links for 2006-09-13
Hybsches, kleines Tool: Launchy

ICQ- Verschlüsselung mit OTR

Was ist eigentlich OTR?

OTR heisst "Off the record". Stellt euch ein Gespräch in einem abgeschlossenen Raum vor. Ihr unterhaltet euch mit jemandem, niemand kann mithören, und auch später kann selbst euer Gesprächspartner behaupten, ihr hättet so und so gesagt - ihr könnt trotzdem sagen, nein, ihr habt was anderes gesagt. Aussage gegen Aussage, das Gespräch bleibt juristisch und sonstwie völlig unverwertbar. Das heisst "Off The Record", und das kann man auch im ICQ haben.

Die Grundprinzipien dabei sind:

Verschlüsselung - das Gespräch kann nur von den beiden Teilnehmern gelesen werden

Beglaubigung - man weiß sicher, dass man mit dem spricht, mit dem man auch sprechen wollte.

Abstreitbarkeit - hinterher kann niemand, auch nicht der Gesprächspartner, sicher nachweisen, was tatsächlich geredet wurde

Folgenlosigkeit - auch wenn man seinen Key verliert, der eigene Rechner beschlagnahmt wird usw., ändert sich an den ersten drei Prinzipien nichts.

Dabei ist zu beachten, dass bei aktiviertem Logging Messengergespräche auch bei Einsatz von OTR lokal auf der Platte abgelegt werden und ohne beispielsweise gecryptete Platte/Partition/Container die Logs beispielsweise bei Beschlagnahme durchaus einzusehen sind. (Abhilfe) (Anleitung)

Aber wenn ICQ beispielsweise angibt, ICQ-Gespräche gegebenenfalls mitzuschneiden und bei Anforderung herauszugeben, kann man diese Einschränkung der Privatsphäre via OTR einfach abstellen. ICQ geht es einen Dreck an, was ihr redet - also müssen sie es auch nicht lesen oder loggen.

OTR gibt es als leicht zu installierendes Plugin für Miranda, Gaim, Trillian und Adium. Wer auf die Werbeschleudern AIM/ICQ selbst nicht verzichten will (wenngleich Multiclients wie Miranda bei weitem leistungsfähiger und dazu werbefrei sind), kann auch per lokalem Proxy OTR nutzen.
Besser natürlich die Einbindung in die Multiclients, dann hat man zum einen alle Messengerprotokolle zur Verfügung und braucht sich nicht mit Werbung rumzuärgern.
(Experimenteller Selbstversuch: mit PSI geht nicht. Sollte es lt. readme auch nicht, aber ich muss da immer selbst erstmal gegen die Wand rennen. :o))

Warum Messenger verschlüsseln?

Verschlüsselung ist gut. Was ihr einer bestimmten Person mitteilt, braucht niemand anderes zu wissen. Deswegen verwendet ihr Mails und Messenger und Queries, nicht nur Webseiten und Chatkanäle.

Aber ich habe doch nichts zu verbergen

Doch, hast du! Lies dir mal die ICQ-Nutzungsbestimmungen durch.

"Du stimmst zu, dass du für sämtliches Material und Information, das du in ICQ-Dienste eingibst, dein Copyright aufgibst und jedes andere Besitzrecht an Material oder Information. Du stimmst weiterhin zu, dass ICQ Inc. berechtig ist, nach eigenem Ermessen sämtliches Material oder Information in der Weise verwendet, wie sie es für angebracht hält, einbegriffen, aber nicht beschränkt auf Verbreitung und Publikation."

Alles, was du über ICQ redest, kann von ICQ beliebig verwendet, verarbeitet und veröffentlicht werden. Wir reden hier nicht vom Herausgeben von Daten an Polizei und Behörden, sondern sie können mit dem Material schlicht machen, was sie wollen. Die Mailadressen herausfiltern und an Spammer verkaufen, Persönlichkeitsprofile erstellen und verkaufen, Geschäftsgeheimnisse und Insiderinformationen belauschen und so weiter.

Zum Vergleich:

AOLs AIM kündigt in den AGB an, Gesprächsinhalte herauszugeben im Rahmen "juristischer Verfahren (beispielsweise gerichtliche Anordnung, Durchsuchungsbefehl oder Nebenklage) oder unter anderen Umständen, in denen AOL annimmt, dass AIM oder AOL für ungesetzliche Zwecke genutzt werden."

Auch das ist eine Formulierung, die vieles erlaubt und auch AIM ohne Verschlüsselung nicht empfehlenswert macht. Aber man erkennt, wieviel dreister ICQ sich hier Rechte des Nutzers aneignet. So eine AGB schreibt man nicht aus versehen, sondern weil man was vorhat.

