Umstellung Matrix Authentication Service
Am zweiten Januar-Wochenende (10.-11.01.2026) werden wir auf den neuen Login- und Sitzungsverwaltungs-Dienst für Matrix-Homeserver umstellen. Dabei kann es schlimmstenfalls passieren, dass alle bestehenden Matrix-Sitzungen ausgeloggt werden, und dein Zugang zu verschlüsselten Räumen nur mit einem Recovery-Key wiederhergestellt werden kann.
Wichtig: Recovery-Key einrichten und testen
Bitte stelle daher bis zum 10.01.2026 sicher, dass du einen Recovery-Key eingerichtet hast, und (falls bereits vorhanden) überprüfe, ob dieser fuktioniert:
- Für Element findest du eine Anleitung hier: https://docs.element.io/latest/element-support/device-verification/how-to-ensure-you-have-a-recovery-key/
- Falls du andere Clients verwendest, informiere dich bitte in der Dokumentation der verwendeten Clients.
- Falls du mehrere Clients verwendest, musst du den Recovery-Key nur mit einem deiner Clients erzeugen resp. testen.
Wende dich bei Problemen oder Fragen bitte an [@s3lph:kabelsalat.ch](https://mto.kabelsalat.to/#/@s3lph:kabelsalat.ch).
Das ist grundsätzlich alles, was du für die anstehende Änderung wissen und tun musst. Falls dich die genauen Hintergründe hinter dieser Änderung interessieren, kannst du diese im folgenden nachlesen:
Weiterführende Informationen
Um was geht es bei dieser Änderung?
Wir verwenden als Matrix-Homeserver die Software Synapse, die auch die Referenzimplementierung der Matrix-Spezifikation darstellt. Bisher hatte sich Synapse vollständig selbst um die Anmeldung und Sitzungsverwaltung gekümmert. Um diese Aufgaben vom eigentlichen Matrix-Homeserver zu entkoppeln, wurden die separate Server-Komponente "Matrix Authentication Service" ins Leben gerufen. Neue oder überarbeitete Anmeldeverfahren werden nun nicht mehr in Synapse selbst implementiert, sonderen nur noch im Matrix Authentication Service.
Das betrifft uns insbesondere, da bei unserem Homeserver der Login via OpenID Connect gegen unser SSO abläuft: Der Login-Flow für Anmeldungen via OIDC wurde in der Matrix-Spezifikation überarbeitet, und die überarbeitete Version wird nur im Matrix Authentication Service implementiert. Da einige neuere Clients (insb. Element X) nur diese neue Version des OIDC-Flows unterstützen, können diese aktuell noch nicht mit unserem Homeserver verwendet werden.
Mit dieser Änderung werden wir die Login- und Sitzungsverwaltung von Synapse auf den Matrix Authentication Service umstellen. Dabei werden wir auch versuchen, alle bestehenden Sitzungen von Synapse in den Matrix Authentication Service zu importieren.
Wie betrifft mich diese Änderung?
Wenn alles nach Plan läuft, bekommst du davon nichts ausser einem kurzen Unterbruch mit.
Wenn bei der Umstellung allerdings etwas schief geht, kann es sein, dass alle Matrix-Sitzungen ausgeloggt werden, d.h. dass du dich auf all deinen Clients neu einloggen müsstest. Das Problem dabei ist, dass es zu einem "Vertrauensbruch" zwischen deinen bisherigen Sitzungen und deinen neuen Sitzungen kommt, d.h. dass es dann keine bisherige Sitzung gibt, die deine neuen Sitzungen verifizieren kann und die E2EE-Schlüssel mit diesen teilen kann. Aus diesem Grund wäre es in einem solchen Fall nötig, mindestens eine deiner neuen Sitzungen mit einem Recovery Key zu verifizieren, der in einer deiner bisherigen Sitzungen erstellt wurde. Daher ist es wichtig, vorher sicherzustellen, dass du einen Recovery Key erstellt hast, und dass dieser auch funktioniert.
Du kannst all deine bisherigen Clients wie zuvor weiterverwenden. Durch diese Änderung wird es neu auch möglich sein, die "neue Generation" gängiger Matrix-Clients (insb. Element X) mit unserem Homeserver zu verwenden.