Chat-Verschlüsselung

Anonym & Sicher chatten mit Jabber OTR-Verschlüsselung

Unser Sponsor ist www.privacy.li – Anonymität auf dem Internet seit 1997

Inhalt

– Anleitung , Tutorial sicher & anonym chatten mit Jabber u. OTR-Verschlüsselung (portable)
Autoren: Resistance, SecAno
Programme: Pidgin (portable),  OTR-Plugin, TOR
Pidgin, OTR (Konten einrichten, konfigurieren)

Jabber Chat mit Pidgin & OTR verschlüsselt

Theorie:
XMPP ist ein offenes Chatprotokoll, das eigentlich unter dem Namen Jabber  bekannt ist. Der Vorteil verglichen mit anderen Chats ist, dass das Ganze dezentralisiert ist, d.h. es gibt viele Jabber Server von verschiedenen Anbietern.
Pidgin ist ein MultiChat-Client der viele verschiedene Protokolle unterstützt, z.B. ICQ und eben auch XMPP.
Die Verschlüsselung kann per OpenPGP oder OTR erfolgen. Der einzige Vorteil, den OTR gegenüber PGP hat, ist die Abstreitbarkeit.

OTR steht für Off the Record. Off the Record Messaging basiert auf dem Diffie-Hellman-Schlüsseltausch, bei dem zwischen den Chatpartnern eine Primzahl und eine Primitivwurzel unverschlüsselt ausgetauscht und durch ein paar Berechnungen ein Key erstellt (ein Man-in-the-Middle kann nur mit den ausgetauschten Zahlen nichts anfangen). Die Unterhaltung wird dann mit dem berechneten Schlüssel und AES verschlüsselt. OTR bietet im Vergleich zu anderen Verschlüsselungen, wie z.B. GPG, den großen Vorteil der Abstreitbarkeit. Bei GPG lässt sich sagen das ein Text von einer bestimmten Person verschlüsselt wurde. Bei OTR wird bei jeder Session (Sitzung) ein neuer Schlüssel generiert und dadurch lässt sich im nachhinein nicht beweisen, dass 2 Leute sich unterhalten haben.

Trotz Verschlüsselung möchte ich empfehlen zusätzlich noch TOR zur anonymisierung Ihrer IP zu verwenden. Am besten benutzen Sie das portable TOR-Browserbundle inkl. Browser. Alternativ können Sie auch nur die TOR-Software Vidalia verwenden.

Informatives über Jabber-Server
Jabber wird von vielen (tausend oder mehr) Anbietern zur Verfügung gestellt. (kommerziell von z.B. GOOGLE, GMX und WEB.de). Diese erhalten oft ebenfalls das Nutzungsrecht auf das eigene gesprochene Wort !!
Nutzt man einen Kommunikationsdienst ohne Verschlüsselungstechnologie ist die Kommunikation für den Dienstanbieter problemlos zugänglich (abhörbar). Einige Anbieter habe sehr “nutzerunfreundliche” Nutzungsbedingungen. Immer AGB lesen!!
Da Sie nicht wissen können was ein Jabberserver wie lange über Sie speichert ist es angeraten die IP zu anonymisieren. Lesen sie dazu auch folgende Seite.

Ein beliebter u. empfehlenswerter Jabber-Server ist z.B. der Server des Chaos Computer Clubs – http://web.jabber.ccc.de.
Die XMPP Standards Foundation bietet eine Lange Liste weiterer öffentlicher Jabber-Server an.

Manche Jabber Server sind auch per Tor hidden service (kryptischezeichen.onion) erreichbar, dazu muss die TOR-Software laufen.
– jabber.ccc.de        >>    okj7xc6j2szr2y75.onion
– https://riseup.net    >>    ztmc4p37hvues222.onion

Welche empfehlesnwerte sichere, kundenfreundliche Jabber-Server gibt es noch??

Falls Sie einen eigenen Webserver besitzen ist es Ihnen evt. auch möglich einen eigenen Jabber-Server für sich und Ihre Freunde einzurichten.

