PO-13267-Ultimate_Collection-Business_Reality-Ingram_Publishing-Secret_Deal.jpg

Unbeobachtet chatten

Sicheres Instant-Messaging mit Pidgin

14.09.2009 Instant-Messaging-Protokolle wie ICQ und Jabber ersetzen zusehends E-Mail als Medium für schnelle Kommunikation. Wir zeigen, wie Sie Ihre Chats verschlüsseln und damit vertraulich gestalten.

E-Mails sind wie Postkarten – jeder kann sie lesen. Tatsächlich ist eine unverschlüsselte Email für jeden, der physikalischen oder anderweitig geregelten administrativen Zugang zu einem Netzwerkknoten zwischen Ihnen und dem Empfänger hat, im Klartext lesbar. Daraus ergibt sich ein Problem, wenn Sie per Mail vertrauliche Details mit einer anderen Person austauschen möchten, sei es die Korrespondenz mit Ihrem Steuerberater oder die Diskussion mit einem möglichen Geschäftspartner – all diese Details sollten Sie nicht im Klartext über den Äther schicken. E-Mails können Sie gegen die Blicke Dritter glücklicherweise gut schützen: GnuPG macht die Verschlüsselung möglich, und dank simpler Frontends bedeutet es keinen großen Aufwand mehr, verschlüsselte Mails zu versenden [1].

Seit über 20 Jahren gibt es ergänzend zum Mailversand diverse Protokolle für das so genannte Instant-Messaging, also das direkte und unmittelbare Zusenden von Nachrichten, die in Echtzeit beim Empfänger ankommen. Populär sind hier AIM, ICQ, Jabber und nicht zuletzt Skype. Viele dieser IM-Protokolle sind fast so verbreitet wie die Mail. Die Informationen wandern bei der Mehrheit der IM-Dienste wie unverschlüsselte Mails im Klartext durchs Internet. Mehr noch: Wenn Sie einen ICQ-Account nutzen, erlauben Sie AOL laut deren Geschäftsbedingungen, diese Informationen auszuwerten und zu verwenden.

Verschlüsselte IM-Nachrichten

Auch für die gängigen IM-Protokolle gibt es mittlerweile eine Problemlösung: Das so genannte Off-the-Record-Messaging (OTR) [2]. Wenn Sie in Ihrem ICQ-Client einen Text eingeben, verschlüsselt das Programm ihn und schickt diesen verschlüsselten Inhalt zum Client des Gesprächspartners. Der wandelt die Nachricht wieder in den Klartext um und zeigt sie an. Dieses Prinzip funktioniert bei allen IM-Protokollen, für die eine freie Implementierung vorliegt.

Skype fällt damit leider durchs Raster, denn der Hersteller bietet nur Binärdateien und keinen Quellcode des Programms an. Das Programm verschlüsselt die Inhalte zwar ebenfalls, allerdings hat die Sache einen Haken: Sie hebelt das Prinzip, nach dem OTR funktioniert, grundsätzlich aus, denn den Key, mit dem Skype verschlüsselt, kennen Sie nicht, ihn kennt nur der Hersteller der Software.

Normalerweise funktioniert Verschlüsselung so: Beide Teilnehmer eines Chats erstellen sich je einen Schlüssel, der aus zwei Teilen besteht – einem öffentlichen und einem privaten Schlüssel. Den öffentlichen Teil verwenden andere, um Texte so zu verschlüsseln, dass nur derjenige sie entschlüsseln kann, der den passenden Privatschlüssel besitzt.

Hier liegt das Problem der Skype-Verschlüsselung: Der Schlüssel ist in diesem Falle nur dem Hersteller bekannt, denn er ist in Binärform in das Skype-Programm eingearbeitet. Das gesamte OTR-Prinzip läuft in diesem Punkt also ins Leere.

Versuchsaufbau

In diesem Artikel erfahren Sie, wie Sie Pidgin [3] so einrichten, dass Sie ICQ- oder Jabber-Chats verschlüsseln können. Dabei beschäftigt sich ein separater Teil mit der Einrichtung eines Pidgin-Accounts – so können auch Anwender, die bisher z. B. Kopete in KDE benutzt haben, Pidgin verwenden.

