ICQ- Verschlüsselung mit OTR

Inhalt

  • Was ist eigentlich OTR?
  • Die Grundprinzipien
  • Warum verschlüsseln?
  • Miranda
  • Pidgin
  • Kopete
  • Downloads
  • Changelog
  • Was ist eigentlich OTR?

    OTR heisst “Off the record”. Stellt euch ein Gespräch in einem abgeschlossenen Raum vor. Ihr unterhaltet euch mit jemandem, niemand kann mithören, und auch später kann selbst euer Gesprächspartner behaupten, ihr hättet so und so gesagt - ihr könnt trotzdem sagen, nein, ihr habt was anderes gesagt. Aussage gegen Aussage, das Gespräch bleibt juristisch und sonstwie völlig unverwertbar. Das heisst “Off The Record”, und das kann man auch im ICQ haben.

    Die Grundprinzipien dabei sind:

    Verschlüsselung - das Gespräch kann nur von den beiden Teilnehmern gelesen werden

    Beglaubigung - man weiß sicher, dass man mit dem spricht, mit dem man auch sprechen wollte.

    Abstreitbarkeit - hinterher kann niemand, auch nicht der Gesprächspartner, sicher nachweisen, was tatsächlich geredet wurde

    Folgenlosigkeit - auch wenn man seinen Key verliert, der eigene Rechner beschlagnahmt wird usw., ändert sich an den ersten drei Prinzipien nichts.

    Dabei ist zu beachten, dass bei aktiviertem Logging Messengergespräche auch bei Einsatz von OTR lokal auf der Platte abgelegt werden und ohne beispielsweise gecryptete Platte/Partition/Container die Logs beispielsweise bei Beschlagnahme durchaus einzusehen sind. (Abhilfe) (Anleitung)

    Aber wenn ICQ beispielsweise angibt, ICQ-Gespräche gegebenenfalls mitzuschneiden und bei Anforderung herauszugeben, kann man diese Einschränkung der Privatsphäre via OTR einfach abstellen. ICQ geht es einen Dreck an, was ihr redet - also müssen sie es auch nicht lesen oder loggen.

    OTR gibt es als leicht zu installierendes Plugin für Miranda, Pidgin, Trillian, Adium und Kopete (seit KDE 4.1 integriert). Wer auf die Werbeschleudern AIM/ICQ selbst nicht verzichten will (wenngleich Multiclients wie Miranda bei weitem leistungsfähiger und dazu werbefrei sind), kann auch per lokalem Proxy OTR nutzen.
    Besser natürlich die Einbindung in die Multiclients, dann hat man zum einen alle Messengerprotokolle zur Verfügung und braucht sich nicht mit Werbung rumzuärgern.
    (Experimenteller Selbstversuch: mit PSI geht nicht. Sollte es lt. readme auch nicht, aber ich muss da immer selbst erstmal gegen die Wand rennen. :o))

    Warum Messenger verschlüsseln?

    Verschlüsselung ist gut. Was ihr einer bestimmten Person mitteilt, braucht niemand anderes zu wissen. Deswegen verwendet ihr Mails und Messenger und Queries, nicht nur Webseiten und Chatkanäle.

    Aber ich habe doch nichts zu verbergen!

    Doch, hast du! Lies dir mal die ICQ-Nutzungsbestimmungen durch.

    “Du stimmst zu, dass du für sämtliches Material und Information, das du in ICQ-Dienste eingibst, dein Copyright aufgibst und jedes andere Besitzrecht an Material oder Information. Du stimmst weiterhin zu, dass ICQ Inc. berechtig ist, nach eigenem Ermessen sämtliches Material oder Information in der Weise verwendet, wie sie es für angebracht hält, einbegriffen, aber nicht beschränkt auf Verbreitung und Publikation.”

    Alles, was du über ICQ redest, kann von ICQ beliebig verwendet, verarbeitet und veröffentlicht werden. Wir reden hier nicht vom Herausgeben von Daten an Polizei und Behörden, sondern sie können mit dem Material schlicht machen, was sie wollen. Die Mailadressen herausfiltern und an Spammer verkaufen, Persönlichkeitsprofile erstellen und verkaufen, Geschäftsgeheimnisse und Insiderinformationen belauschen und so weiter.

    Zum Vergleich:

    AOLs AIM kündigt in den AGB an, Gesprächsinhalte herauszugeben im Rahmen “juristischer Verfahren (beispielsweise gerichtliche Anordnung, Durchsuchungsbefehl oder Nebenklage) oder unter anderen Umständen, in denen AOL annimmt, dass AIM oder AOL für ungesetzliche Zwecke genutzt werden.”

    Auch das ist eine Formulierung, die vieles erlaubt und auch AIM ohne Verschlüsselung nicht empfehlenswert macht. Aber man erkennt, wieviel dreister ICQ sich hier Rechte des Nutzers aneignet. So eine AGB schreibt man nicht aus versehen, sondern weil man was vorhat.

    Abgesehen davon:
    Generell nimmt der Überwachungswahn extreme Ausmaße an. Jedes verschlüsselte Paket, das durch eine Internetleitung geht, macht den Schnüfflern das Leben ein wenig schwerer.
    Übrigens: einmal gespeicherte Daten neigen zum Gespeichertbleiben.
    Was du heute noch nicht verbergen brauchst, solltest du morgen vielleicht schon niemandem mehr laut sagen. Gesetze und Regierungen ändern sich, und dass neben den staatlichen Strafverfolgern gelegentlich auch selbsternannte Ermittler schon heute mehr schnüffeln, als dem Nutzer lieb sein kann, wird sich vermutlich nicht ändern.

    Oh, stimmt. Und wenn ich eh schon Miranda statt ICQ nutze?

    Es geht um das Protokoll, nicht um deinen Client. Auch Miranda kommuniziert über die Server von ICQ mit anderen ICQ-Nutzern, und dort kann mitgeschniten und verwendet werden, wie es ICQ beliebt. Entweder verschlüsselst du deine Gespräche - dann kann ICQ allenfalls noch loggen, mit wem du redest, aber nicht mehr, was - oder du verwendest beispielsweise Jabber.

    Aber alle meine Freunde verwenden ICQ!

    Das kannst du ihnen vielleicht nach und nach abgewöhnen, aber nicht allen sofort auf einmal, das ist klar. Mit einem Multiclient wie Miranda oder Pidgin kannst du Jabber und ICQ nutzen, mit einem Verschlüsselungstool wie OTR wiederum kannst du auch mit Nutzern verschlüsselt kommunizieren, die nur einen ICQ-Account haben.
    Nur muss man einen der alternativen Clients verwenden. Für den Original-Client von ICQ wurde nie ein Verschlüsselungs-Plugin zur Verfügung gestellt.
    Ein Schelm, der böses dabei denkt.

    Anhand von Miranda, Pidgin und Kopete zeigen wir euch nun, wie unkompliziert es sein kann, verschlüsselt zu kommunizieren.

    Miranda

    Miranda ist ein freier Multi-Protokoll-Client für das Betriebssystem Windows (ab 95). Es unterstützt alle gängigen Instant-Messaging-Protokolle, wie z.B. Jabber, ICQ, MSN, YIM, AIM uvm.
    Es ist nach der Installation bewusst sehr schlank gehalten. Durch seine ausgefeilte Plugin-Schnittstelle kann Miranda nämlich nahezu beliebig den eigenen Wünschen und Bedürfnissen angepasst werden. Neben weiteren IM-Protokollen, lassen sich u.a. RSS-Feeds abrufen. Die Plugins lassen sich meistens ganz einfach durch kopieren in das Verzeichnis “Plugins” im Miranda-Ordner einbinden.
    Es gibt auch vorkonfigurierte Pakete wie zum Beispiel hier, ich persönlich mag sie nicht, der Monty erklärt, warum.
    Selbstverständlich unterstützt Miranda auch Jabber, die freie Alternative zu den kommerziell orientierten IM-Systemen. Hierzu ist ein Plugin erforderlich, welches bei der Installation mitgeliefert wird. Ist es nicht (mehr) vorhanden, kann es ganz einfach nachgeladen werden. Die Einstellungen sind sehr simpel. Wenn du noch kein Jabberkonto hast, dann füllst du die Felder Username und Password einfach mit deinen Wunschwerten aus. Das Feld Ressource zeigt dem Server an, von wo du dich einloggst. Dieser Wert kann beliebig gewählt werden. Dann klickst du auf “Register new user”. Dann wird auf dem Server, den du unter “Login server” gewählt hast, ein Account für dich angelegt.

    jabber miranda

    Miranda und OTR

    Mit OTR steht für Miranda eine Verschlüsselung zur Verfügung, die über alle gängigen Protokolle funktioniert. OTR verschlüsselt per ICQ, MSN, Jabber usw. versendete Nachrichten.

    OTR in Miranda zu integrieren, ist denkbar einfach. Man benötigt die otr.dll, bei Miranda steht sie zum Download.
    Die Zip-Datei entpackt man in den Plugins-Ordner von Miranda - C:\Programme\Miranda\Plugins, beispielsweise.
    Miranda beenden und neu starten.

