ICQ- Verschlüsselung mit OTR
Was ist eigentlich OTR?
OTR heisst "Off the record". Stellt euch ein Gespräch in einem abgeschlossenen Raum vor. Ihr unterhaltet euch mit jemandem, niemand kann mithören, und auch später kann selbst euer Gesprächspartner behaupten, ihr hättet so und so gesagt - ihr könnt trotzdem sagen, nein, ihr habt was anderes gesagt. Aussage gegen Aussage, das Gespräch bleibt juristisch und sonstwie völlig unverwertbar. Das heisst "Off The Record", und das kann man auch im ICQ haben.
Die Grundprinzipien dabei sind:
Verschlüsselung - das Gespräch kann nur von den beiden Teilnehmern gelesen werden
Beglaubigung - man weiß sicher, dass man mit dem spricht, mit dem man auch sprechen wollte.
Abstreitbarkeit - hinterher kann niemand, auch nicht der Gesprächspartner, sicher nachweisen, was tatsächlich geredet wurde
Folgenlosigkeit - auch wenn man seinen Key verliert, der eigene Rechner beschlagnahmt wird usw., ändert sich an den ersten drei Prinzipien nichts.
Dabei ist zu beachten, dass bei aktiviertem Logging Messengergespräche auch bei Einsatz von OTR lokal auf der Platte abgelegt werden und ohne beispielsweise gecryptete Platte/Partition/Container die Logs beispielsweise bei Beschlagnahme durchaus einzusehen sind. (Abhilfe-BSD) (Abhilfe- Windows)
Aber wenn ICQ beispielsweise angibt, ICQ-Gespräche gegebenenfalls mitzuschneiden und bei Anforderung herauszugeben, kann man diese Einschränkung der Privatsphäre via OTR einfach abstellen. ICQ geht es einen Dreck an, was ihr redet - also müssen sie es auch nicht lesen oder loggen.
OTR gibt es als leicht zu installierendes Plugin für Miranda, Gaim, Trillian und Adium. Wer auf die Werbeschleudern AIM/ICQ selbst nicht verzichten will (wenngleich Multiclients wie Miranda bei weitem leistungsfähiger und dazu werbefrei sind), kann auch per lokalem Proxy OTR nutzen.
Besser natürlich die Einbindung in die Multiclients, dann hat man zum einen alle Messengerprotokolle zur Verfügung und braucht sich nicht mit Werbung rumzuärgern.
(Experimenteller Selbstversuch: mit PSI geht nicht. Sollte es lt. readme auch nicht, aber ich muss da immer selbst erstmal gegen die Wand rennen. :o))
Warum Messenger verschlüsseln?
Verschlüsselung ist gut. Was ihr einer bestimmten Person mitteilt, braucht niemand anderes zu wissen. Deswegen verwendet ihr Mails und Messenger und Queries, nicht nur Webseiten und Chatkanäle.
Aber ich habe doch nichts zu verbergen
Doch, hast du! Lies dir mal die ICQ-Nutzungsbestimmungen durch.
Alles, was du über ICQ redest, kann von ICQ beliebig verwendet, verarbeitet und veröffentlicht werden. Wir reden hier nicht vom Herausgeben von Daten an Polizei und Behörden, sondern sie können mit dem Material schlicht machen, was sie wollen. Die Mailadressen herausfiltern und an Spammer verkaufen, Persönlichkeitsprofile erstellen und verkaufen, Geschäftsgeheimnisse und Insiderinformationen belauschen und so weiter.
Zum Vergleich:
Auch das ist eine Formulierung, die vieles erlaubt und auch AIM ohne Verschlüsselung nicht empfehlenswert macht. Aber man erkennt, wieviel dreister ICQ sich hier Rechte des Nutzers aneignet. So eine AGB schreibt man nicht aus versehen, sondern weil man was vorhat.
Abgesehen davon:
Generell nimmt der Überwachungswahn extreme Ausmaße an. Jedes verschlüsselte Paket, das durch eine Internetleitung geht, macht den Schnüfflern das Leben ein wenig schwerer.
Übrigens: einmal gespeicherte Daten neigen zum Gespeichertbleiben.
Was du heute noch nicht verbergen brauchst, solltest du morgen vielleicht schon niemandem mehr laut sagen. Gesetze und Regierungen ändern sich, und dass neben den staatlichen Strafverfolgern gelegentlich auch selbsternannte Ermittler schon heute mehr schnüffeln, als dem Nutzer lieb sein kann, wird sich vermutlich nicht ändern.