Abgesehen davon:
Generell nimmt der Überwachungswahn extreme Ausmaße an. Jedes verschlüsselte Paket, das durch eine Internetleitung geht, macht den Schnüfflern das Leben ein wenig schwerer.
Übrigens: einmal gespeicherte Daten neigen zum Gespeichertbleiben.
Was du heute noch nicht verbergen brauchst, solltest du morgen vielleicht schon niemandem mehr laut sagen. Gesetze und Regierungen ändern sich, und dass neben den staatlichen Strafverfolgern gelegentlich auch selbsternannte Ermittler schon heute mehr schnüffeln, als dem Nutzer lieb sein kann, wird sich vermutlich nicht ändern.

Oh, stimmt. Und wenn ich eh schon Miranda statt ICQ nutze?

Es geht um das Protokoll, nicht um deinen Client. Auch Miranda kommuniziert über die Server von ICQ mit anderen ICQ-Nutzern, und dort kann mitgeschniten und verwendet werden, wie es ICQ beliebt. Entweder verschlüsselst du deine Gespräche - dann kann ICQ allenfalls noch loggen, mit wem du redest, aber nicht mehr, was - oder du verwendest beispielsweise Jabber.

Aber alle meine Freunde verwenden ICQ!

Das kannst du ihnen vielleicht nach und nach abgewöhnen, aber nicht allen sofort auf einmal, das ist klar. Mit einem Multiclient wie Miranda oder Gaim kannst du Jabber und ICQ nutzen, mit einem Verschlüsselungstool wie OTR wiederum kannst du auch mit Nutzern verschlüsselt kommunizieren, die nur einen ICQ-Account haben.
Nur muss man einen der alternativen Clients verwenden. Für den Original-Client von ICQ wurde nie ein Verschlüsselungs-Plugin zur Verfügung gestellt.
Ein Schelm, der böses dabei denkt.

Anhand von Miranda und Gaim zeigen wir euch nun, wie unkompliziert es sein kann, verschlüsselt zu kommunizieren.

Miranda

Miranda ist ein freier Multi-Protokoll-Client für das Betriebssystem Windows (ab 95). Es unterstützt alle gängigen Instant-Messaging-Protokolle, wie z.B. Jabber, ICQ, MSN, YIM, AIM uvm.
Es ist nach der Installation bewusst sehr schlank gehalten. Durch seine ausgefeilte Plugin-Schnittstelle kann Miranda nämlich nahezu beliebig den eigenen Wünschen und Bedürfnissen angepasst werden. Neben weiteren IM-Protokollen, lassen sich u.a. RSS-Feeds abrufen. Die Plugins lassen sich meistens ganz einfach durch kopieren in das Verzeichnis "Plugins" im Miranda-Ordner einbinden.
Es gibt auch vorkonfigurierte Pakete wie zum Beispiel hier, ich persönlich mag sie nicht, der Monty erklärt, warum.
Selbstverständlich unterstützt Miranda auch Jabber, die freie Alternative zu den kommerziell orientierten IM-Systemen. Hierzu ist ein Plugin erforderlich, welches bei der Installation mitgeliefert wird. Ist es nicht (mehr) vorhanden, kann es ganz einfach nachgeladen werden. Die Einstellungen sind sehr simpel. Wenn du noch kein Jabberkonto hast, dann füllst du die Felder Username und Password einfach mit deinen Wunschwerten aus. Das Feld Ressource zeigt dem Server an, von wo du dich einloggst. Dieser Wert kann beliebig gewählt werden. Dann klickst du auf "Register new user". Dann wird auf dem Server, den du unter "Login server" gewählt hast, ein Account für dich angelegt.

jabber auf miranda

Miranda und OTR

Mit OTR steht für Miranda eine Verschlüsselung zur Verfügung, die über alle gängigen Protokolle funktioniert. OTR verschlüsselt per ICQ, MSN, Jabber usw. versendete Nachrichten.

OTR in Miranda zu integrieren, ist denkbar einfach. Man benötigt die otr.dll, bei Miranda steht sie zum Download.
Die Zip-Datei entpackt man in den Plugins-Ordner von Miranda - C:\Programme\Miranda\Plugins, beispielsweise.
Miranda beenden und neu starten.

Unter dem Miranda-M gelangt man über "Options" zur Konfiguration des Kryptografie-Plugins. Notwendig ist eine Nachjustierung in der Regel nicht, die Default-Einstellungen verschlüsseln die Kommunikation, wenn der Gesprächspartner ebenfalls OTR kann.