    Unter dem Miranda-M gelangt man über “Options” zur Konfiguration des Kryptografie-Plugins. Notwendig ist eine Nachjustierung in der Regel nicht, die Default-Einstellungen verschlüsseln die Kommunikation, wenn der Gesprächspartner ebenfalls OTR kann.

    otr miranda

    Zur Erklärung: Unter dem Punkt “Plugins” findet ihr im Options-Baum links “OTR”. Angeklickt, zeigt es die Standardeinstellung sowie die Spezialeinstellungen für die einzelnen Messengerkontakte. Standard ist “Opportunistic”(empfohlen) - wenn der Partner OTR kann/aktiviert hat, verwendet Miranda OTR. Wird die Einstellung wie im obigen Screenshot auf "manuell" gesetzt, muss die verschlüsselte Sitzung explizit gestartet werden. Will man mit einer bestimmten Person sicher nur verschlüsselt kommunizieren, kann man die Standardeinstellung “default” hinter dem Nickname auf “always” ändern - dafür nur mit Mausklick auf die Policy hinter dem jeweiligen Nickname durch die verschiedenen Möglichkeiten durchklicken.

    Den Beginn einer verschlüsselten Kommunikation zeigt Miranda per Popup-Meldung an - anschließend ist man sicher, dass keine Gespräche mitgehört oder im Klartext auf den Servern von beispielsweise ICQ geloggt werden können. Das Popup kann und soll man per “OK” bestätigen/wegklicken, das zu vergessen ist gelegentlich die Ursache, wenn man im Messengerfenster nicht tippen kann oder der Fehler erscheint:

    [OTR Message] The encrypted message received from is unreadable, as you are not currently communicating privately.

    otr popup

    Nach dem Bestätigen der OTR-Verbindung schicken die meisten Clients die zuvor unlesbare Meldung nochmals.
    (Ich habe bei mir zusätzlich "Prefix secure Messages" angehakt, so steht vor jeder verschlüsselten Nachricht noch zusätzlich (OTR). )

    Offizielle Homepage:
    http://miranda-im.org/
    Inoffizielle deutsche Homepage
    Einsteigerhilfen

    Pidgin

    Pidgin ist ein freier Multi-Protokoll-Client, welcher sowohl unter Linux als auch unter Windows verwendet werden kann. Unterstützt werden alle gängigen Protokolle wie zum Beispiel ICQ, AIM, Jabber, MSN, Gadu-Gadu, Yahoo. Pidgin gibt es hier in einer stabilen Variante.

    Debian & Ubuntuuser installieren am besten via apt:

    apt-get install pidgin pidgin-otr

    Pidgin bietet nach der Installation schon so gut wie sämtliche benötigten Funktionen und Einstellungsmöglichkeiten. Durch Plugins lassen sich allerdings noch weitere Funktionen hinzufügen. Diese werden entweder einfach über ein Setup installiert oder in Form einer dll-Datei in das Pidgin\plugins-Verzeichnis verschoben.

    Pidgin und Jabber

    Mit Pidgin kann man auch über das Jabber-Protokoll kommunizieren. Hierfür muss man einfach im Kontomanager das Konto als Jabber-Konto deklarieren und kann dort seine Verbindungsdaten eingeben.

    Pidgin und OTR

    Pidgin bietet über ein Plugin die Möglichkeit, die sichere Verschlüsselung von Off-the-Record zu verwenden. Dieses kann man einfach hier unter “OTR plugin for Pidgin” für die entsprechende Linux-Distribution oder für Windows herunterladen. Nach einem Neustart Pidgins sollte man das Plugin dann in den Einstellungen unter “Plugins” mit einem Häckchen unter “Laden” aktivieren können. Theoretisch sind nun, um die Verschlüsselung von OTR zu nutzen, keine weiteren Einstellungen nötig. Praktisch gesehen sollte man sich aber noch einen Fingerprint erstellen.

    otr preferences

    Unter “Config” kann man sich nun seinen eigenen Fingerprint erstellen, damit die anderen Kontakte sichergehen können, dass sie mit dir und keinem anderen sprechen. Hierfür muss man einfach unter “Key for account” den gewünschten Accound auswählen und mit “Generate” einen Fingerprint generieren. Dies macht man am besten nacheinander für alle Accounts.

    Wenn man nun sein Chatfenster öffnet, findet sich im Menue ein neuer Punkt:

    otr menue

    Mit diesem werden, so man es nicht, wie im obigen Screenshot automatisch, verschlüsselte Sitzungen begonnen. Bei der ersten Kontaktaufnahme startet der Schlüsseltausch. (Ich lasse an dieser Stelle den alten Screenshot stehen, ich mag nämlich gerade ungern für ein Bild meinen Key löschen. Beim nächsten geschrotteten System hole ich es nach. ;) )

    Attempting to start a private conversation with missi@jabberme.net...

    Schluesseltausch unter Gaim

    Unverified conversation with missi@jabberme.net/home started.

    Von nun an chattet ihr verschlüsselt:

    OTR- Verschlüsselte Kommunikation

    Auf der anderen Seite siehts so aus:

    OTR- Miranda

    Wie immer also.
    Die erste Verbindung ist stets eine unverifizierte.

    Unter “Known fingerprints” in den Pidgineinstellungen kann man sehen, von wem man schon einen “fingerprint” erhalten hat. Diese Fingerprints sind dafür da, um sicherzugehen, dass man auch mit demjenigen spricht, mit dem man sprechen wollte. Siehe dazu das zweite Grundprinzip von OTR.

    fingerprints ICQ  Verschlüsselung mit OTR

    Um zu überprüfen, ob man wirklich denjenigen vor sich hat, den man auch vor sich haben will, bieten sich verschiedene Möglichkeiten, den Schlüssel zu verifizieren. Die einfachste ist wohl, eine geheime Frage zu stellen, die bestenfalls nur das (richtige) Gegenüber beantworten kann.

    auth questions
    (Die etwas unglückliche Übersetzung fällt mir gerade das erste mal auf und bringt mich zum grinsen.)
    anfrage
    Wenn alles geklappt hat, sollte es so aussehen:

    auth erfolgreich

    Und das wars dann auch schon. Nicht schwer und tat nicht weh. :o)

    Kopete

    Begrüßenswert zog auch Kopete mittlerweile nach und hat es seit KDE 4.1 fest integriert.

     otrkopete ICQ  Verschlüsselung mit OTR

    Natürlich lassen sich hier auch Keys authentifizieren:

    keyauth kopete

    Nach erfolgreicher Authentifizierung wird die Verbindung als gesichert angezeigt:

    auth complete

    Die Einstellungen dazu finden sich unter "Module:"
    kopete options

    Noch ein paar Worte zu obrigen Text:
    Diesen gab es schon einmal im Zuge eines kollaborierenden Projektes, welches vom dortigen Serveradmin, ich sag mal "etwas stiefmütterlich" behandelt wurde. Man könnte auch einfach sagen, er hats gelöscht. Teile dessen habe ich gerade aus Backup und Cache restauriert, große Teile des Textes stammen von Korrupt, den ich an dieser Stelle dafür danken möchte. Die Screenshots unter BSD stammen vom Oli. (wem sonst? :o) ) Ebenso geht ein dickes Danke fürs Zusammenarbeiten damals an Monty. Vielleicht mag er sich ja nochmal der Jabbergeschichte annehmen. ;)
    (Und ausserdem Danke an Angelo Badalamenti, Trent Reznor, Muse und Daft Punk, die mir während ich hier schrieb, feines Zeux in die Ohren spielten.)

    Downloads:

    OTR-Plugin - Miranda
    OTR-Plugin - Trillian
    OTR-Plugin - Pidgin und OTR- Proxy auf der offiziellen Homepage
    OTR- Plugin - Kopete

    Changelog:
    * 02.02.2010 - Gaim in Pidgin umbenannt, Links gefixt, neue Screenshots, Kopete hinzugefügt (thx@at)

    Creative Commons License

· Del.icio.us · Mr Wong · Google Buzz ·

Gespeichert unter:

, , , , , , ,

Schon gelesen?

No related posts.

Da wurde 115 x wat jesacht zu “ICQ- Verschlüsselung mit OTR” »»

  1. Getippselt von oli am 14.09.06 um 9:24

    Klasse Artikel. Obwohl ich GPG bei der Messenger Verschlüsselung den Vorzug gebe, da weiter verbreitet, muß ich doch sagen das OTR insgesamt leichter eingerichtet ist.

  2. Getippselt von Flo am 14.09.06 um 16:46

    Auch von meiner Seite ein herzliches Dankeschön, auch für die anderen Berichte über Verschlüsselung uä auf anderen Ebenen.

