So funktioniert es
Session erzeugt beim ersten Start lokal eine 66 Zeichen lange Account-ID — diese Zeichenkette ist die einzige Identität, die mit Ihren Nachrichten verknüpft ist. Ausgehende Nachrichten werden in drei Verschlüsselungsschichten gehüllt und über onion-geroutete Pfade durch das Service-Node-Netzwerk von Session geleitet, die dezentrale Infrastruktur aus dem Oxen-Projekt. Bis der Empfänger online geht, liegt der Geheimtext verschlüsselt in einem Swarm von Service Nodes, von denen keiner Inhalt, Absender und Empfänger gleichzeitig sehen kann. Die Desktop-, iOS- und Android-Clients sind offizielle Builds; F-Droid und ein selbstkompilierter APK-Pfad stehen ebenfalls bereit. Die Ende-zu-Ende-Verschlüsselung nutzt das Session Protocol, eine Ableitung des Signal Protocol, befreit vom dauerhaften Identifikator Telefonnummer und umgebaut für das dezentrale Store-and-Forward-Netz der Stiftung.
KYC und Privatsphäre
Die Kontoerstellung verlangt nichts. Kein Anmeldeformular, keine E-Mail-Prüfung, kein SMS-Code — das Gerät erzeugt ein Schlüsselpaar, die öffentliche Hälfte wird zu Ihrer Account-ID, die private bleibt auf dem Gerät. Es gibt keinen Zentralserver, dem man eine Vorladung zustellen könnte, weil es schlicht keinen Zentralserver gibt: Nachrichten werden über rotierende Service Nodes zugestellt, und der Client nutzt Onion Requests, sodass kein einzelner Knoten beide Enden einer Unterhaltung sieht. Die Clients erscheinen unter der GPLv3 mit Anteilen unter BSD/MIT, und der Quellbaum ist auf GitHub öffentlich auditierbar. Quarkslab hat Session 2020–2021 auf Desktop, iOS und Android geprüft und 16 Befunde notiert; nur einer galt als gravierend (eine TLS-Verifikationslücke beim Android-Service-Node-Lookup), alle wurden im Audit-Zeitraum behoben.
Stärken und Grenzen
Die wichtigste Stärke ist struktureller Natur: Es gibt keine Telefonnummer zum Lecken, keine E-Mail zum Korrelieren, keinen Betreiber, der zur Herausgabe einer Nutzertabelle gezwungen werden könnte, weil diese Tabelle nicht existiert. Die Trägerschaft zählt ebenfalls. Als die australische Bundespolizei begann, an die Türen zu klopfen, und die örtliche e-Safety-Kommissarin auf branchenweite Speicherpflichten drängte, trat die OPTF im Oktober 2024 zurück, und die Session Technology Foundation übernahm aus der Schweiz. Die Grenzen sind real. Die 66-Zeichen-Account-ID ist eine Bedienlast — sie ist nicht merkbar und muss per QR oder Out-of-Band-Kanal geteilt werden — und Sessions Metadaten-Reduktion kostet Funktionalität: iOS-Push kann unzuverlässig sein, Sprach- und Videoanrufe reifen noch, und das Quarkslab-Audit ist inzwischen vier Jahre alt, ohne veröffentlichte Folgeprüfung. Die für Service-Node-Anreize genutzte Münze ist OXEN, deren Kursdrift unabhängig von den Privatsphäre-Garantien des Messengers ist, aber zum Bild gehört.
Fazit
Session greift man, wenn keine Telefonnummer in irgendjemandes Datenbank liegen soll. Es ist nicht der geschmeidigste Chat — Signal liegt bei Anrufqualität und Zuverlässigkeit weiter vorn — doch bei der Metrik, die das Projekt selbst gewählt hat, dem Metadatenleck, liefert es die am gründlichsten konstruierte Antwort unter allen breiten Clients. Note: A- (8,9/10). Vertrauen: LEGIT.
Session greift man, wenn keine Telefonnummer in irgendjemandes Datenbank liegen soll. Es ist nicht der geschmeidigste Chat, doch beim Metadatenleck liefert es die am gründlichsten konstruierte Antwort unter allen breiten Clients. Note: A- (8,9/10). Vertrauen: LEGIT.
