Wie kann man sich mit Element (früher auch "Riot" genannt) verbinden

Das Vorgehen ist bei allen Clients dasselbe:

1. Sign-In  auswählen
2. https://staffchat.ethz.ch als Server konfigurieren (Ausnahme chat.ethz.ch → ist bereits konfigurieret)
3. Einloggen mit dem ETH Benutzername/Passwort

Web Browser

Mobile App

Achtung: https:// auch mit eingeben!

Desktop App

End-zu-End Verschlüsselung

Element bietet eine richtige End-zu-End verschlüsselte (E2EE) Kommunikation, dies bedeutet dass niemand ihre Unterhaltungen mithören, bzw. mitlesen kann, nicht einmal der Serveradministrator. Element benutzt die beste End-zu-End Verschlüsselung die aktuell existiert. Die Verschlüsselung wird durch Funktionen wie die sichere Schlüsselsicherung freundlich gehalten, die es ermöglichen, Ihre verschlüsselten Daten wiederherzustellen, selbst wenn Sie ein Gerät verlieren oder ein Gerät beschädigt wird. Erweiterte Funktionen wie die Verifizierung machen aufmerksam, wenn das Konto eines Benutzers kompromittiert werden könnte.

Was ist ein Schlüsselsicherung?

Wenn die Schlüsselsicherung aktiviert ist, wird Ihr Gerät eine sichere Kopie seiner Schlüssel auf unserem Server aufbewahren. Um sicherzustellen, dass diese Schlüssel immer nur für Sie zugänglich sind, werden sie auf Ihrem Gerät verschlüsselt, und zwar mit einem Schlüssel, den Sie entweder selbst speichern oder mit einer Passphrase sichern und auf unseren Server hochladen. Es ist wichtig zu verstehen, dass zum Schutz Ihrer Privatsphäre Ihre Schlüssel niemals unverschlüsselt unsere Systeme berühren.

Was ist ein 'device'?

Aus historischen Gründen meinen wir mit "device" nicht Ihr Telefon oder Ihren Laptop - in Wirklichkeit erstellen Sie jedes Mal, wenn Sie sich in der Matrix einloggen, ein neues "device" (und zerstören es wieder, wenn Sie sich ausloggen).

Was bedeutet es, einem 'device' in Element zu vertrauem oder dieses zu verifizieren?

Element verwendet Vertrauen, um eine zusätzliche Sicherheitsebene innerhalb der Anwendung darzustellen, die über die Benutzernamen- und Kennwortauthentifizierung hinausgeht.

Wenn jemand Nachrichten als Alice sendet, wissen wir, dass diese Person Zugriff auf das Konto von Alice hat - entweder ist sie mit Alices Benutzernamen und Passwort angemeldet oder er verwendet eine angemeldete Sitzung, vielleicht auf Alices Telefon. Normalerweise wird dieser Jemand Alice sein. Leider können in der realen Welt Passwörter erraten oder geschnüffelt werden und Telefone können gestohlen werden. Der Vertrauensmechanismus von Element ist darauf ausgelegt, dies abzuschwächen. In Element können Sie jedes Gerät sehen, das an einem verschlüsselten Gespräch teilgenommen hat. Wenn ein neues und unerwartetes Gerät hinzukommt, können Sie mit der Geräteüberprüfung überprüfen, ob es sich wirklich um Alice handelt. Und wenn Sie den Verdacht haben, dass ein vertrauenswürdiges Gerät in die falschen Hände geraten ist, können Sie dieses Vertrauen widerrufen und ihm den Zugriff auf die laufende verschlüsselte Konversation entziehen.

Cross-signing

Mit dem Rollout von Element (Web, Desktop) Version 1.6.0+ wurde das Verifizierungsverfahren massiv verbessert. Anstatt alle Geräte Ihrer Gesprächspartner zu verifizieren und ihnen zu vertrauen, müssen Sie nur noch andere Personen (Konten) verifizieren und ihnen vertrauen. Auf der anderen Seite verifiziert jede Person ihre eigenen Geräte und vertraut ihnen.

Mit dem Update werden neue Direktnachrichten standardmässig verschlüsselt. Element wird auch vorschlagen, die Verschlüsselung zu aktivieren, wenn Sie einen neuen privaten Raum erstellen. Wenn Sie dies nicht wünschen, deaktivieren Sie einfach die Option Enable end-to-end encryption im Dialog Create a private room, um die Verschlüsselung auszuschalten. Wenn der anzulegende Raum ein öffentlicher Raum sein soll, dann verwenden Sie keine Verschlüsselung. Die Ende-zu-Ende-Verschlüsselung kann niemals deaktiviert werden, wenn sie einmal aktiviert ist.