Oh, stimmt. Und wenn ich eh schon Miranda statt ICQ nutze?
Es geht um das Protokoll, nicht um deinen Client. Auch Miranda kommuniziert über die Server von ICQ mit anderen ICQ-Nutzern, und dort kann mitgeschniten und verwendet werden, wie es ICQ beliebt. Entweder verschlüsselst du deine Gespräche - dann kann ICQ allenfalls noch loggen, mit wem du redest, aber nicht mehr, was - oder du verwendest beispielsweise Jabber.
(Eine weitere sehr feine, anfängerfreundliche Einleitung zu Jabber vom Tsafor findet sich beim Monty. Ich denk, zu Jabber wird auch hier ab und an noch etwas nachkommen.)
Aber alle meine Freunde verwenden ICQ!
Das kannst du ihnen vielleicht nach und nach abgewöhnen, aber nicht allen sofort auf einmal, das ist klar. Mit einem Multiclient wie Miranda oder Gaim kannst du Jabber und ICQ nutzen, mit einem Verschlüsselungstool wie OTR wiederum kannst du auch mit Nutzern verschlüsselt kommunizieren, die nur einen ICQ-Account haben.
Nur muss man einen der alternativen Clients verwenden. Für den Original-Client von ICQ wurde nie ein Verschlüsselungs-Plugin zur Verfügung gestellt.
Ein Schelm, der böses dabei denkt.
Anhand von Miranda und Gaim zeigen wir euch nun, wie unkompliziert es sein kann, verschlüsselt zu kommunizieren.
Miranda
Miranda ist ein freier Multi-Protokoll-Client für das Betriebssystem Windows (ab 95). Es unterstützt alle gängigen Instant-Messaging-Protokolle, wie z.B. Jabber, ICQ, MSN, YIM, AIM uvm.
Es ist nach der Installation bewusst sehr schlank gehalten. Durch seine ausgefeilte Plugin-Schnittstelle kann Miranda nämlich nahezu beliebig den eigenen Wünschen und Bedürfnissen angepasst werden. Neben weiteren IM-Protokollen, lassen sich u.a. RSS-Feeds abrufen. Die Plugins lassen sich meistens ganz einfach durch kopieren in das Verzeichnis "Plugins" im Miranda-Ordner einbinden.
Es gibt auch vorkonfigurierte Pakete wie zum Beispiel hier, ich persönlich mag sie nicht, der Monty erklärt, warum.
Selbstverständlich unterstützt Miranda auch Jabber, die freie Alternative zu den kommerziell orientierten IM-Systemen. Hierzu ist ein Plugin erforderlich, welches bei der Installation mitgeliefert wird. Ist es nicht (mehr) vorhanden, kann es ganz einfach nachgeladen werden. Die Einstellungen sind sehr simpel. Wenn du noch kein Jabberkonto hast, dann füllst du die Felder Username und Password einfach mit deinen Wunschwerten aus. Das Feld Ressource zeigt dem Server an, von wo du dich einloggst. Dieser Wert kann beliebig gewählt werden. Dann klickst du auf "Register new user". Dann wird auf dem Server, den du unter "Login server" gewählt hast, ein Account für dich angelegt.
Miranda und OTR
Mit OTR steht für Miranda eine Verschlüsselung zur Verfügung, die über alle gängigen Protokolle funktioniert. OTR verschlüsselt per ICQ, MSN, Jabber usw. versendete Nachrichten.
OTR in Miranda zu integrieren, ist denkbar einfach. Man benötigt die otr.dll, bei Miranda steht sie zum Download.
Die Zip-Datei entpackt man in den Plugins-Ordner von Miranda - C:\Programme\Miranda\Plugins, beispielsweise.
Miranda beenden und neu starten.
Unter dem Miranda-M gelangt man über "Options" zur Konfiguration des Kryptografie-Plugins. Notwendig ist eine Nachjustierung in der Regel nicht, die Default-Einstellungen verschlüsseln die Kommunikation, wenn der Gesprächspartner ebenfalls OTR kann.
Zur Erklärung: Unter dem Punkt "Plugins" findet ihr im Options-Baum links "OTR". Angeklickt, zeigt es die Standardeinstellung sowie die Spezialeinstellungen für die einzelnen Messengerkontakte. Standard ist "Opportunistic" - wenn der Partner OTR kann/aktiviert hat, verwendet Miranda OTR. Wenn nicht, dann nicht. Will man mit einer bestimmten Person sicher nur verschlüsselt kommunizieren, kann man die Standardeinstellung "default" hinter dem Nickname auf "always" ändern - dafür nur mit Mausklick auf die Policy hinter dem jeweiligen Nickname durch die verschiedenen Möglichkeiten durchklicken.