    Ich wollte schon lange eine Seite machen, die mal all das zusammenfasst, aber irgendwie komm ich nicht dazu. Gerade für Einsteiger und Leutz, die noch nie großartig was mit Computern zu tun hatten, braucht es mehr Hinweise und Erklärungen, wie Sicherheit in der EDV und Kommunikation umzusetzen ist.

  3. Getippselt von missi am 14.09.06 um 19:01

    Zum GPG: Wir hattens zum Beispiel mit Miranda und dem kaputten GPG- Plugin zum einen und zum anderen (ohne, dass da jetzt nen bash von dir kommt, Oli :p ) kenn ich gerade keinen einzigen Messenger, der das ICQ- Protokoll via GPG verschlüsselt. Wenn da wer mehr weiß als ich: Her damit. :)

  4. Getippselt von oli am 14.09.06 um 19:42

    Liebe Missi, da bashe ich doch nicht :p - ich will ja die Leute gerade zu Jabber prügeln, da gebe ich ihnen nicht noch Gründe für das Verbleiben dort ;)

    Mal davon abgesehen, ist Gaim, in der *nix Welt, der einzige IM, der das kann. Und ich glaube da gibts ein paar Leute mehr, die sich auch über OS Grenzen hinweg unterhalten. Gelle? ;)
    Insofern wollte ich ja nur mal die Warnung hochhalten, die Insel wird noch kleiner mit OTR :D

  5. Getippselt von missi am 14.09.06 um 19:50

    Gugg mal, Oli... oben stehts:

    Aber alle meine Freunde verwenden ICQ!

    Das kannst du ihnen vielleicht nach und nach abgewöhnen, aber nicht allen sofort auf einmal, das ist klar.

    Und weil das eben so ist, und wenn du mal ganz realistisch hinguggst, es wird immer so sein, es sei denn, man hypte Jabber nun auch dermaßen extrem, gib ihnen wenigstens ein Werkzeug in die Hand, mit denen sie trotzdem arbeiten können.

    Dieser Punkt da oben ist nun mal Grund Nummer 1, warum alle Welt ICQ/AIM nutzt.

    (Und mal abgesehen davon macht der Gedanke zu wissen, dass man da gerade wem die Datenbank zumüllt mit wirren Zeichenketten, Spaß. :D )

  6. Getippselt von Teuchtlurm am 21.09.06 um 12:06

    Schön ausführliche Anleitung zum Thema, prima. Habe mir erlaubt sie auf der Kryptoseite zu verlinken.

    @Flo: Evtl. ist ja die Kryptoseite so was, was du dir vorstellst?

    Teuchtlurm

  7. Getippselt von missi am 21.09.06 um 14:20

    Teuchtlurm, das Gulliwiki kannst da wieder rauswerfen, das gibts nicht mehr. Der Text hier oben ist der Mirror dazu. :)

  8. Getippselt von Teuchtlurm am 21.09.06 um 17:07

    Oh, Schade das mit dem Gulli Wiki :( Deshalb kam mir der Text so bekannt vor ;)

    Für Miranda gibt's übrigens ein GPG-Plugin, das m.W. auch ICQ unterstützt, aber ich muss mich diesbezgl. nochmal schlau machen. Wird aber wohl auch nicht weiterentwickelt. Miranda mit Jabber bzw. ICQ und OTR scheint zur Zeit das sinnvollste System zum sicheren Messaging zu sein - und das dürften selbst TeuMs (technisch eher unversierte Menschen) beherrschen...

    Teuchtlurm

  9. Getippselt von missi am 21.09.06 um 19:08

    Das GPG- Plugin geht leider nur von Miranda zu Miranda und verfehlt damit Sinn und Zweck. Es geht auch nicht auf allen Mirandas, nur den älteren, die neuen crashen.

  10. Getippselt von Monty am 24.09.06 um 14:03

    > Vielleicht mag er sich ja nochmal der Jabbergeschichte annehmen.
    Kann ich gerne mal machen. Im Moment passt es nur leider zeitlich nicht so gut ;) . Aber die Zeit dafür wird sich schon finden :) .

    Sehr schöner Artikel, übrigens!

  11. Getippselt von Flo am 26.10.06 um 22:52

    Wollte nur nochmal anmerken, daß ich das eine endsgeile Anleitung zum Verschlüsseln mit Miranda oder GAIM unter Verwendung von OTR für das ICQ-Protokoll OSCAR finde. (bißchen Buzzwords schreiben). War eh lustig. Bei Google "OTR ICQ Miranda" eingegeben => erster Treffer: Die Missi.

    So, bin jetzt also auch dabei und hab gleich noch einen davon überzeugt. Fein. :) Hat ja bei mir nur eineinhalb Monate gedauert, bis ich mich durchgerungen hab, aber das geht ja echt ohne Probleme zu installieren! Danke nochmal.

  12. Getippselt von Markus am 18.11.06 um 0:51

    Klasse Seite! Da wollt ich einem Kumpel mal eine kurze Erklährtung zu OTR schicken und da finde ich deinen Blog. Fix in mein del.icio.us. Das muss man sich merken!

  13. Getippselt von floyd am 10.12.06 um 17:50

    Mittlerweile gibt es eine neue Version des GnuPG-Plugins für Miranda.

    Für die Miranda ANSI Variante funktioniert es auch zu Jabberclients, allerdings nur, wenn man auf Umlaute verzichtet. In der UTF-Variante geht es leider gar nicht.

    Habe auf meinem blog was dazu geschrieben, gibt allerdings gerade ein Problem mit der Dtenbank ;-)

    Hier der Link zum neuen Plugin:
    http://addons.mirand...viewfile&id=3108

  14. Getippselt von missi am 18.01.07 um 16:29

    Ich bin jetzt erst zum testen gekommen, floyd. Unter Jabber von Miranda auf Psi (und andersrum) bekomm ichs immer noch nicht zum laufen.

  15. Getippselt von Becksmann am 05.02.07 um 20:05

    Hi,
    Ihr hab das ja schön zusammengetragen. Ja, leider ist alles inkompatibel und und und. GPG wäre echt toll. Naja, mal abwarten, was sich da tut ;) .
    Gruß Becksmann

  16. Getippselt von missi am 05.02.07 um 20:08

    Inkompatibel inwiefern?

  17. Getippselt von Der Doofe am 20.02.07 um 22:42

    Noch mal für doofe bitte: Was muss man auf der download seite von OTR downloaden wenn man ICQ verschlüsseln will?
    Danköö

    Der Doofe

  18. Getippselt von missi am 21.02.07 um 15:18

    Welchen ICQ- Clienten nutzt du denn?

  19. Getippselt von Der Doofe am 21.02.07 um 19:57

    Ich benutze ICQ 5.1 .

  20. Getippselt von missi am 21.02.07 um 20:06

    Mit dem original ICQ- Clienten geht da, soweit ich weiß, garnichts. Schau dir mal Miranda, Gaim oder eventuell noch Trillian an.
    Ein "fertiges" Miranda gibt es hier, da fehlt allenhalber noch das OTR- Plugin. Ich hab hier auf der Festplatte noch eine Mirandaversion vom Bukaroo liegen, welche *nur* für ICQ ist, wenn du magst, pack ich dir da OTR mit rein und lads hoch.

  21. Getippselt von Der Doofe am 21.02.07 um 22:15

    Wenn es dir keine Umstände macht, wär's cool wenn du diese Mirandaversion vom Bukaroo hochladen würdest.
    Ich bedank mich schon mal im vorraus.

    Der Doofe (Der vielleicht bald nicht mehr doof ist ;-) .)

  22. Getippselt von missi am 22.02.07 um 0:18

    Ich finds nicht mehr. :\

    Ich hab dir hier mal was eigenes zusammengeschraubt.

    ICQ, Jabber, OTR und ne handvoll Themes zum Aufhybschen, so du denn magst. (Auf der Originalseite findest du mehr)

    Installieren musst du nichts, nur in einen Ordner entpacken und dann die Miranda.exe starten. Der Rest sollte dann selbsterklärend sein, wenn nicht, frag mich einfach. :)

  23. Getippselt von Teuchtlurm am 22.02.07 um 0:34

    Hm, weiß zufällig jemand, wie man die OTR.dll für Gaim (am besten Gaim 2 Beta X) bekommt? Um Gaim mit OTR zu nutzen muss das OTR Plugin installiert werden. Dies funktioniert nicht, wenn man portable Gaim nutzt (und warum sollte man was anderes nutzen). Man müsste also erst Gaim installieren, OTR installieren, portable Gaim aufspielen, die OTR.dll rüberkopieren, das andere Gaim deinstallieren...

    Nur mal so angefragt...

    Der Teuchtlurm, der eigentlich Gaim schon ein paar mal getestet und immer wieder für doof befunden hat, es wahrscheinlich aber nochmal probieren will, rein aus Testzwecken für seine Privacyseite....

  24. Getippselt von missi am 22.02.07 um 0:38

    Ich hab die jetzt einfach mal aus meinem gaimschen Pluginverzeichnis gepackt. Schau mal, ob das reicht, oder ob er noch was anderes will.

  25. Getippselt von Der Doofe der es nicht mehr ist am 22.02.07 um 19:21

    Hab's jetzt geschafft!
    Dankeschön für deine Hilfe missi :)

  26. Getippselt von missi am 22.02.07 um 19:25

    Freut mich, wenns geklappt hat. :)

  27. Getippselt von Teuchtlurm am 26.02.07 um 13:54

    Tja, OTR scheint mit den Betas von Gaim 2 nicht zu funktionieren... Oder hat da wer andere Erfahrungen?

    Der Teuchtlurm

  28. Getippselt von missi am 26.02.07 um 19:31

    Grad mal getestet:
    Gaim: gaim-2.0.0beta6-no-gtk.exe
    OTR: (Windows (3.0.0)) Win32 installer for gaim 2.0 beta 6

    Verzeichnisstruktur: gaim.txt

    Bei mir funktioniert es.

  29. Getippselt von LoveAndPain am 14.03.07 um 2:32

    HuHu Ich habe mich nun dank deinem Beitrag liebe missi auch für OTR (gaim2b6-otr-3.0.1.6.exe) und GAIM (gaim-1.5.0.exe) entschieden, GAIM funktioniert nun auch nur finde ich unter Einstellungen und dann Plugins nicht die möglichkeit OTR zu aktivieren. Habe GAIN auch schon ein paar mal neu gestartet.

    Hoffe es kann mir jmd. helfen, weil nun habe ich mich schon mal dafür entschieden und dann will es nicht klappen -.-

    lg LaP

  30. Getippselt von missi am 14.03.07 um 2:41

    Für Gaim 1.5 nimm mal das Plugin für 'gaim 1.x'.

  31. Getippselt von LoveAndPain am 14.03.07 um 2:56

    Danke Missi ^^ Hatte es befürchtet, das es so nen einfacher Fehler meiner seits war ;) Noch eine Frage an dich und zwar wenn ich nun nur die Verschlüsslung verwende aber mein gegenüber nicht, werden aber doch meine "Daten" verschlüsselt oder ?

    lg LaP Inc.

  32. Getippselt von missi am 14.03.07 um 3:01

    Nein, Verschlüsselung klappt nur, wenn beide Seiten mitspielen. Wenn dein Gegenüber keine Verschlüsselung einsetzt, kann der deine Nachrichten ja nicht entschlüsseln. In diesem Fall springt OTR erst garnicht an.

  33. Getippselt von LoveAndPain am 14.03.07 um 3:06

    Okay Danke, mensch das geht ja richtig fix :) Vielen Dank für die ganzen Infos :)

    So habe mir eben nen Persöhnlichen Key/ Fingerabdruck erstellt. Kann ich den nun ohne Angst haben zu müssen online stellen damit die Leute dann wissen das ich das wirklich bin ... oder kann man den Key mit jeder ICQ Nr. verwenden ? Danach haste auch ruhe vor mir und meinen Fragen, zumin Hier ;)

  34. Getippselt von missi am 14.03.07 um 3:15

    Der Key braucht nicht online gestellt werden, der wird bei der ersten Session, so OTR auf der Gegenseite vorhanden, automatisch übermittelt. Zur Übertragbarkeit: Gute Frage eigentlich, spontan würd ich jetzt sagen, der Key ist nicht auf ne andere Nummer übertragbar. Aber das mag ich nicht unterschreiben, damit hab ich mich (noch) nicht befasst. :o)

  35. Getippselt von LoveAndPain am 14.03.07 um 3:26

    So ich werde nun erstmal schlafen ist ja schon spät. Aber ich habe hier schon ein paar weitere Interessante Infos gefunden in deinem Blog. Werde morgen noch mal ein paar Std. investieren ;) Z.B. finde ich es sehr interessant von wegen Mails verschlüsseln aber auch dein Datenschutz Info, da muss ich mich auch mal drum kümmern, habe irgendwo etwas von einem neuen Gesetz gelesen was geplant ist oder so.

    Hast also nen neuen Treuen Leser gefunden ^^

    lg und gn8 LaP

  36. Getippselt von xeen am 12.04.07 um 21:49

    OTR ist in der aktuellen Form nutzlos, da der Key über den selben Weg unverschlüsselt übertragen wird.
    Das ganze hat nur Sinn, wenn die Keys auf anderem Wege (am besten nicht über Internet) übertragen werden, da sonst der Cracker auch im Besitz des Keys ist den er benutzen kann alles zu entschlüsseln. Klassischer Fall von Man in the Middle. Wenn meine Post überwacht wird und ich schicke per Post den Entschlüsselungskey erhöht das meine Sicherheit nur marginal - allenfalls hilft das vor zufälligem Lesen; was aber recht unwahrscheinlich ist.
    Es verhindert vielleicht dass ICQ einen Bot drüber schickt der z.B. E-Mail Adressen ausliest solange es nicht zu viele Leute benutzen (Aufwand/Nutzen) aber wenn sie wirklich dran wollen kommen die das.
    Schreib das bitte dazu; damit sich die Leute nicht in falscher Sicherheit wiegen. Erfreulich wäre es, wenn die OTR Plugins manuelle Keyeingabe unterstützen würden; dann würde es sich sogar lohnen die zu benutzen. Aber so? Reine Show.

  37. Getippselt von Flo am 15.04.07 um 19:59

    Ich hab mich da aufgrund des letzten Kommentars mal ein wenig eingelesen. Das ist in der Tat eine dumme Sache. Richtig blöd finde ich aber, daß es in Miranda in den OTR-Einstellungen scheinbar keine Möglichkeit gibt, einen extern erhaltenen Schlüssel direkt einzutragen. Da gibt es ja eh nicht viele Optionen, also hoffe ich mal nicht, daß ich nur zu blöd zum Finden war. Wenn dem aber wirklich so ist, wie ich denke, dann verstehe ich in keinster Weise, warum es diese Möglichkeit nicht gibt. Das muß den Entwicklern doch klargewesen sein.

  38. Getippselt von no1 am 17.04.07 um 15:24

    zitat englisches wikipedia:
    "OTR uses a combination of the AES symmetric-key algorithm, the Diffie-Hellman key exchange, and the SHA-1 hash function."

    und dann lesen wir doch im englischen wiki doch mal unter Diffie-Hellman key exchange:
    "Diffie-Hellman (D-H) key exchange is a cryptographic protocol that allows two parties that have no prior knowledge of each other to jointly establish a shared secret key over an insecure communications channel."

    dachte mir doch... wer sowas programmiert der übersieht doch nicht sowas absolut offensichtlich*g*

  39. Getippselt von no1 am 06.05.07 um 23:27

    mh man müsste dazu noch sagen, dass man da das man-in-the-middle problem ergibt und wenn der angreife schon beim ersten key exchange dazwischen sitzt dürfte der fingerprint auch nichts helfen... aber kenne mich da einfach zu wenig aus =\

  40. Getippselt von raptor am 08.05.07 um 19:43

    Zumindestens bei Miranda wird im Profil eine Datei mit den Schlüsseln abgelegt, in dieser müssten sich auch per Hand Schlüssel hinzufügen lassen. Wenn man ganz paranoid sein will, kann man so die Man-in-the-Middle-Attacke umgehen.

  41. Getippselt von xGCFx am 24.07.07 um 12:04

    Sucht mal nach "Message Authentication Code" bei Wikipedia, damit wird in Zusammenarbeit mit Diffie-Helman auch der MitM-Angriff unmöglich. So wird das laut Präsentation auf der Projektseite von OTR auch gemacht.

  42. Getippselt von fnord am 12.11.07 um 19:54

    Der Vollständigkeit halber muss ich hier noch mal anfügen: OTR ist definitiv *nur* nutzlos, wenn die Nutzer ihre Fingerprints nicht über sichere Kanäle (Telefon, verifizierte GPG-Mail, reales Treffen, ...) überprüfen. Durch einen Man-in-the-Middle Angriff könnten die Nachrichten zwar verändert werden, jedoch wären die Fingerprints dann nicht die gleichen. Näheres dazu in der Wikipedia.

    (tut mir wirklich Leid, ich konnte die letzten paar Kommentare nicht so stehen lassen ;) )

  43. Getippselt von Montekar am 21.11.07 um 22:27

    Toller Artikel, habe ich gleich befolgt ;)

  44. Getippselt von Klaue am 02.12.07 um 0:16

    Hi Missi
    Wie schon vor einer halben Ewigkeit in einem Kommentar zu dem hier: http://www.entartete...om/anonymes-bloggen/ angekündigt, habe ich nun diesen Text hier auf meine Homepage übernommen. Danke, dass du alles CC machst, hab das gleich mal als Anlass genommen, meine Texte auch zu CCen.
    "Meine Version" von deinem Text findest du hier:
    http://klaue.110mb.c...anleitungen/otr.html

    Wenn dir da irgendwas nicht passt, lass es mich wissen :)

    Gruss, Klaue

  45. Getippselt von onkelchen am 26.01.08 um 21:00

    Ein völlig freiwilliger, gar nicht erzwungener, manueller Trackback, der eigentlich ein Kommentar ist von Mit FiSH verschlüsselt ins IRC

  46. Getippselt von tux am 17.02.09 um 21:51

    Hallo!