Schlüsselspeicher- und Wiederherstellungspasswort

Die End-zu-End-Verschlüsselung in Element muss viele Verschlüsselungsschlüssel verwalten. All diese Schlüssel werden sicher auf unserem Server gespeichert. Dazu ist ein zusätzliches Passwort erforderlich, um die Schlüsselspeicherung zu verschlüsseln. Die beiden Passwörter für Element sind wie folgt benannt:

• Account password: Das ist das ETH LDAP Passwort
• Recovery passphrase: Ein anderes sicheres Passwort

Es gibt ein zusätzliches Sicherheitsnetz, den so genannten "recovery key", mit dem Sie den Zugang zu Ihren verschlüsselten Nachrichten wiederherstellen können, wenn Sie Ihre Wiederherstellungspasswort vergessen haben. Wir empfehlen, eine Kopie davon an einem sicheren Ort aufzubewahren, z.B. in einem Passwort-Manager oder sogar in einem Safe.

Wichtiger Hinweis: Sollten Sie Ihre 'Wiederherstellungs-Passphrase' vergessen und Ihren 'Wiederherstellungsschlüssel' verlieren, könnten Ihre verschlüsselten Gespräche verloren gehen! Nicht einmal Server-Administratoren können Ihnen in diesem Fall helfen. 

Einrichten der Verschlüsselung

Nachdem Sie sich zum ersten Mal bei Element angemeldet haben, werden Sie aufgefordert, Ihre Verschlüsselung einzurichten. Der erste Schritt ist die Einstellung Ihres 'Wiederherstellungs-Passwortes':

Nachdem Sie das Passwort bestätigt haben, wird es Ihren Wiederherstellungsschlüssel anzeigen:

Kopieren Sie ihn und bewahren Sie den Schlüssel an einem sicheren Ort auf, wie oben erwähnt oder wie auf dem nächsten Bildschirm vorgeschlagen:

Upgrade Verschlüsselung

Wenn Sie eine frühere Element-Version (<= 1.5.x) verwendet haben, werden Sie nach dem Update auf die neue Element-Version 1.6.x (Web, Desktop) aufgefordert, Ihre Verschlüsselung zu aktualisieren:

Wenn Sie sich in eine neue Sitzung einloggen, werden Sie direkt nach dem Login dazu aufgefordert. Die Schritte für das Upgrade können je nach Ihrer vorherigen Konfiguration unterschiedlich aussehen. Wenn Sie die Schlüsselspeicherung (siehe unten) bisher nicht eingerichtet haben, siehe Verschlüsselung einrichten (oben). Andernfalls werden Sie jetzt aufgefordert, Ihr Kontopasswort einzugeben:

Danach werden Sie aufgefordert, Ihr Wiederherstellungspasswort einzugeben:

Dadurch werden Ihre Verschlüsselungsschlüssel aktualisiert und die Sitzung verifiziert.

Selbstüberprüfung

Sollten Sie Element auf anderen Geräten verwendet haben, ohne sich abzumelden, werden Sie aufgefordert, diese Sitzungen zu überprüfen:

Sie können das gleich jetzt versuchen oder einfach auf later klicken (empfohlen).

Sie können auch Ihre bestehenden Sitzungen unter Settings > Security & Privacy > Sessions überprüfen und bereinigen. Das folgende Beispiel löscht alte Sitzungen, die nicht mehr benötigt werden. Wenn diese Sitzung noch auf einem anderen Gerät verwendet wird, wird sie sofort abgemeldet.

Um Ihre anderen Sitzungen zu überprüfen, wählen Sie über einen Raum Room > Members > Yourname:

Sicherheit

Element ist hinsichtlich der Sicherheitsvorkehrungen, die Sie treffen sollten, ähnlich wie E-Mail (siehe E-Mail mit Vorsicht verwenden). Jeder im Internet kann Sie kontaktieren, Ihnen Spam und Viren schicken oder einen Phishing-Angriff versuchen. Element verfügt jedoch über erweiterte Funktionen zur Bestätigung der Identität Ihres Korrespondenten, was es wesentlich sicherer macht als E-Mail.