Wenn alle Beteiligten Ihre Konten auf dem gleichen Server haben müssen die Nachrichten nicht noch mal von Server zu Server geleitet werden.
Das könnte aber dazu führen das der Serverbetreiber evt. nachvollziehen kann wer mit wem wann kommuniziert hat.
Es erscheint sinnvoll zu sein mehrere Konten zu haben und immer einen anderen Server zu verwenden als der Gesprächspartner
Gibt es dazu irgendwelche Meinungen oder Erfahrungen??

Zitat eines Serverbetreibers: an der jid kann man erkennen welche Konten miteinander kommuniziert haben, wenn man es loggen wuerde. daher ist egal ob gleicher sever oder fremder server.

Installation
So viel zur Theorie, jetzt kommen wir zur Praxis.
Als erstes lädt man sich Pidgin runter und installiert es. http://www.pidgin.im Mit dem Nachteil das es fest auf Ihrem PC installiert ist.
Pidgin kann man auch portable ohne feste Installation nutzen, es empfiehlt sich Pidgin-Portable z.B. auf einem USB-Stick in einem verschlüsselten Volume abzulegen. Pidgin-Portable können Sie hier downloaden. http://portable-pidgin.de oder http://portableapps.com

Falls Sie keine Version inkl. OTR-Plugin geladen haben brauchen Sie noch das OTR Plugin, welches man auch installieren muss.
Download OTR-Plugin http://www.cypherpunks.ca/otr/

Normalerweise legt Pidgin im Benutzerprofil “C:\Dokumente und Einstellungen\benutzer\Anwendungsdaten\.purple\” alle Konfigurationsdateien, Log-Dateien, SSL/TLS Zertifikate, Avatar-Icons der Kontakte und Kontendaten ab. Überprüfen Sie bitte den Speicherort des Verzeichnisses “.purple” und stellen Sie sicher das es an einem sicheren Ort liegt. Für ein Update bzw. zum Umstieg auf Portable-Pidgin ist der Ordner “.purple” zu sichern und an der passenden Stelle wieder einzufügen.

Arbeiten mit Pidgin
Nach dem man sich für einen Jabber-Server entschieden hat, Pidgin starten.
Beim ersten Start wird man automatisch dannach gefragt, ein neues Konto anzulegen. Man kann aber auch einfach über “Konten -> Konten verwalten -> hinzufügen” ein neues anlegen.
Protokoll: XMPP (nicht “FaceBook XMPP”).
Benutzer: Gewünschter Benutzername (am besten etwas das nicht auf Ihre Person bzw. vorhandene Pseudos hindeutet)
Domäne: Jabber Server Ihrer Wahl z.B. “jabber.ccc.de” bzw. “IP-Adresse des Servers”
Als Domäne bzw. Verbindungsserver lieber die IP-Adresse des Jabber Servers eingetragen, um der nicht-anonymen Namensauflösung vorzubeugen.
Hier die IP-Adresse des gewünschten Jabber-Servers ermitteln.
Resource: freilassen
Passwort: Sicheres Passwort vergeben  (Aus Sicherheitsgründen sollten Sie bei Passwort speichern keinen Haken setzen)
Auf Jabber-Servern werden Passwörter meist im Klartext abspeichert. Benutzen Sie für jedes Jabber-Konto ein anderes Passwort!

Unter dem Reiter “Erweitert” ist es noch empfehlenswert, Verschlüsselung erzwingen zu lassen.
Verbindungs-Port: Standart ist 5222, sonst den Port, der vom Server angegeben wird
Verbindungs-Server: wieder der gewünschte Jabber Server (der des CCC ist auch über einen Hidden Service erreichbar)
Unter dem Reiter “Proxy” kann man nun noch den Proxy konfigurieren und es wird  z.B. schon eine Konfiguration für Tor angeboten.
Jetzt ganz unten noch den Haken bei “Dieses Konto neu auf dem Server anlegen” setzen und dann auf “Hinzufügen” klicken.
Jetzt wird das Konto erstellt (vorrausgesetzt alles ist richtig eingestellt und der Benutzername ist nicht vergeben).
Ihre Jabber-ID ist jetzt username@jabber-server.tld und Sie sind jetzt für jeden anderen Jabber Nutzer erreichbar (auch die die einen anderen Server benutzen).