Pidgin gibt es auch als Windows-Version, wir beschreiben hier den Einsatz unter Linux und Windows, damit auch Chat-Bekanntschaften, die das Microsoft-Betriebssystem bevorzugen, sicher mit Ihnen chatten können. Der Gtk-basierte IM-Client beherrscht alle gängigen Protokolle wie AIM, Jabber oder ICQ. Mit den entsprechenden Originalanwendungen für ICQ oder AIM können Sie die Verschlüsselungsfunktion nicht nutzen, deshalb beschreiben wir den Umweg über Pidgin. Ähnliches gilt für KDEs Kopete: Die KDE-4-Version ist immer noch eine Dauerbaustelle, so dass hier ein brauchbares OTR-Plug-in (noch) fehlt.

Installation und Einsatz

Der Vorteil von Pidgin ist, dass das Programm allen gängigen, darunter auch den von EasyLinux unterstützten Distributionen beliegt. Sie installieren es (und zusätzlich das Paket pidgin-otr) über das Paketverwaltungsprogramm und rufen es in KDE anschließend auf, indem Sie [Alt]+[F2] drücken und im Schnellstartdialog pidgin eingeben.

Wenn Sie das Programm unter Windows einrichten möchten, öffnen Sie in einem Browser die Windows-Downloadseite [4] und klicken dort auf Download Pidgin. Das Paket enthält einen Standard-Installer, so dass die Einrichtung nach wenigen Mausklicks abgeschlossen ist.

ICQ-Account einrichten

Sie benötigen einen ICQ-Account, wenn Sie in Pidgin via ICQ chatten möchten. Anders als bei der Windows-Version des ICQ-Programms können Sie diesen Account nicht unmittelbar aus Pidgin heraus anlegen. So legen Sie einen Account an, falls Sie noch keinen haben:

Abbildung 1

Abbildung 1: Um mit Pidgin via ICQ zu chatten, benötigen Sie gültige ICQ-Zugangsdaten. Pidgin selbst kann keinen neuen ICQ-Account erstellen.

  1. Öffnen Sie in einem Webbrowser die ICQ-Registrierungsseite [5]. Sie sehen die verschiedenen Felder wie Nickname, E-Mail-Adresse oder das Passwort. Füllen Sie die Pflichtfelder aus, vor denen ein Sternchen zu sehen ist.
  2. Wählen Sie im Abschnitt 2 der Seite eine Sicherheitsabfrage aus und geben Sie darunter die Antwort ein. Diese Daten sind wichtig, falls Sie Ihr ICQ-Passwort vergessen, denn nur damit können Sie auf der ICQ-Website das Passwort zurücksetzen.
  3. Beantworten Sie schließlich die Captcha-Abfrage unter Nummer 3 und klicken Sie unten auf Absenden. Sie gelangen auf eine neue Seite, auf der Ihre ICQ-Nummer angezeigt wird. Notieren Sie sich die ICQ-Nummer und schließen Sie das Browser-Fenster.

Einen Jabber-Account einrichten

Jabber ist eine verhältnismäßig junge Alternative zu ICQ und AIM. Sie unterscheidet sich von den beiden anderen Protokollen dadurch, dass sie ein offener Standard ist. Überdies ist Jabber dezentral organisiert, es hängt also nicht von einem Anbieter alleine ab, ob das gesamte Netzwerk funktioniert oder nicht. Auch Googles Chatdienst Google Talk setzt auf Jabber.

Neue Jabber-Benutzer können sich beispielsweise einen Zugang auf dem Jabber-Server des Chaos Computer Clubs kostenfrei anlegen. Dazu verwenden Sie Pidgin selbst, ein Umweg über eine Website wie bei ICQ entfällt.

Abbildung 2

Abbildung 2: Jabber-Accounts erstellen Sie direkt aus Pidgin heraus, indem Sie den Haken bei "Dieses neue Konto auf dem Server anlegen" setzen.

Accountdaten in Pidgin eintragen

Wenn Sie bereits einen ICQ- oder Jabber-Account haben, halten Sie die entsprechenden Zugangsdaten bereit. Wollen Sie Jabber nutzen, haben aber noch keinen Account, sollten Sie wissen, bei welchem der Jabber-Dienste Sie sich anmelden möchten – im Beispiel verwenden wir den Jabber-Server des Chaos Computer Clubs, jabber.ccc.de.

Einen Zugang konfigurieren Sie in Pidgin wie folgt:

  1. Wählen Sie im Pidgin-Menü den Eintrag Zugänge / Zugänge verwalten.
  2. Klicken Sie auf Hinzufügen und wählen Sie beim Feld Protokoll das passende Protokoll aus – für ICQ den gleichnamigen Eintrag, für Jabber XMPP.
  3. Geben Sie im Falle eines ICQ-Accounts Ihre ICQ-Nummer sowie das Passwort an. Wenn Sie Jabber verwenden und bereits Daten für einen Account haben, tragen Sie diese bei den einzelnen Feldern ein. Möchten Sie einen neuen Zugang auf jabber.ccc.de erstellen, tragen Sie im Feld Benutzername sowie unter Passwort Werte Ihrer Wahl ein, die Domain im Beispiel ist jabber.ccc.de. Zudem setzen Sie einen Haken bei Dieses neue Konto auf dem Server anlegen am unteren Rand des Fensters.
  4. Schließen Sie das Anlegen des Accounts ab, indem Sie auf Ok klicken. Nach diesem Schritt ist beim Feld Aktiviert in der Zugangsübersicht ein Haken gesetzt, und Pidgin meldet Sie mit dem angelegten Account automatisch an. Indem Sie auf Schließen klicken, verlassen Sie den Zugangsmanager und landen wieder im Pidgin-Hauptfenster.

Richtiger Umgang mit Schlüsseln

Beim Umgang mit Schlüsseln anderer Personen sollten Sie sicherstellen, dass sich hinter einem Schlüssel auch tatsächlich die Person verbirgt, die Sie erwarten. Wenn Sie sich ausschließlich darauf verlassen, dass ein Ihnen online geschickter Schlüssel zu einer bestimmten Person passt, dies aber nicht durch verschiedene Maßnahmen absichern, dann könnten Sie Opfer eines Angriffs werden, bei dem sich eine fremde Person als Bekannter, Kollege oder Freund ausgibt. Tauschen Sie darum mit Bekannten auf einem anderen Weg (etwa per Post oder in einem Telefongespräch) die so genannten Fingerabdrücke Ihrer Schlüssel aus – die können Sie später zur Verifizierung verwenden.

Versuchen Sie dann später, mit dieser Person ein OTR-Gespräch zu starten, fragt Pidgin Sie, wie im Artikel beschrieben, ob Sie dem Schlüssel mitsamt dem Fingerabdruck des Gegenübers wirklich vertrauen wollen. Vergleichen Sie den angezeigten Fingerabdruck mit dem von Ihnen notierten. Stimmen beide überein, können Sie sich sicher sein, dass tatsächlich die Person auf der anderen Seite der Verbindung sitzt, die Sie erwarten.

Verschlüsselung aktivieren

Nachdem Sie einen Account in Pidgin eingerichtet haben, müssen Sie die Verschlüsselungsfunktionen des Programms aktivieren. Das geht so:

  1. Wählen Sie in Pidgin den Menüpunkt Werkzeuge / Plugins aus.
  2. Scrollen Sie in der Liste nach unten zum Eintrag Off-the-Record-Messaging und setzen Sie einen Haken in der Checkbox vor dem Namen des Plug-ins (Abbildung 3). Damit ist die OTR-Funktionalität generell aktiviert.

    Abbildung 3

    Abbildung 3: Im Plug-in-Manager von Pidgin aktivieren Sie das OTR-Plugin.

  3. Damit Sie verschlüsselt kommunizieren können, erzeugen Sie für Ihre einzelnen Accounts die Schlüssel: Klicken Sie, während der OTR-Eintrag im Plug-in-Manager ausgewählt ist, unten auf Konfigurieren. Sie sehen in der Konfiguration nun einen Eintrag mit Meine privaten Schlüssel. Wählen Sie im Drop-down-Menü Ihren Account aus und klicken Sie danach auf Generieren. Unter dem Menü erscheint dann der Fingerabdruck Ihres Schlüssels (Abbildung 4). Notieren Sie diesen – andere benötigen ihn, wenn sie mit Ihnen verschlüsselt kommunizieren möchten (siehe Kasten Richtiger Umgang mit Schlüsseln).