Identität

Der 'displayname' ist ein willkürlicher Name, den Benutzer nach Belieben festlegen können. Dies ist der Name, den Sie in der Nachrichtenhistorie von Element sehen werden. Die 'MXID' (Matrix-ID) ist besser geeignet, um eine Identität zu bestätigen. Sie hat das folgende Format:

@localpart:domain

Sie können es überprüfen, indem Sie mit der Maus über den Avatar (Bild) neben dem Namen in der Nachrichtenhistorie fahren. Klicken Sie auf den Avatar, wodurch die rechte Seitenleiste mit zusätzlichen Informationen über diesen Benutzer geöffnet wird:

Verschlüsselung

Unser Server verwendet die neuesten Transport Layer Security (TLS)-Standards. Dadurch wird der gesamte Datenverkehr von Ihrem Client zum Server verschlüsselt. Möglicherweise sehen Sie noch Send a message (unencrypted).... Dies bedeutet, dass die von Ihnen gesendete Nachricht keine Ende-zu-Ende-Verschlüsselung (e2ee) verwendet. Wenn e2ee aktiviert ist (ab Element-Version 1.6.0 die Standardeinstellung), werden Ihre Nachrichten und Dateien verschlüsselt, bevor sie Ihr Gerät verlassen, und bleiben verschlüsselt, bis sie die Geräte der anderen Teilnehmer erreichen. Ende-zu-Ende verschlüsselte Nachrichten können nur von den Gesprächsteilnehmern gelesen werden.

Föderation (wo werden meine Daten gespeichert?)

Sehen Sie, wie Föderation funktioniert. Die Räume sind dezentralisiert und könnten mit anderen Matrix-Homeservern synchronisiert werden. Solange sich alle Teilnehmer in einem Raum auf unserem Server befinden (domainpart von MXID = staffchat.ethz.ch), befindet sich die Nachrichtenhistorie nur auf unserem Server. Wenn externe ETH-Teilnehmer (oder aus anderen Domänen) dem Raum beitreten, wird die Meldungshistorie mit den Homeservern synchronisiert, auf denen sich ihr Konto befindet. Sie können dies kontrollieren, indem Sie den Raum so einstellen, dass er invite only ist und sorgfältig auswählen, wer beitreten darf.

Raum Moderation

Bitte lesen Sie unsere Element Seite, um die Grundlagen über Raumberechtigungen und Moderatoren zu erfahren.

Moderating unwanted content or spam

Wenn Sie der Administrator eines großen Raumes sind oder wenn Ihr Raum öffentlich ist, haben Sie einige Werkzeuge, um unerwünschte Inhalte zu entfernen oder Spammer zu blockieren. Element bietet eine Schnittstelle für einige Grundlagen, wie z.B. das Kicken oder Bannen von Benutzern. Weitere Informationen finden Sie in der offiziellen Dokumentation zur Raummoderation. Sie enthält ein Beispiel für die Verwendung von Server-ACLs, um böswillige Server daran zu hindern, mit einem Raum zu interagieren (passen Sie nur auf, dass Sie sich nicht selbst aussperren). Weitere Informationen über ACLs oder das Blockieren anderer Server finden Sie unter

• Sperren von Servern aus Räumen mit Server-ACLs
• Matrix-Spezifikation über Server-ACLs

Sperren eines öffentlichen Raums

Dadurch wird ein Raum nur über den Staffchat-Homeserver zugänglich. Server, die bereits über die Föderation an diesem Raum teilgenommen haben, werden keine neuen Veranstaltungen erhalten.

Warnung: Die folgenden Schritte können nicht rückgängig gemacht werden. Seien Sie vorsichtig bei der Bereitstellung von Server-ACLs. Es ist sehr gut möglich, einen Raum komplett zu sperren. Er wäre für immer verloren.

Wir werden jetzt die Entwicklerwerkzeuge in Element (Web/Desktop) verwenden, um ein benutzerdefiniertes Zustandsereignis an den Raum zu senden. Öffnen Sie die Entwicklerwerkzeuge durch Eingabe des folgenden Befehls in Element:

/devtools

Wählen Sie nun Send Custom Event:

• Klicken Sie auf den roten Event button in der unteren rechten Ecke, um in den Modus State Event zu wechseln
• Als Event Type setzen: m.room.server_acl
• Den folgenden Event Content setzen:

{
    "allow": [
        "staffchat.ethz.ch"
    ],
    "allow_ip_literals": false,
    "deny": [
        "*"
    ]
}

Schlussendlich auf Send drücken

Sie sollten nun eine Bestätigungsmeldung erhalten, dass das Ereignis gesendet wurde.

Sie können die Einstellungen später überprüfen. Öffnen Sie einfach die Devtools erneut und wählen Sie: Explore Room State > m.room.server_acl: