Wie (und warum) soll OTR für privates Instant Messaging verwendet werden?
OTR steht für "off the record". Es ist eine Möglichkeit, private Instant Message-Gespräche online zu verschlüsseln. Es verwendet Ende-zu-Ende-Verschlüsselung, sodass Ihr Netzanbieter, die Regierung und sogar der Instant-Messaging-Dienst selbst den Inhalt Ihrer Nachrichten nicht sehen können.
Das Einrichten ist nicht zu schwer, obwohl beide Personen die richtige Software verwenden und einen schnellen Einrichtungsprozess durchlaufen müssen, bevor Ihre Unterhaltungen verschlüsselt werden.
Wie funktioniert OTR?
Wie alle Software ist OTR nicht perfekt. Jede Schwachstelle in libpurple - die in Pidgin und Adium verwendete Mssaging-Bibliothek - oder eine Schwachstelle im OTR-Plug-in selbst kann einem Angreifer die Möglichkeit geben, Ihre sichere Sitzung zu gefährden. Wenn die NSA wirklich nach Ihnen schnüffeln wollte, ist es möglich, dass sie bereits eine Möglichkeit haben, die OTR zu brechen.
OTR kann jedoch mehr als nur die Unterhaltungen vor der NSA verbergen. Es bietet eine zusätzliche Verschlüsselungs- und Authentifizierungsebene über AIM, Google Talk, ICQ, Yahoo! Messenger, MSN Messenger oder jedes andere Protokoll, das Pidgin oder Adium unterstützt. Dies verbirgt das, worüber Sie sprechen, vor dem von Ihnen verwendeten Instant Messaging-Dienst, Ihrem Internetdienstanbieter, Ihrem lokalen Netzbetreiber und - theoretisch - den Geheimdiensten, die Ihre Internetnutzung überwachen.
OTR bietet auch eine Authentifizierung, sodass Sie sicher sein können, dass Sie mit der tatsächlichen Person sprechen. Selbst wenn Ihr Konto gefährdet ist und ein anderer versucht hat, mit Ihrem Bildschirmnamen mit Ihnen zu sprechen, wird ein Fehler angezeigt, da die Verschlüsselungsinformationen nicht übereinstimmen.
Während OTR wahrscheinlich nicht perfekt ist, kann es zusätzliche Privatsphäre bieten, wenn Sie online über sensible Themen sprechen möchten.
OTR einrichten
OTR ist ein Plug-In für den Instant Messenger von Pidgin. Um es verwenden zu können, müssen Sie Pidgin und das Pidgin-OTR-Plug-In installieren. Beide sind für Windows verfügbar und sollten in den Software-Repositorys Ihrer Linux-Distribution enthalten sein. Mac OS X-Benutzer müssen stattdessen Adium verwenden.
Starten Sie nach der Installation Pidgin und richten Sie Ihre Konten ein, falls Sie dies nicht bereits getan haben. Rufen Sie das Menü Tools> Plugins auf und aktivieren Sie das Plug-In Off-the-Record-Messaging.
Klicken Sie auf die Schaltfläche Plugin konfigurieren, um die Optionen anzuzeigen. Wählen Sie das Konto aus, mit dem Sie privat chatten möchten, und klicken Sie auf die Schaltfläche Generieren, um einen privaten Schlüssel für dieses bestimmte Konto zu erstellen. Dieser Schlüssel wird zum Verschlüsseln Ihrer Nachrichten verwendet.
Sie müssen Schlüssel für jedes Konto separat generieren, wenn Sie OTR mit mehreren Konten verwenden möchten.
Wenn für die Person, mit der Sie sprechen möchten, OTR noch nicht eingerichtet ist, muss sie diesen Vorgang auf ihrem eigenen Computer durchführen, um ihre Software einzurichten und einen privaten Schlüssel zu generieren.
Initiieren Sie eine private Konversation
Öffnen Sie dann ein Gesprächsfenster mit der Person, mit der Sie sprechen möchten. Sie sehen eine OTR-Schaltfläche mit der Aufschrift "Nicht privat", wenn eine Unterhaltung nicht mit OTR gesichert ist. Klicken Sie auf die Schaltfläche und wählen Sie Privatgespräch starten, um zu beginnen.
Sie sehen nun eine Nachricht, dass die Sitzung durch Verschlüsselung gesichert ist, Ihr Buddy jedoch noch nicht bestätigt wurde. Wenn dies nicht funktioniert, hat OTR wahrscheinlich nicht die richtige Einstellung und Konfiguration von OTR.
Authentifizieren Sie Ihren Freund
Jetzt möchten Sie Ihren Buddy authentifizieren oder überprüfen. Um diesen Vorgang zu starten, klicken Sie erneut auf die Schaltfläche OTR und wählen Sie Buddy authentifizieren aus.
Wählen Sie Frage und Antwort, Shared Secret oder Manuelle Überprüfung des Fingerabdrucks. Die Idee hier ist, dass Sie überprüfen, dass die Person, mit der Sie verbunden sind, tatsächlich Ihr Kumpel und kein Betrüger ist. Sie könnten sich beispielsweise vorab persönlich treffen und einen geheimen Satz auswählen, den Sie später verwenden, oder eine Frage stellen, die nur sie kennen würden.
Ihr Kumpel wird die Authentifizierungsaufforderung sehen und muss genau die von Ihnen eingegebene Nachricht beantworten. Es wird zwischen Groß- und Kleinschreibung unterschieden.
Sobald die Authentifizierung abgeschlossen ist, ändert sich der Status Ihrer Konversation von Unverified zu Private.
Bekannte wichtige Fingerabdrücke
Das OTR-Plug-In speichert jetzt den Fingerabdruck Ihres Buddys. Wenn Sie sich das nächste Mal mit diesem Buddy verbinden, wird überprüft, ob derselbe Schlüssel verwendet wird, und sie werden automatisch überprüft. Wenn jemand anderes sein Konto kompromittiert und versucht, eine Verbindung mit einem anderen Fingerabdruck herzustellen, wissen Sie davon.
Machen Sie zukünftige Gespräche privat
Das Plug-In sollte jetzt bei jedem Gespräch automatisch ein sicheres Gespräch mit Ihrem Buddy initiieren.
Beachten Sie, dass die erste in jeder Konversation gesendete und empfangene Nachricht unverschlüsselt gesendet wird! Die sichere Konversation wird erst initiiert, nachdem die Nachricht gesendet wurde. Aus diesem Grund ist es eine gute Idee, ein Gespräch mit einer kurzen Begrüßung wie „Hallo“ zu beginnen. Beginnen Sie ein Gespräch nicht mit etwas Sensiblem wie „Protestieren wir an [Ort]“ oder indem Sie ein sensibles Geschäftsgeheimnis preisgeben.
OTR ist für die überwiegende Mehrheit der Gespräche wahrscheinlich nicht erforderlich, bietet jedoch zusätzliche Privatsphäre, wenn Sie über etwas sensibles reden müssen. Es sollte gut genug funktionieren, aber wir sollten wahrscheinlich alle davon ausgehen, dass es irgendwo in Pidgin Sicherheitslücken gibt oder das OTR-Plug-in, das die Geheimdienste nutzen könnten, genau wie alle anderen Softwarekomponenten.
Natürlich ist die Verwendung von OTR immer privater, als im Klartext zu sprechen! (Wenn die NSA nicht anfängt, mehr Aufmerksamkeit auf Sie zu richten, wenn Sie feststellen, dass Sie Verschlüsselungssoftware verwenden, was auch eine Möglichkeit ist.)