Den Beginn einer verschlüsselten Kommunikation zeigt Miranda per Popup-Meldung an - anschließend ist man sicher, dass keine Gespräche mitgehört oder im Klartext auf den Servern von beispielsweise ICQ geloggt werden können. Das Popup kann und soll man per "OK" bestätigen/wegklicken, das zu vergessen ist gelegentlich die Ursache, wenn man im Messengerfenster nicht tippen kann oder der Fehler erscheint:
[OTR Message] The encrypted message received from is unreadable, as you are not currently communicating privately.
Nach dem Bestätigen der OTR-Verbindung schicken die meisten Clients die zuvor unlesbare Meldung nochmals.
(Ich habe bei mir zusätzlich "Prefix secure Messages" angehakt, so steht vor jeder verschlüsselten Nachricht noch zusätzlich (OTR). )
Offizielle Homepage:
http://miranda-im.org/
Inoffizielle deutsche Homepage
Einsteigerhilfen
Gaim
Gaim ist ein freier Multi-Protokoll-Client, welcher sowohl unter Linux als auch unter Windows verwendet werden kann. Unterstützt werden alle gängigen Protokolle wie zum Beispiel ICQ, AIM, Jabber, MSN, Gadu-Gadu, Yahoo. Gaim gibt es in einer stabilen Variante und als Testversion.
Gaim bietet nach der Installation schon so gut wie sämtliche benötigten Funktionen und Einstellungsmöglichkeiten. Durch Plugins lassen sich allerdings noch weitere Funktionen hinzufügen. Diese werden entweder einfach über ein Setup installiert oder in Form einer dll-Datei in das Gaim\plugins-Verzeichnis verschoben.
Gaim und Jabber
Mit Gaim kann man auch über das Jabber-Protokoll kommunizieren. Hierfür muss man einfach im Kontomanager das Konto als Jabber-Konto deklarieren und kann dort seine Verbindungsdaten eingeben.
Gaim und OTR
Gaim bietet über ein Plugin die Möglichkeit, die sichere Verschlüsselung von Off-the-Record zu verwenden. Dieses kann man einfach hier unter "OTR plugin for gaim" für die entsprechende Linux-Distribution oder für Windows herunterladen. Das Einbinden des Plugins in die aktuelle Gaim2 Beta3 Testversion funktioniert anscheinend leider noch nicht richtig. Nach einem Neustart Gaims sollte man das Plugin dann in den Einstellungen unter "Plugins" mit einem Häckchen unter "Laden" aktivieren können. Theoretisch sind nun, um die Verschlüsselung von OTR zu nutzen, keine weiteren Einstellungen nötig. Praktisch gesehen sollte man sich aber noch einen Fingerprint erstellen.
Unter "Config" kann man sich nun seinen eigenen Fingerprint erstellen, damit die anderen Kontakte sichergehen können, dass sie mit dir und keinem anderen sprechen. Hierfür muss man einfach unter "Key for account" den gewünschten Accound auswählen und mit "Generate" einen Fingerprint generieren. Dies macht man am besten nacheinander für alle Accounts.
Wenn man nun sein Chatfenster öffnet, findet sich ein neuer Button:
Klickt man diesen, werden die, so auf der anderen Seite denn verfügbar, Schlüssel getauscht:
Attempting to start a private conversation with missi@jabberme.net...
Unverified conversation with missi@jabberme.net/home started.
Von nun an chattet ihr verschlüsselt:
Auf der anderen Seite siehts so aus:
Wie immer also.
Die erste Verbindung ist stets eine unverifizierte.
Unter "Known fingerprints" in den Gaimeinstellungen kann man sehen, von wem man schon einen "fingerprint" erhalten hat. Diese Fingerprints sind dafür da, um sicherzugehen, dass man auch mit demjenigen spricht, mit dem man sprechen wollte. Siehe dazu das zweite Grundprinzip von OTR.
Mit "Verify fingerprint" kann den Fingerprint als verifiziert markieren, wenn man auf anderem Wege (Telefon, Email ...) sichergegangen ist, dass dieser Fingerprint zu der Person gehört.