    Abbildung 4

    Abbildung 4: Nach dem Erstellen des Schlüssels zeigt Pidgin auch den Fingerabdruck an.

Chat-Sessions verschlüsseln

Durch das Einschalten des OTR-Plug-ins erhält jedes Chatfenster ein paar neue Elemente. Zunächst sehen Sie in der Menüleiste jedes Fensters den Punkt OTR. Überdies finden Sie den gleichen Eintrag auch in der Werkzeugleiste überhalb des Feldes, in dem Sie Text eingeben.

Um eine verschlüsselte Kommunikation mit einer anderen Person zu starten, gehen Sie so vor:

  1. Klicken Sie auf das Feld, in dem Nicht privat steht, und wählen Sie im Menü den Eintrag Private Konversation starten aus. Willigt Ihr Gesprächsteilnehmer ein, findet das Gespräch bereits verschlüsselt statt. Allerdings beschwert Pidgin sich, dass Sie die Gegenseite noch nicht sicher authentifiziert haben (Abbildung 5). Hier geht es also nicht um den Schutz vor fremden Lauschern, sondern um die Sicherheit, dass Sie den richtigen Gesprächspartner haben.

    Abbildung 5

    Abbildung 5: Nachdem alle Schritte abgeschlossen sind, ist Ihr Chat "privat".

  2. Klicken Sie auf OTR und wählen Sie den Eintrag Buddy authentifizieren aus. Wählen Sie dann im Drop-down-Menü den Eintrag Gegenseitige Fingerabdrucks-Überprüfung aus sowie danach im Drop-down-Menü unten auf der Seite den Eintrag Ich habe. Klicken Sie schließlich auf Authentifizieren – der Vorgang ist abgeschlossen, und die Konversation ist ab jetzt privat.

Private Konversation beenden

Wenn Sie oder Ihr Chat-Partner zwischenzeitlich aus dem Chat fliegen, wird Pidgin die verschlüsselte Konversation nicht automatisch abbrechen. Das ist ein Problem, weil Pidgin darauf angewiesen ist, dass beide Seiten die Verschlüsselung durch entsprechende Befehle einleiten. Wenn einer der Teilnehmer seinen Client zwischenzeitlich neu gestartet hat, ist dieser wieder im unverschlüsselten Betrieb – Pidgin weiß mit den übermittelten Daten nichts mehr anzufangen.

Sie lösen das Problem, indem Sie auf den Button mit Privat klicken und dann Private Konversation beenden auswählen. Anschließend können Sie die Verschlüsselung neu starten.

Fazit: IM-Tausendsassa

Pidgin eignet sich hervorragend, um verschlüsselte Chats per ICQ, Jabber, AIM oder über irgendein anderes IM-Protokoll zu führen. Das Programm gibt es für Windows und alle gängigen Linux-Distributionen, für Mac OS steht zudem eine Portierung namens AdiumX zur Verfügung. In Zeiten von Vorratsdatenspeicherung und immer stärker werdenden Eingriffen in die Privatsphäre von Benutzern lohnt es sich allemal, IM-Konversationen zu verschlüsseln.

Glossar

Captcha

Viele Webseiten schützen sich mit der Captcha-Technik davor, dass Programme (anstelle von Personen) sich dort automatisch registrieren und neue Accounts anlegen. Die meisten Captcha-Systeme zeigen einen schwer lesbaren Text an, den (hoffentlich) nur echte Benutzer identifizieren können und dann in ein Textfeld eingeben müssen.

Infos

[1] Artikel zu E-Mail-Verschlüsselung mit Thunderbird und Enigmail: Thomas Leichtenstern, "Safety first!", EasyLinux 08/2006, S. 36 ff., http://www.easylinux.de/2006/08/036-gpg/

[2] Off-the-Record Messaging: http://de.wikipedia.org/wiki/Off-the-Record_Messaging

[3] Pidgin: http://www.pidgin.im/

[4] Download für Windows: http://www.pidgin.im/download/windows/

[5] ICQ-Anmeldung: https://www.icq.com/register/

Tip a friend    Druckansicht beenden Bookmark and Share
Kommentare