WebRTC ist genau das, was Facebook braucht, um unanfechtbar für alle Zeiten die Nummer eins zu werden: Wer braucht noch irgendwas anderes, wenn man sein Signaling über Facebook machen kann? Facebook wird somit auch noch zur führenden Videochat- und File-Sharing-Plattform – denn es wird so aussehen, als würde Facebook das alles machen. Der Browser mit seinem WebRTC ist nur der dumme Sklave.

    Hoffentlich liege ich falsch, aber ich befürchte wir stehen am Anfang einer ganz düsteren Entwicklung.

    1. Ich stimme dir nicht zu, mit folgenden Argumenten:

      “ Ein Angreifer der institutionellen Art hat also je nach Architektur der WebRTC-App eine irgendwie geartete Möglichkeit sich in Gespräche etc einzuklinken – und dabei nicht einmal erwischt zu werden.“

      Ein Angreifer kann sich einklinken, wenn er einen aktiven Angriff führt (was im Gegensatz vieler bestehenden Systeme schon ein fortschritt ist). Sicher kann das Signaling kompromittiert sein, aber man ist frei, sich ein unkomprimitiertes zu suchen. Außerdem kann die Identität auch unabhängig vom Signaling verifiziert werden, siehe auch: http://tools.ietf.org/html/draft-ietf-rtcweb-security-arch-07

      „Ich befürchte WebRTC wird sich als das neue Skype etablieren, mit denselben Nachteilen“

      Das ist unsauber. WebRTC ist kein fertiges Programm. Ein fertiges Programm kann die Nachteile haben, oder auch nicht.

      “ WebRTC ist genau das, was Facebook braucht, um unanfechtbar für alle Zeiten die Nummer eins zu werden“

      Nur wenn Facebook die Technologie gut nutzen könnte, warum könnten das nicht andere (vertrauenswürdigere) Anbieter auch, vielleicht besser? Was wäre besser daran, wenn Facebook nicht WebRTC, sondern proprietäre Technologien nutzen würde?

      1. „aber man ist frei, sich ein unkomprimitiertes zu suchen“ <- ja, klar. ich sehe schon wie millionen von facebook-nutzern, statt einfach auf "videochat" zu klicken, sich einen identity provider aufsetzen und ihrer gegenseite versuchen zu verklickern, man möge doch bitte ekr@example.org für die authentifizierung heranziehen, wofür vorher ein spezialdatensatz unter https://example.org/.well-known/idp-proxy/example angelegt werden musste… statt einfach facebook zu vertrauen.

        webrtc ist kein fertiges programm sondern viel schlimmer als das, ich weiss. man kann damit sogar 3D videospiele zocken, inclusive audio chat, und ist dabei immer brav überwachbar. es wird privacy-hochburgen wie mumble verdrängen, weil man's ja auch mit webrtc machen kann. die letzten gründe für normale menschen, software auf dem eigenen pc zu installieren, schwinden dahin, wenn man endgültig nur noch einen web browser braucht – immer schön überwachungsfreundlich.

        spätestens beim file sharing über webrtc wird die copyright-industrie dann interesse an aktiver überwachung anmelden. werden google und facebook dann einknicken, oder die industrie verprellen?

        spannende fragen bei denen wir anwender, ja sogar wir technologie-entwickler, aussen vor sind und nichts zu melden haben – ausser wir werden beim privaten datentausch erwischt und müssen blechen.

        P.S. ich habe bei der entstehung der jingle/XMPP library für webRTC mitgeholfen und schäme mich nun ein wenig dafür

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.