Drückt man anschließend noch einmal im Chatfenster auf den niegelnagelneuen Button, wird die Verbindung, wie man oben auf dem Screenshot bereits sehen konnte, refresht und als verifiziert angezeigt.
Und das wars dann auch schon. Nicht schwer und tat nicht weh. :o)
Noch ein paar Worte zu obrigen Text:
Diesen gab es schon einmal im Zuge eines kollaborierenden Projektes, welches vom dortigen Serveradmin, ich sag mal "etwas stiefmütterlich" behandelt wurde. Man könnte auch einfach sagen, er hats gelöscht. Teile dessen habe ich gerade aus Backup und Cache restauriert, große Teile des Textes stammen von Korrupt, den ich an dieser Stelle dafür danken möchte. Die Screenshots unter BSD stammen vom Oli. (wem sonst? :o) ) Ebenso geht ein dickes Danke fürs Zusammenarbeiten damals an Monty. Vielleicht mag er sich ja nochmal der Jabbergeschichte annehmen. 
(Und ausserdem Danke an Angelo Badalamenti, Trent Reznor, Muse und Daft Punk, die mir während ich hier schrieb, feines Zeux in die Ohren spielten.)
Downloads:
OTR-Plugin - Miranda
OTR-Plugin - Trillian
OTR-Plugin - Gaim und OTR- Proxy auf der offiziellen Homepage
Copyright © 2004-2007
Dieser Feed ist nur für den persönlichen, nicht gewerblichen Gebrauch bestimmt. Eine Verwendung dieses Feeds auf anderen Webseiten verstößt gegen das Urheberrecht. Wenn du diesen Inhalt nicht in deinem News-Reader liest, so macht sich die Site, die du gerade betrachtest, der Urheberrechtsverletzung schuldig. In diesem Falle gib mir bitte unter contentklau@entartete-kunst.com bescheid. Danke. :) (digitalfingerprint:2f35736afa2a033e737922257fff8605)
18 Comments
At 9/14/2006, oli wrote:
Klasse Artikel. Obwohl ich GPG bei der Messenger Verschlüsselung den Vorzug gebe, da weiter verbreitet, muß ich doch sagen das OTR insgesamt leichter eingerichtet ist.
At 9/14/2006, Flo wrote:
Auch von meiner Seite ein herzliches Dankeschön, auch für die anderen Berichte über Verschlüsselung uä auf anderen Ebenen.
Ich wollte schon lange eine Seite machen, die mal all das zusammenfasst, aber irgendwie komm ich nicht dazu. Gerade für Einsteiger und Leutz, die noch nie gro?artig was mit Computern zu tun hatten, braucht es mehr Hinweise und Erklärungen, wie Sicherheit in der EDV und Kommunikation umzusetzen ist.
Zum GPG: Wir hattens zum Beispiel mit Miranda und dem kaputten GPG- Plugin zum einen und zum anderen (ohne, dass da jetzt nen bash von dir kommt, Oli :p) kenn ich gerade keinen einzigen Messenger, der das ICQ- Protokoll via GPG verschlüsselt. Wenn da wer mehr weiß als ich: Her damit. :)
At 9/14/2006, oli wrote:
Liebe Missi, da bashe ich doch nicht :p - ich will ja die Leute gerade zu Jabber prügeln, da gebe ich ihnen nicht noch Gründe für das Verbleiben dort ;)
Mal davon abgesehen, ist Gaim, in der *nix Welt, der einzige IM, der das kann. Und ich glaube da gibts ein paar Leute mehr, die sich auch über OS Grenzen hinweg unterhalten. Gelle? ;)
Insofern wollte ich ja nur mal die Warnung hochhalten, die Insel wird noch kleiner mit OTR :D
Gugg mal, Oli... oben stehts:
Aber alle meine Freunde verwenden ICQ!
Das kannst du ihnen vielleicht nach und nach abgewöhnen, aber nicht allen sofort auf einmal, das ist klar.
Und weil das eben so ist, und wenn du mal ganz realistisch hinguggst, es wird immer so sein, es sei denn, man hypte Jabber nun auch dermaßen extrem, gib ihnen wenigstens ein Werkzeug in die Hand, mit denen sie trotzdem arbeiten können.
Dieser Punkt da oben ist nun mal Grund Nummer 1, warum alle Welt ICQ/AIM nutzt.
