Sicher chatten: Jabber (XMPP) mit OTR-Verschlüsselung

13. August 2014 von mtmedia.org Lizenz: CC BY-SA

Jabber / XMPP ist ein mit ICQ vergleichbares Chat-Protokoll. Im Unterschied zu letzterem ist Jabber ein freies und dezentrales Protokoll. Der Vorteil dabei ist, dass es ähnlich wie bei E-Mails, viele verschiedene Anbieter und Programme gibt, zwischen denen man wählen kann – man ist nicht auf einen einzelnen Anbieter mit einer Software angewiesen. Hinzu kommt, dass das Protokoll offen ist und man weiß was es tut.
Im Prinzip bietet Jabber die gleichen Funktionen wie andere Chat-Protokolle auch: Freundesliste (wird auf dem Server gespeichert) mit Statusanzeigen, Chats, Gruppenchats, Dateiversand und (Video)-Telefonie.

Eine Jabber-ID sieht im Prinzip wie eine E-Mail-Adresse aus: @mtmedia.org. Sie kann also sowohl E-Mailadresse, als auch Jabber-Adresse sein. Einen Account kann man dabei auf verschiedenen Geräten gleichzeitig benutzen. Hierzu gibt man im Programm eine Ressource an, beispielweise mobil. Die Jabber-Adresse sieht dann wie folgt aus: @mtmedia.org/ im Beispiel benutzer@mtmedia.org/mobil

Wo bekomme ich einen Account?

Jabber funktioniert dezentral – d.h. es gibt sehr viele Anbieter. Wir empfehlen dir folgende:
systemli.org
immerda.ch
xiala.net
riseup.net Wenn du bereits eine E-Mailadresse bei riseup hast, dann hast du auch einen Jabber-Account.
systemausfall.org
so36.net
mtmedia.org bietet im Moment kein Jabber an.

Woher bekomme ich ein Chat-Programm? Welches empfehlt ihr?

Wir empfehlen dir das Programm Pidgin. Es ist freie Software, ist bereit für OTR-Verschlüsselung, bietet umfangreiche Funktionen und lässt sich gut bedienen. Für Mac OS X gibt es eine Variante die Adium heißt.
Eine einfache Installationsanleitung findest du hier: einfachjabber.de/oslist

Jabber kann natürlich auch über das Smartphone genutzt werden.
Wir empfehlen hierfür die Apps chatsecure oder Xabber (beide bieten OTR-Verschlüsselung)

Benutze aus Sicherheitsgründen immer bevorzugt TLS oder zur not dessen Vorgänger SSL, damit die Verbindung von Dir zum Server verschlüsselt ist – und damit die Übertragung deines Passwortes.

Ende-zu-Ende-Verschlüsselung (OTR) nutzen

Die von uns empfohlenen Anbieter setzen zwar alle SSL/TLS-Verschlüsselung zum Server ein – sprich deine Chat-Nachrichten und Logindaten werden sicher zum Server übertragen. Wie bei E-Mails sind die Chat-Nachrichten aber auf dem Server unverschlüsselt – chattest du mit jemandem bei einem anderen Anbieter, kann auch nicht garantiert werden, dass die Daten zwischen den Servern und zwischen deinem Chat-Partner und dessen Server verschlüsselt werden.

OTR einrichten

Bei den Apps Xabber und Chatsecure wird OTR mitgeliefert. Für Pidgin muss man das Plugin runterladen und installieren.
Windows: über die Projektwebsite https://otr.cypherpunks.ca/index.php#downloads herunterladen und anschließend installieren
Linux: via Paketmanagement, für Pidgin heißt das Plugin pidgin-otr

Nachdem Pidgin eingerichtet wurde (siehe Link zu einer Anleitung dazu weiter oben) muss nun das Plugin entsprechend konfiguriert werden.
Klicke dazu in Pidgin auf „Werkzeuge“ und dann auf „Plugins“. Anschließend öffnet sich ein Fenster, das alle verfügbaren Plugins anzeigt. Hier musst du nun nach „Off-the-Record Messaging“ suchen. Aktiviere das Plugin in dem du das Häckchen setzt, klicke nun auf „Plugin konfigurieren“.
pidgin-otr-config
Jetzt musst du einen privaten Schlüssel erstellen, um OTR nutzen zu können. Wähle einfach dein Jabber Konto aus der Liste aus und klicke auf „generieren“.
Drunter siehst Du die Standard-OTR-Einstellungen. Konfiguriere Sie entsprechend, Du kannst dir überlegen den OTR-Nachrichtenversand automatisch zu aktivieren.
In jedem Fall benötigt dein_e Kommunikationspartner_in kompatible Software, damit ihr über OTR verschlüsselt jabbern könnt.
pidgin-otr-config1

Mitschnitte der Konversationen

Standartmäßig werden in machen Jabber-Clients (wie z.B. Xabber) die Konversationen mitgeschnitten. Das heißt die Nachrichten werden lokal auf deinem Gerät (bspw. Handy) gespeichert. Das ist vor allem dann problematisch, wenn das Handy nicht verschlüsselt ist und unbefugte Zugriff auf das Handy erhalten.
Wir empfehlen daher, Mitschnitte von Jabber Konversationen abszustellen um das Risiko des Verlusts von Privatsphäre zu minimieren.

Verschlüsselt Chatten und Gesprächspartner authentifizieren

Um nun verschlüsselt zu chatten, klicke auf einen (verfügbaren) Kontakt in deiner Kontaktliste. Das Gesprächsfenster öffnet sich.
Bisher ist das Gespräch unverschlüsselt, sichtbar am „Nicht Privat“ Button unten rechts im Eingabefenster.
pidgin-otr-chat
Klicke nun auf selbigen Button, und dann auf „Private Unterhaltung starten“.
Die Unterhaltung ist jetzt verschüsselt, aber dein_e Gesprächspartner_in ist noch nicht authentifiziert.
pidgin-otr-chat
Es ist wichtig zu überprüfen ob deine Gesprächspartner_in tatsächlich die Person ist, mit der du kommunizieren möchtest oder möglicherweise jemand ganz anderes.
Hierfür bietet OTR verschiedene Möglichkeiten:

  • Frage und Antwort

    • Stelle eine Frage, deren Antwort nur der_die Gesprächspartner_in kennt

  • Gemeinsam bekannte Passphrase

    • Ein nur dir und deinem_r Gesprächspartner_in bekanntes Wort bzw. Satz.

  • Manueller Fingerprint-Vergleich

    • Der jeweils angezeigte Finterprint muss bei beiden Gesprächspartnern übereinstimmen.

    Am besten eignet sich zum authentifizieren mit einer der genannten drei Möglichkeiten ein „reales Treffen“ mit der Gesprächsperson oder ein Telefonat, da du die Person und diese dich (an der Stimme) erkennen wird.

    Nach einer erfolgreichen Authentifizierung ist der Status der Unterhaltung jetzt „Privat“.
    pidgin-otr-chat1

    ACHTUNG! Dateiversand über Jabber ist trotz OTR leider unverschlüsselt!