    "ICQ geht es einen Dreck an, was ihr redet - also müssen sie es auch nicht lesen oder loggen."

    Das ist falsch. Mit der Erstellung des Accounts willigst du in die AGB ein, die besagt das ICQ loggt.

    TIP: Gewöhnt euch propätitäre Protokolle wie ICQ, MSN, etc ab und nutz frei, wie z.B. Jabber.

  47. Getippselt von missi am 17.02.09 um 23:17

    Lies noch einmal, was du zitierst und setze es in den richtigen Kontext.

  48. Getippselt von X1 am 14.03.09 um 0:08

    hallo,
    ich habe das problem zwar bei allen plugins die ich installieren will, aber da mir vor allem am otr liegt... ich habe pidgin portable... und kriege bei der installation von otr immer nur gesagt, es gäbe kein pidgin...??? das passiert mir, egal von wo ich das exe aufrufe. was mache ich denn hier falsch? vielleicht hat wer eine idee, auch wenn pidgin hier scheint's nicht stattfindet?
    danke jedenfalls vorab
    X1

  49. Getippselt von missi am 14.03.09 um 0:45

    Versuch mal http://lists.cypherp...eptember/001131.html . Alternativ suchst du dir wen Vertrauenswürdigen, der ein installiertes Pidgin hat und dir seine dlls mal kopiert. :)

  50. Getippselt von X1 am 14.03.09 um 22:56

    hallo missi,
    da ich keinen kenne, der otr schon nutzt - bin in meinem bekanntenkreis der einzige paranoide ;-) - habe ich die portable version auf meinem nb "installiert" und dann otr hinterher. DA geht's problemlos. von dort die dll in's plugin-dir auf'm stick und schon tut's :-) )
    danke für die prompte und kompetente antwort!
    gruss
    X1

  51. Getippselt von d-town am 16.12.09 um 16:40

    hi, wie kann ich das pdgin otr plugin bei mehreren usern unter windoof nutzen?

  52. Getippselt von korrupt am 03.02.10 um 0:39

    Mit Pidgin kann ich dienen.Was sagst eigentlich nichts im IRC, wenn du da dransitzt?

  53. Getippselt von missi am 03.02.10 um 9:40

    Pidgin hab ich ja, ich bräuchte Miranda. Magst du die machen?

  54. Getippselt von Gast am 03.02.10 um 10:10

    Reicht dir das so? http://www.abload.de...rmiranda0905m2xs.jpg

    OTR 0.7.0.0 in Miranda 0.9.0.5 (Alpha Build).

  55. Getippselt von missi am 03.02.10 um 10:27

    Das sieht noch aus wie der alte, oder? Es kam nichts neues an Optionen dazu, oder?

  56. Getippselt von Gast am 03.02.10 um 10:44

    Neu ist:

    Sitzung beenden wenn Fenster geschlossen
    Sitzung beenden wenn Kontakt Offline
    OTR Meldungen als Nachricht
    Bei beendeten Sitzungen zu Klartext springen

  57. Getippselt von missi am 03.02.10 um 10:50

    Stimmt. Schenkst du mir noch einen vom Jabberfenster und wenn möglich, einen vom Schlüsselaustausch? Dann haben wir es einheitlich. :)

  58. Getippselt von Gast am 03.02.10 um 14:28

    Was genau meinst du mit Jabber Fenster? Das eigentliche Chatfenster?
    Und mit Schlüsselaustausch meinst du das Fensterchen mit dem Fingerprint Abgleich?

  59. Getippselt von missi am 03.02.10 um 14:41

    http://www.entartete...es/jabbermiranda.jpg & http://www.entartete.../images/otrpopup.jpg < -- Die beiden. Aber auch nur, wenn sich da irgendwas geändert hat. Ich habe kein Windows mehr zur Hand, ich kann nicht schauen. :)

  60. Getippselt von Gast am 03.02.10 um 14:46

    Doch, diverse kleine Details sind etwas anders :)

    Moment...

  61. Getippselt von Gast am 03.02.10 um 15:10

    http://www.abload.de...erprintkrams0u2e.jpg

    http://www.abload.de...einstfensterg6ll.jpg

    Rechts neben dem Loginserver ist der kleine Pfeil zum Aufklappen einer Liste mit etlichen Jabberservern. Willst du das noch als extra Bild haben?

    Und noch oben die Tabs: Erweitert und Konferenzen?

  62. Getippselt von missi am 03.02.10 um 15:31

    Das passt, danke, hab sie eingebaut. :) Bietet Miranda nun mittlerweile eigentlich auch Möglichkeite (ähnlich Pidgin/Kopete), den Key zu verifizieren? Damals gab es das nicht.

  63. Getippselt von Gast am 03.02.10 um 15:36

    Mittels eines geheimen Wortes? Nein das geht immer noch nicht. Leider wurde an dem OTR Plugin seit über einem Jahr nicht mehr gewerkelt :(
    Dafür bekommt das SecureIM Plugin immer mehr Zuwanderer imho :)

  64. Getippselt von SBartsch am 31.03.10 um 12:27

    Super Anleitung, va das mit der Einleitung ("Warum sollte ich?") ist sehr gut geworden =)

    Habs mal gleich auf meiner Webseite verlinkt.

  65. Getippselt von Benjamin am 16.05.10 um 18:12

    Hallo,

    wenn ich private Nachrichten mit Pidgin und dem OTR Plugin nutzen will, kann ich dann dafür das XMPP Protokoll nutzen oder muss ich explizit das ICQ Protokoll auswählen und alles weitere dort dann einstellen?

    Bin etwas durcheinander, da ich irgendwie Jabber und ICQ gehört habe, dass man es zusammen in einem nutzen kann...

  66. Getippselt von Benjamin am 16.05.10 um 18:15

    ops, habe vergessen zu erwähnen, dass meine Bekannte nur den originalen ICQ Messenger nutzt. Also es geht um ICQ aber muss ich dafür explizit das ICQ Protokoll nutzen???

  67. Getippselt von missi am 16.05.10 um 18:30

    Du bringst da ein wenig durcheinander. :)
    Pass auf, ich versuchs mal ein wenig aufzudröseln: ICQ ist ein Protokoll, Jabber ein anderes. Das eine ist Pflaumenkuchen, das andere Erdbeerkuchen, sie führen zwar alle zum selben Ergebnis (sind lecker), aber schmecken doch völlig anders.

    OTR ist (nur) eine Möglichkeit, diese Protokolle zu verschlüsseln, mit OTR kannst du nicht chatten.

    Soweit klar?

    Wenn deine Bekannte lediglich den originalen ICQ- Client nutzt, hast du genau zwei Möglichkeiten, mit ihr zu kommunizieren: Entweder direkt über das ICQ- Protokoll oder den Umweg über einen Jabber- Transport, welcher bedeutet, das du dich per Jabber auf einen Server verbindest, welcher deine Nachrichten für dich an das ICQ- Netzwerk weiterleitet.

    Das gemeinsame Nutzen bezog sich auf den Clienten, in deinem Fall Pidgin. Mit diesem hast du ja die Möglichkeit, dich sowohl mit dem Jabbernetzwerk als auch mit dem ICQ- Netz zu verbinden, du brauchst also nicht 2 verschiedene Programme benutzen.

    Zum OTR: In deinem Fall wird es nicht funktionieren, denn deine Bekannte benutzt kein Programm, welches OTR unterstützt, sprich, sie könnte deine verschlüsselten Nachrichten weder verschlüsseln, noch dir eine verschlüsselte Nachricht zukommen lassen. OTR ist aufgrund seines Aufbau schlau genug, dies zu erkennen. ("OTR an Client: Wollen wir verschlüsseln? Hier hast du meinen Key..." "..." "Ok, wenn du mir nicht antwortest, lassen wir das." ...im *sehr* groben erklärt.)

    Zusammengefasst:
    * Wenn du mit einem ICQ- Partner reden willst, musst du auch das ICQ- Protokoll nutzen. (Ob direkt oder über Transporte, um einen Account kommst du nicht herum.)
    * Wenn du verschlüsselt chatten magst, müssen beide Partner das unterstützen. (Kompatible Software, eine Auswahl hast du ja oben.)

    Ich hoffe, es ist verständlich geworden. :)

  68. Getippselt von Benjamin am 16.05.10 um 19:30

    > oder den Umweg über einen Jabber- Transport, welcher bedeutet, das du dich per Jabber auf einen Server verbindest, welcher deine Nachrichten für dich an das ICQ- Netzwerk weiterleitet.

    Muss ich nun XMPP in Pidgin auswählen um per Jabber die Nachrichten ans ICQ-Netzwerk weiter zu leiten?