(Und mal abgesehen davon macht der Gedanke zu wissen, dass man da gerade wem die Datenbank zumüllt mit wirren Zeichenketten, Spaß. :D )
At 9/21/2006, Teuchtlurm wrote:
Schön ausführliche Anleitung zum Thema, prima. Habe mir erlaubt sie auf der Kryptoseite zu verlinken.
@Flo: Evtl. ist ja die Kryptoseite so was, was du dir vorstellst?
Teuchtlurm
Teuchtlurm, das Gulliwiki kannst da wieder rauswerfen, das gibts nicht mehr. Der Text hier oben ist der Mirror dazu. :)
At 9/21/2006, Teuchtlurm wrote:
Oh, Schade das mit dem Gulli Wiki :( Deshalb kam mir der Text so bekannt vor ;)
Für Miranda gibt's übrigens ein GPG-Plugin, das m.W. auch ICQ unterstützt, aber ich muss mich diesbezgl. nochmal schlau machen. Wird aber wohl auch nicht weiterentwickelt. Miranda mit Jabber bzw. ICQ und OTR scheint zur Zeit das sinnvollste System zum sicheren Messaging zu sein - und das dürften selbst TeuMs (technisch eher unversierte Menschen) beherrschen...
Teuchtlurm
Das GPG- Plugin geht leider nur von Miranda zu Miranda und verfehlt damit Sinn und Zweck. Es geht auch nicht auf allen Mirandas, nur den älteren, die neuen crashen.
> Vielleicht mag er sich ja nochmal der Jabbergeschichte annehmen.
Kann ich gerne mal machen. Im Moment passt es nur leider zeitlich nicht so gut ;). Aber die Zeit dafür wird sich schon finden :).
Sehr schöner Artikel, übrigens!
At 10/9/2006, netzpolitik.org: » Instant-Messaging Verschlüsselung » Aktuelle Berichterstattung rund um die politischen Themen der Informationsgesellschaft. wrote:
[...] OTR wird zusätzlich von Adium X (Mac OS X) direkt und von Trillian und Mirande über Plugins unterstützt. Zudem kann man allen Messengern OTR über einen lokalen Proxy aufzwängen. Netter Link: http://www.entartete-kunst.com/icq-verschluesselung-mit-otr/ [...]
At 10/26/2006, Flo wrote:
Wollte nur nochmal anmerken, daß ich das eine endsgeile Anleitung zum Verschlüsseln mit Miranda oder GAIM unter Verwendung von OTR für das ICQ-Protokoll OSCAR finde. (bißchen Buzzwords schreiben). War eh lustig. Bei Google "OTR ICQ Miranda" eingegeben => erster Treffer: Die Missi.
So, bin jetzt also auch dabei und hab gleich noch einen davon überzeugt. Fein. :) Hat ja bei mir nur eineinhalb Monate gedauert, bis ich mich durchgerungen hab, aber das geht ja echt ohne Probleme zu installieren! Danke nochmal.
At 11/18/2006, Markus wrote:
Klasse Seite! Da wollt ich einem Kumpel mal eine kurze Erklährtung zu OTR schicken und da finde ich deinen Blog. Fix in mein del.icio.us. Das muss man sich merken!
At 12/10/2006, floyd wrote:
Mittlerweile gibt es eine neue Version des GnuPG-Plugins für Miranda.
Für die Miranda ANSI Variante funktioniert es auch zu Jabberclients, allerdings nur, wenn man auf Umlaute verzichtet. In der UTF-Variante geht es leider gar nicht.
Habe auf meinem blog was dazu geschrieben, gibt allerdings gerade ein Problem mit der Dtenbank ;-)
Hier der Link zum neuen Plugin:
http://addons.miranda-im.org/details.php?action=viewfile&id=3108
At 1/16/2007, D4yLightblog » AGB wrote:
[...] Einen Interessanten Link hierzu hat mir Andi geschickt. Auch wenn ich mich lange dagegen gewehrt hab: Vielleicht sollte ich doch mal Umsteigen auf ein All-In-One Programm, anstatt ICQ und MSN parallel zu benutzen…. Posted by DayLight | [...]
Ich bin jetzt erst zum testen gekommen, floyd. Unter Jabber von Miranda auf Psi (und andersrum) bekomm ichs immer noch nicht zum laufen.
At 2/5/2007, Becksmann wrote:
Hi,
Ihr hab das ja schön zusammengetragen. Ja, leider ist alles inkompatibel und und und. GPG wäre echt toll. Naja, mal abwarten, was sich da tut ;).
Gruß Becksmann
Inkompatibel inwiefern?