OTR Plugin aktivieren & konfigurieren:
Um das OTR Plugin zu aktivieren, klickt man auf “Werkzeuge -> Erweiterungen bzw. Plugins”, sucht das “Off-the-Record Messaging”-Plugin und setzt den Haken zum aktivieren.
Jetzt noch auf “Plugin bzw. Erweiterung einrichten” klicken. Man sieht jetzt seinen eigenen Fingerprint, an dem man andere Identifizieren kann und auch verschiedene Vertrausensstufen für andere Teilnehmer hat. Man setzt einen Haken bei “Privaten Nachrichtenversand aktivieren” und noch bei den anderen 3 Punkten. Dann noch den “OTR-Button in Symbolleiste anzeigen” lassen und man kann anfangen.

Wenn man jetzt ein Gespräch startet, sieht man rechts untern den aktuellen Status (“nicht privat”). Klickt man auf diesen Button, kann man eine “private Unterhaltung starten”. Jetzt werden die Keys ausgetauscht und man wird dann darüber informiert, wenn die Keys fertig generiert wurden. Nun sollte man einen Buddy noch authentifizieren, was nicht notwendig aber empfehlenswert ist. Dies kann z.B. über eine Frage geschehen, deren Antwort nur der Gegenüber (für den man ihn hält) wissen kann. Dies Entspricht den Vertrauensstufen.

Empfohlen: Authentifikation vor Beginn einer Kommunikation. Die Fingerprints per verschlüsselter und signierter E-Mails austauschen.
Lesen Sie dazu die Infos anonyme eMail bzw. verschlüsseln von eMails.

Falls Zweifel bestehen, ob der Schlüssel bzw. der Gesprächspartner vielleicht durch einen Angriff kompromitiert wurde, kann man mit “Forget Fingerprint” einen Fingerprint löschen bzw. über “Verify Fingerprint” eine erneute Prüfung bzw. Änderung des Status durchführen.

Verwendet ein Gesprächspartner die gleiche Jabber Benutzerkennung, aber mit verschiedenen Jabber Clients z.B. auf verschiedenen Computern, muss für jede Computernutzung eine weitere eimalige Authentifikation durchgeführt werden. Bei der nutzung einer portablen Version auf USB-Stick kann man sich die mehrarbeit mit Buddys einrichten u. authentifizieren sparen.

Zusammenfassung wichtige Einstellungen – Konfiguration
– Beim Konto: Kein haken bei “Passwort speichern”
– Beim Konto: “Erweitert|Verbindungssicherheit” Immer Verschlüsselung fordern
– Beim Konto: “Proxy” Möglichst TOR verwenden. Dazu muss die TOR-Software aber auch laufen.

– Werkzeuge|Einstellungen|Mitschnitt (Logs):  Alle Haken entfernen
– Werkzeuge|Einstellungen|Proxy (Bei der Nutzung über TOR) Haken bei “Remote-DNS m. Socks4-Proxy”.
Proxy-Typ: Socks4 bzw. TOR (Socks5) Host: 127.0.0.1  Port: 9050

– Werkzeuge|Plugins “Off-the-record Messaging” anhaken/aktivieren
– Werkzeuge|Plugins|”Off-the-record Messaging”|”Plugin konfigurieren” Bei Config|”Default OTR Settings” alle Haken setzen.

Wichtig ist das dass mitschneiden loggen von Gesprächen bei allen Chattern in Pidgin als auch im OTR-Plugin deaktiviert ist.
Da Sie das bei Ihrem Gegenüber nicht prüfen können sollten sie penibel darauf achten was Sie schreiben. Auch der Chatpartner kann zum Sicherheitsrisiko werden.

Mit Pidgin lassen sich auch Dateien übertragen. Nach aktuellem Kentnisstand werden diese nicht verschlüsselt da Sie über einen gesonderten Proxy (siehe Kontoeinstellungen|Erweitert) übertragen werden. Es ist somit unbedingt erforderlich Daten vor der Übertragung zu verschlüsseln.

Leave a Reply

Your email address will not be published. Required fields are marked *