    Ich nutzte übrigens Ubuntu 9.10 und hab schon ein Jabber-Konto eingerichtet: http://wiki.ubuntuus...idgin#gmx-de-gmx-net

    Meine hier hinterlegte Emailadresse ist die für Jabber. Bin Online ;)

    Wäre für weitere Hilfe per Jabber(XMPP) dankbar.

  69. Getippselt von missi am 16.05.10 um 20:10

    http://forum.ubuntuu...cq-ueber-gmx-jabber/ hier hat man es hübsch beschrieben. :)

  70. Getippselt von missi am 16.05.10 um 20:34

    Ach Quatsch, vergiss den Link, der war nicht hilfreich. Du brauchst ein (bestenfalls schon mitgeliefertes) Plugin namens xmppdisco, welches du in den Plugineinstellungen unter XMPP-Dienstsuche aktivierst und es dann unter "Werkzeuge" findest. Dort kannst du dich dann am ICQ- Transport anmelden, so der Server das unterstützt.

  71. Getippselt von Paul am 27.08.10 um 2:22

    Ja, ich habe mich eben auch gefragt, wie sich mein Partner mir gegenüber authentifiziert (Miranda). Bei GPG haben wir unsere öffentlichen Schlüssel persönlich ausgetauscht, das "Vertrauen" steht also auf "voll".
    Aber bei OTR? Da schicke ich irgendjemand meinen Schlüssel und anschließend rede ich mit einer wildfremden Person, allerdings verschlüsselt :-) Also, so ganz leuchtet mir das noch nicht ein! Der Vorschlag mit der "geheimen Frage" scheint mir doch etwas "laienhaft".

  72. Getippselt von missi am 27.08.10 um 9:01

    Was spricht dagegen, wenn du mit deinem Gegenüber kurz telefonierst und den Fingerprint abgleichst, wenn dir eine Frage zu Mau ist? :)

  73. Getippselt von Paul am 27.08.10 um 10:31

    Ja, das scheint in der Tat die einzige Lösung zu sein! Aber eigentlich will ich ja chatten und nicht telefonieren :-)

    Nun, ich habe OTR erst seit gesten, mir ist da noch vieles neu: Aber es soll doch so sein, daß der Schlüssel für jede Sitzung neu aufgebaut wird. Die Telefongesellschaft freut sich! Müssen die Fingerprints wirklich gleich sein? Ich konnte darüber nichts finden. Und wie sieht das aus, wenn ich auf zwei Rechnern gleichzeitig ON bin (was bei Jabber ja geht)? Da dürften die Fingerprints gar nicht gleich sein!

    Was mich auch beschäftigt ist halt das unverschlüsselte Übertragen des Schlüssels. Der Schlüssel wandert also bei meinem freundlichen Jabber-Admin ins Log! Wahrscheinlich bei ICQ auch. In aller erster Linie chatte ich also mit meinem Jabber-Admin. Der kann sich also durchaus als mein Gesprächspartner ausgeben und mein Gesprächspartner könnte trotzdem den Fingerprint verifizieren.

    Nun, ich benutze seit Jahren GPG, sowohl für Mails, als auch für Chat. Die Antwortzeit bei GPG ist etwas länger als bei OTR. Ich suche aber nach dem Argument, daß mich von OTR überzeugt. Und nicht: "Du kannst ja beliebig viele Klimmzüge machen, damit das halbwegs funktioniert".

    Nun ja, ich bleibe dran! Und mal schauen, ob OTR GPG ersetzen kann, und ob ich ein gutes Gefühl dabei habe.

  74. Getippselt von missi am 27.08.10 um 10:35

    Lies mal die Kommentare, die sollten die Fragen, insbesondere den vermeintlich unsicheren Schlüsselaustausch erklären, das hatten wir hier schonmal diskutiert.

  75. Getippselt von Paul am 27.08.10 um 12:07

    nun, ich lese gerade die Spec. An manchen Stellen scheint mir da der Wunsch der Vater des Gedanken zu sein :-)

    Ich zitiere mal ein wenig:
    Dif?e-Hellman-Schlüsselaustausch
    Alice und Bob einigen sich auf eine große Primzahl n und eine Zahl g. Die beiden Werte müssen nicht geheim bleiben.
    Alice wählt eine große Zufallszahl x, berechnet X = g^x mod n und schickt X an Bob.(X ist der öffentliche Schlüssel von Alice)
    Bob wählt eine große Zufallszahl y, berechnet Y = g^y
    mod n und schickt Y an Alice.(Y ist der öffentliche Schlüssel von Bob)Alice berechnet k =Yx mod n
    Bob berechnet k? = X^y mod n.

    Weiter unten ließt man: Beim OTR-Protokoll werden immer die gleichen Werte für g und n benutzt.

    So, jetzt mal ganz dumm: wenn ich X protokolliere, g und n bekannt sind, dann kann ich x doch berechnen!

    Ich muß aber nebenbei auch noch ein bisschen arbeiten :-)

  76. Getippselt von missi am 27.08.10 um 12:12
  77. Getippselt von Paul am 27.08.10 um 12:55

    Na ja, das übliche Wiki-Geschwätz eben.
    Aber nehmen wir aus Wiki mal folgendes mit:
    "Es sind bisher keine schnellen Algorithmen zur Berechnung des diskreten Logarithmus bekannt. Deren Laufzeit verhielte sich polynomial zur Länge der Eingabe. Es gibt aber Algorithmen, die die Lösung gezielter finden als bloßes Ausprobieren. "

    Also, es gibt nicht KEINE Algorithmen, sondern nur keine schnellen! Und weil das "n" in dem Alice und Bob Beispiel sehr groß ist, kommt man in endlicher Zeit auf eine Lösung.

    und noch ein Zitat aus Wiki:"Der Diffie-Hellman-Schlüsselaustausch ist jedoch nicht mehr sicher, wenn sich ein Angreifer zwischen die beiden Kommunikationspartner schalten und Nachrichten verändern kann."

    Damit ist die Entscheidung für PGP gefallen. Ist zwar auch nicht unknackbar, aber die Faktorisierung einer großen Zahl dauert schon mal ein paar Jahre.

  78. Getippselt von fnord am 27.08.10 um 15:08

    Paul, du scheinst es nicht verstehen zu wollen.
    Ich zitiere mich mal selbst.

    Also nochmal: der DH-Schlüsselaustausch kann einfach per MITM-Angriff kompromittiert werden, das fliegt aber auf wenn die beiden Gesprächspartner über einen sicheren Kanal ihre Fingerprints prüfen können.

    Es gibt letztendlich pro Person zwei aktive Schlüssel: der eine wird regelmäßig erneuert und verschlüsselt die Nachrichten, der andere ist langlebiger und authentifiziert den ersten Schlüssel. Damit bleibt der Fingerprint gleich aber gleichzeitig wird die Abstreitbarkeit gewährleistet (wie genau ist komplizierter, dafür siehe die CodeCon-Präsentation oder die Protokoll-Spezifikation).

    Du hast bei deinem ersten Zitat bzgl. Diskreter Logarithmus den direkt nachfolgenden Satz vergessen:

    Aufgrund des angesprochenen Laufzeitverhaltens und der in der Kryptografie üblichen Größenordnungen (mehrere hundert Dezimalstellen in Numerus und Basis) spielen sie [die Algorithmen zur Berechnung] praktisch aber keine Rolle.

    Bei 1536-bittigen Zahlen als Eingabe ist die Größenordnung der Laufzeit sicherlich vergleichbar mit deinem Faktorisierungsproblem bei RSA.

  79. Getippselt von Paul am 27.08.10 um 18:25

    Nun gut, jedem des Seine!
    Ich bleibe halt bei einem Schlüssel auf dessen Authentizität ich vertrauen kann. Natürlich kann ich mir auch einen "Knopf an die Backe nähen". Aber warum?
    Und jetzt mal ehrlich: Vergleichst Du ständig den Fingerprint?

    "Es gibt letztendlich pro Person zwei aktive Schlüssel". Also, da muß einer von uns Beiden was ganz falsch verstanden haben.

  80. Getippselt von fnord am 27.08.10 um 18:43

    Und jetzt mal ehrlich: Vergleichst Du ständig den Fingerprint?

    Was heißt "ständig"? Einmal pro Kontakt. Ja.

    Also, da muß einer von uns Beiden was ganz falsch verstanden haben.

    Offenbar, ja.

    Niemand zwingt dich von PGP wegzugehen. Nur bietet dein PGP leider keine Deniability und keine Perfect Forward Secrecy.

  81. Getippselt von Paul am 27.08.10 um 19:24

    So, es bleibt seltsam:
    Erst mal, der Key wird bei einer neuen Session nicht neu gebildet (obwohl er sollte). Von daher würde es reichen, den Fingerprint einmal zu vergleichen.

    Aber jetzt _die_ Härte:
    Gestern war ich mit meinem Notebook online. Da wurde prima ein Schlüssel ausgehandelt und der Fingerprint bei Miranda abgespeichert.

