Yo no estoy diciendo nada de ataques exteriores, si no que ni el propio servidor interno pueda leer los mensajes, cosa que no me creo, si es asi ya se encargaran de cerrarlo.
Si el chat es entre 2 clientes no tiene porque tocar el servidor. IP 2 IP...
Del mismo modo, si la clave no se comparte con el servidor sino que solo se comparte entre los 2 clientes, por mucho que los mensajes pasen por el servidor, este no sabra la clave para descifrarlos.
Si es open-source, no tiene sentido afirmar estas cosas.. ya que cualquiera puede investigar el code y desmentirlo.
Saludos