    Eben war ich mit meinem Bürorechner online. Beim Erstkontakt meinte der dann .. Moment, ich muß mal eben einen Schlüssel generieren.

    Was ich jetzt aber gar nicht wechseln kann: Jetzt habe ich auf dem Notebook und dem Bürorechner absolut denselben Fingerprint! Wie kann das sein? Wird der Schlüssel etwa auf dem Jabber-Server gespeichert? Oder wird "die große Zufallszahl x" doch zurück berechnet?

    Jedenfalls halte ich es für praktisch unmöglich, daß sich zwei Rechner absolut dieselbe Zufallszahl ausdenken.

    Man müßte mal in den Code gucken, was da wirklich implementiert ist.

    "Nur bietet dein PGP leider keine Deniability .."
    Das stimmt schon. Meistens will ich das auch gar nicht. Und ich habe auch schon mitbekommen, daß bei Gerichten nicht signierte E-Mails als "Beweis" vorgelegt wurden. Wenn irgendwas erst mal die Schriftform hat, ist das mit dem Abstreiten immer so eine Sache. Aber über Chat mache ich keine Geschäfte und unterhalte mich mit Freunden - von daher ein "Scheinargument".

  82. Getippselt von love4all am 10.11.10 um 3:36

    Vielen Dank für den äußerst informativen und absolut verständlich formulierten Artikel. Dabei blieb mir nur eine Sache etwas unklar:

    "Dabei ist zu beachten, dass bei aktiviertem Logging Messengergespräche auch bei Einsatz von OTR lokal auf der Platte abgelegt werden und ohne beispielsweise gecryptete Platte/Partition/Container die Logs beispielsweise bei Beschlagnahme durchaus einzusehen sind."

    Ist es möglich, besagtes Logging zu deaktivieren, damit der Einsatz von Truecrypt nicht zwingend erforderlich ist?

    Danke im Voraus

  83. Getippselt von missi am 10.11.10 um 8:57

    Das ist natürlich möglich, klar.

  84. Getippselt von onkl am 12.11.10 um 17:20

    Mal eine Frage zu Jabber: Im Moment benutze ich den Server vom CCC, allerdings scheint der nicht meine IP an meine Gesprächspartner zu verraten. Mal von irgendwelcher Paranoia abgesehen, hat das den riesen Nachteil das P2P Dateitransfers nicht ohne weiteres funktionieren, da ja fast jeder hinter einem Router hockt.

    Die Frage ist jetzt, ob das bei allen Servern so geregelt ist, oder ob einige die IPs nicht verbergen. Die Leute zu überreden auf Jabber zu wechseln ist schon schwer genug, aber wenn ich denen dann immer erst noch ein DynDND einrichten muss damit man mal was schicken kann...

    Danke schonmal im voraus :)

  85. Getippselt von missi am 12.11.10 um 19:18

    Hmm, kann ich jetzt gerade nicht bestätigen, bei mir klappt der Datentransport beim CCC- Server.

  86. Getippselt von love4all am 13.11.10 um 1:46

    Danke, Missi. Nur wie? Ich habe herausgefunden, dass "Logging to disk" bereits standardmäßig deaktiviert ist. Doch werden die OTR-Messages weiterhin in der History angezeigt. Bedeutet dies nicht, dass sich jemand nur Zugang zu meinen Daten, genauer meiner Profildatei verschaffen muss, um die Nachrichten unverschlüsselt lesen zu können? Wie lässt sich dies ohne Truecrypt umgehen?

    Danke im Voraus.

  87. Getippselt von missi am 13.11.10 um 10:35

    Hmmm.. Ich gehe davon aus, du redest von Miranda? Ich hab hier kein Windows, ich kann nicht nachguggen, ich versuchs blind: Schau doch mal, ob du irgendwas in Richtung "Chatverlauf" findest in den Einstellungen (Ereignisse?). Ist da alles ausgeschalten?

    Es gibt ein Plugin, wo du das granulierter einstellen kannst: http://addons.mirand...iewfile&id=3197

  88. Getippselt von love4all am 15.11.10 um 22:05

    Danke, Missi. Auf NoHistory bin ich selbst bereits gestoßen, jedoch haben meine Recherchen ergeben, dass es bei Verwendung mit aktuellen Miranda Versionen zu Instabilitäten kommen kann (Quelle: http://miranda-im.de...tle=Plugin:NoHistory ).
    Stattdessen habe ich History++ gewählt. Damit lässt sich die History zwar auch nicht abschalten (dies soll wohl überhaupt nicht bzw. nicht mehr möglich sein), jedoch gezielt zu jeder Zeit partiell oder vollständig löschen. Es wird also der gleiche Effekt erzielt.

    Dabei fällt mir noch eine Frage an: Angenommen, man löscht die History der OTR verschlüsselten Nachrichten nicht. Ist es dann irgendwie möglich, diese von außerhalb zu knacken und den Gesprächspartnern korrekt zuzuordnen? Denn besonders Letzters soll doch durch OTR unbedingt vermieden werden.

    Ist wie gesagt bloß eine hypothetische Frage, da ich den Verlauf bei sensitiven Gesprächen grundsätzlich löschen werde.

  89. Getippselt von missi am 15.11.10 um 22:14

    Was meinst du mit "von ausserhalb"?

  90. Getippselt von love4all am 26.11.10 um 18:46

    Naja, wenn jemand durch einen Angriff auf meinen Computer Zugriff auf meine Dateien erhält, könnte nach meinem Verständnis doch kinderleicht die History entschlüsseln, da diese in der unverschlüsselten Miranda Profildatei gespeichert ist. Es wäre quasi kein Unterschied, als wenn man unverschlüsselt chattet. Oder täusche ich mich?

  91. Getippselt von missi am 17.01.11 um 14:48

    Stell dir vor, du schreibst einen Brief. Du willst nicht, das den unterwegs irgendwer liest, der Postbote, etc, du packst ihn in einen Umschlag. Der Empfänger wird ihn zu Hause öffnen und lesen. Der _Empfänger_, nicht die Zwischenstationen dazwischen. Das ist das OTR. Nun liegt aber der Brief offen zu Hause rum, dagegen wirst du nichts tun können. Der Empfänger wird ihn wegschließen müssen, vernichten, whatever, wenn er verhindern will, das irgendwer reinguggt.
    Nichts anders verhält sichs auf deiner Festplatte/History. Du wirst sie verschlüsseln müssen oder eben garnicht erst ein Logfile anlegen.

Trackbacks/Pingbacks»»

  1. Gepingt von Unter Affen am 02.01.07 um 19:29

    von ICQ verzichtet ihr auf alle Urheberrechte an den Inhalten die ihr darüber verbreitet. Das heißt, ihr könntet eure Nachrichten irgendwann einmal vielleicht in einem Buch "Die lustigsten ICQ-Chats" finden. Die ICQ-Policy zum nachlesen. Eine Anleitung wie man da raus kommt...

  2. Gepingt von debilux.de am 08.10.06 um 22:09

    könnt trotzdem sagen, nein, ihr habt was anderes gesagt. Aussage gegen Aussage, das Gespräch bleibt juristisch und sonstwie völlig unverwertbar. Das heisst “Off The Record”, und das kann man auch im ICQ haben. Nähere Informationen gibt es bei entartete-kunst.com oder direkt beim Projekt der Cyberphunks. Kommentare (0)

  3. Gepingt von SHG-Info am 25.04.07 um 2:42

    Trillian und Co. Für den proprietären Messenger Client von ICQ gibt es dieses Plugin jedoch nicht, da es nicht den Interessen von ICQ entsprechen dürfte, dass die User ihre Kommunikation verschlüsseln.

  4. Gepingt von Dobschats Weblog am 20.09.06 um 22:21

    Missis Notizblock » ICQ- Verschlüsselung mit OTR

  5. [...] OTR wird zusätzlich von Adium X (Mac OS X) direkt und von Trillian und Mirande über Plugins unterstützt. Zudem kann man allen Messengern OTR über einen lokalen Proxy aufzwängen. Netter Link: http://www.entartete...hluesselung-mit-otr/ [...]

  6. Gepingt von D4yLightblog » AGB am 16.01.07 um 19:56

    [...] Einen Interessanten Link hierzu hat mir Andi geschickt. Auch wenn ich mich lange dagegen gewehrt hab: Vielleicht sollte ich doch mal Umsteigen auf ein All-In-One Programm, anstatt ICQ und MSN parallel zu benutzen…. Posted by DayLight | [...]

  7. Trackback von noch ein Blog am 28.03.07 um 15:50

    sicheres Instant Messaging per Miranda IM (2): OTR...

    Mittlerweile habe ich auch OTR ausprobiert – es ist wohl die bessere Alternative zu SecureIM. Ausführliche Infos und Installationsanleitungen gibt es bei Teuchtlurm und bei Missis Notizblock.

    Das ganze funktioniert reibungslos, allerdings sol...

  8. [...] Ich weiß das das Datum etwas veraltet ist jedoch ist das Thema nicht aus dem sinn .... Wenn hier schon Jabber als Messanger steht dann bitte ich doch das ihr euch mal eine Minute nehmt und euch diese Seite anschaut : ICQ- Verschlüsselung mit OTR » Missis Notizblock Evt denkt ihr dann etwas anderst über ICQ und Konsorten. [...]

  9. [...] Gerade eher durch Zufall entdeckt: Das leidige "zerkloppte html-nachrichten zwischen GAIM- und Miranda- User" lässt sich mit nohtml und OTR 0.5.2.0 lösen. [...]

  10. Gepingt von “how to..”: polizei & kram | streetart & kram ! am 29.05.07 um 11:47

    [...] + “thunderbird“: zum versenden von pgp-verschlueszelten e-mails + “jabber” als instant messanger - fuer sicheres chaten + OTR zum verschluesseln vom ICQ-Chat + “pgp-desktop” zum verschluesseln von festplatten/ partitionen + programm zum schreddern von dateien: “Steganos Secure FileSharing” [...]

  11. [...] ICQ- Verschlüsselung mit OTR » Missis NotizblockWenn schon ICQ, dann wenigstens verschlüsselt. [...]

  12. [...] Eine weitere Seite, die das Thema ICQ noch ausführlicher beleuchtet, ist diese hier. Es gibt wohl nur die Möglichkeit, den chat über das ICQ Protokoll zu verschlüsseln, oder ICQ lieber nicht mehr zu nutzen. Von MSN habe ich noch nie wirklich etwas gehalten, und werde meinem Instinkt nun folgen und es auch nicht wieder in Betrieb nehmen. Obwohl ich zugeben muss, dass die Bedingungen bei MSN nicht so krass sind: We do not routinely monitor your communications or disclose information about your communications to anyone. However, we may monitor your communications and disclose information about you, including the content of your communications, if we consider it necessary to: (1) comply with the law or to respond to legal process; (2) ensure your compliance with this contract; or (3) protect the rights, property, or interests of Microsoft, its employees, its customers, or the public. Always use caution when giving out any personally identifiable information about yourself or your family. [...]

  13. [...] Eine Reihe frei nutzbarer Jabber-Server bieten die Möglichkeit, sich ohne Angabe irgendwelcher Userdaten innerhalb von Sekunden einen Account zu erstellen und diesen dann noch bedarfsweise mit beispielsweise dem OpenSource-Plugin OTR (off the record) zu verschlüsseln. Eine prima Anleitung für die Nutzung von OTR für ICQ/AIM/MSN/Jabber/etc mit ein paar der freien Mulitprotokollclients wie Miranda, Gaim, Trillian oder PSI findet sich drüben bei Missi. [...]

  14. [...] …war nett mit dir, aber dass seit dem letzten Update der rechner regelmäßig abrauchte, mochte ich dann nicht mehr so richtig. Auch die komischen Erste-Zeile-Bugs seit der UTF-8-Implementierung, ob mit oder ohne OTR, machten uns in letzter Zeit nicht grade zu guten Freunden. Und deshalb rennt bei mir nun Pidgin, und wir scheinen uns zu mögen. Denn so nachdem ich die wichtigsten Plugins nachgerüstet und die eher nervigen Sachen deaktiviert hatte, kriegte ich beim Testen mit missi folgende Meldung beim Klicken, die mich, hihi, lächeln ließ: Ich glaub, wir werden uns gut vertragen. [...]

  15. [...] Es gibt nun mehrere Möglichkeiten, dagegen vorzugehen. Zunächst einmal bietet es sich an, sowieso auf ICQ zu verzichten, da dieses Programm in den letzten Jahren sich immer mehr vom IM- zum Weremüllprogramm entwickelt hat (Persönliche Meinung). Satt dessen bietet es sich an, Multiclient-Programme zu nutzen, Beispiele sind Trillian, Miranda, Gaim (bzw. jetzt pidgin) oder Adium. Diese bieten den Vorteil, dass sie mehrere IM-Protkolle in sich vereinen (z.B. kann Trillian AIM, ICQ, MSN Messenger, Yahoo Messenger und IRC). Dies allein bietet aber noch keinen Verschlüsselungschutz, da die Dienst trotzdem über den entsprechenden Server laufen. Das momentan sich am schnellsten verbreitende Verschlüsselungsprinzip ist das OTR (off the record)- Prinzip. Dabei wird generell gesagt, dafür gesorgt, dass kein Abhören und auch sonst kein Nachweis über das Gespräch geführt werden kann (dazu komm ich gleich nochmal). Nach dieser etwas längeren Vorrede nun zur Verschlüsselung. Ihr findet hier das benötigte OTR-Plugin. Die Anleitungen wie es zu installieren ist, findet man im weiteren hier für Miranda und Gaim/pidgin , hier für Trillian, hier für Adium und hier für ICQ. Wenn das ganze läuft, bekommt man vor jedem Gespräch einen digitalen Fingerabdruck zugesandt, der den Gesprächspartner eindeutig identfizert und nach dessen Annahme das Gespräch verschlüsselt abläuft. Aber Achtung, es gibt natürlich auch noch zwei kleine Nachteile, zum einen hilft die Verschlüsselung prinzipiell erst mal gar nix, wenn man alles selber mitloggt, da diese Daten auf der eigenen Platte unverschlüsselt bleiben. Wenn der PC also konfisziert wird, liegt das trotzdem offen. Das zweite Problem ist, dass der Schlüssel leider unverschlüsselt übertragen wird, man also hier noch Gefahr läuft. Außerdem müsste man theoretisch den Schlüssel live vergleichen, also mal schnell zum Gesprächspartner rüberwacklen und guggn, ob ders auch wirklich ist, aber ich denke mal, so wild treibts hier keiner, dass diese extremeren Massnahmen sinnvoll werden :) . Wer weiter Interesse an dem Thema hat, oder diesen Beitrag auf Fehler (keine Rechtsschreib- und Grammatikfehler, die sind gewollt gesetzt und dienen der Belustigung von Germanisten) etc. berichtigen möchte, ist angehalten sich auch mal ein bisschen im Internet und auf den oben genannten Seiten umzuschauen und gegebenenfalls mir davon zu erzählen oder es auszubessern. [...]

  16. Gepingt von gimme! gimme! klick-klick-klick! » Jedem sein ICQ am 11.03.08 um 11:31

    [...] Missis Notizblock bietet neben der Übersetzung auch ausführliche Anleitungen für die Absicherung der Kommunikation mit verschiedenen clients. [...]

  17. [...] Hier ist eine Anleitung: http://www.entartete...hluesselung-mit-otr/ [...]

  18. [...] - Verschlüsselung (Sehr gute Website zum Theme Verschlüsselung und Miranda hat mir sehr geholfen, durch diesen Link bin ich zu Miranda gekommen) [...]

  19. [...] Allgemein eine sehr gute Website zum Thema gibts hier. [...]

  20. [...] warum überhaupt und wie ihr das macht steht hier schon geschrieben, mehr details gibts im folgenden … [...]

  21. Gepingt von Verschlüsselt Chatten at Datenschutz in Würzburg am 21.09.08 um 12:42

    [...] Verschlüsselung mit Jabber/XMPP und Pidgin (OTR) auf dieser Seite und eine Anleitung zum verschlüsselten Chatten mit ICQ, Jabber mit dem Client Miranda (+OTR) bei Missy. Der Umstieg vom ICQ-Clienten auf Miranda oder Pidgin ist auch ohne Verschlüsselung schon eine Empfehlung wert, da beide Programme den PC (nach eigener Erfahrung) weniger auslasten und vor allem Verbindung zu verschiedensten Protokollen zu lassen: Client ICQ verbindet nur zum Protokoll ICQ, Miranda und Pidgin ermöglichen unter anderem die Verbindung zu XMPP, Yagoo, AIM, Gadu-Gadu, MSN. Also nur ein Programm für viele verschiedene Chat-Protokolle. [...]

  22. [...] Tief im Archiv gehts neu poliert und aufgeräumt weiter. Hätte zufällig jemand neue Windowsscreenshots für mich? [...]

  23. Gepingt von g3rn1.de » Pidgin + OTR + TOR + XMPP/Jabber am 30.07.10 um 1:44

    [...] so ähnlich zu sein. DIY4TW!!!11 Pidgin Homepage Cypherpunks OTR TOR Project CCC Warum Jabber? ICQ-Verschlüsselung mit OTR Wikipeda Jabber // Kategorien: Freeware, Open Source, Plugin, Sicherheit 0 Kommentare Tags: [...]

  24. Gepingt von Anonymität im Internet « Critikers Blog am 17.08.10 um 22:38

    [...] laut entartete-kunst.com, von OTR sind: Verschlüsselung – das Gespräch kann nur von den beiden Teilnehmern gelesen [...]


Ick will mal wat sagen... »»

Datenschutzhinweis

Affinal - related by marriage