OTR Einstellungen im Miranda

Zur Erklärung: Unter dem Punkt "Plugins" findet ihr im Options-Baum links "OTR". Angeklickt, zeigt es die Standardeinstellung sowie die Spezialeinstellungen für die einzelnen Messengerkontakte. Standard ist "Opportunistic" - wenn der Partner OTR kann/aktiviert hat, verwendet Miranda OTR. Wenn nicht, dann nicht. Will man mit einer bestimmten Person sicher nur verschlüsselt kommunizieren, kann man die Standardeinstellung "default" hinter dem Nickname auf "always" ändern - dafür nur mit Mausklick auf die Policy hinter dem jeweiligen Nickname durch die verschiedenen Möglichkeiten durchklicken.

Den Beginn einer verschlüsselten Kommunikation zeigt Miranda per Popup-Meldung an - anschließend ist man sicher, dass keine Gespräche mitgehört oder im Klartext auf den Servern von beispielsweise ICQ geloggt werden können. Das Popup kann und soll man per "OK" bestätigen/wegklicken, das zu vergessen ist gelegentlich die Ursache, wenn man im Messengerfenster nicht tippen kann oder der Fehler erscheint:

[OTR Message] The encrypted message received from is unreadable, as you are not currently communicating privately.

OTR- Popup

Nach dem Bestätigen der OTR-Verbindung schicken die meisten Clients die zuvor unlesbare Meldung nochmals.
(Ich habe bei mir zusätzlich "Prefix secure Messages" angehakt, so steht vor jeder verschlüsselten Nachricht noch zusätzlich (OTR). )

Offizielle Homepage:
http://miranda-im.org/
Inoffizielle deutsche Homepage
Einsteigerhilfen

Gaim

Gaim ist ein freier Multi-Protokoll-Client, welcher sowohl unter Linux als auch unter Windows verwendet werden kann. Unterstützt werden alle gängigen Protokolle wie zum Beispiel ICQ, AIM, Jabber, MSN, Gadu-Gadu, Yahoo. Gaim gibt es in einer stabilen Variante und als Testversion.

Gaim bietet nach der Installation schon so gut wie sämtliche benötigten Funktionen und Einstellungsmöglichkeiten. Durch Plugins lassen sich allerdings noch weitere Funktionen hinzufügen. Diese werden entweder einfach über ein Setup installiert oder in Form einer dll-Datei in das Gaim\plugins-Verzeichnis verschoben.

Gaim und Jabber

Mit Gaim kann man auch über das Jabber-Protokoll kommunizieren. Hierfür muss man einfach im Kontomanager das Konto als Jabber-Konto deklarieren und kann dort seine Verbindungsdaten eingeben.

Gaim und OTR

Gaim bietet über ein Plugin die Möglichkeit, die sichere Verschlüsselung von Off-the-Record zu verwenden. Dieses kann man einfach hier unter "OTR plugin for gaim" für die entsprechende Linux-Distribution oder für Windows herunterladen. Das Einbinden des Plugins in die aktuelle Gaim2 Beta3 Testversion funktioniert anscheinend leider noch nicht richtig. Nach einem Neustart Gaims sollte man das Plugin dann in den Einstellungen unter "Plugins" mit einem Häckchen unter "Laden" aktivieren können. Theoretisch sind nun, um die Verschlüsselung von OTR zu nutzen, keine weiteren Einstellungen nötig. Praktisch gesehen sollte man sich aber noch einen Fingerprint erstellen.

Gaim OTR Einstellungen, hier unter BSD

Unter "Config" kann man sich nun seinen eigenen Fingerprint erstellen, damit die anderen Kontakte sichergehen können, dass sie mit dir und keinem anderen sprechen. Hierfür muss man einfach unter "Key for account" den gewünschten Accound auswählen und mit "Generate" einen Fingerprint generieren. Dies macht man am besten nacheinander für alle Accounts.

Wenn man nun sein Chatfenster öffnet, findet sich ein neuer Button:

Gaim OTR- Button

Klickt man diesen, werden die, so auf der anderen Seite denn verfügbar, Schlüssel getauscht:

Attempting to start a private conversation with missi@jabberme.net...

Schluesseltausch unter Gaim

Unverified conversation with missi@jabberme.net/home started.

Von nun an chattet ihr verschlüsselt:

OTR- Verschlüsselte Kommunikation

Auf der anderen Seite siehts so aus:

OTR- Miranda

Wie immer also.
Die erste Verbindung ist stets eine unverifizierte.

Unter "Known fingerprints" in den Gaimeinstellungen kann man sehen, von wem man schon einen "fingerprint" erhalten hat. Diese Fingerprints sind dafür da, um sicherzugehen, dass man auch mit demjenigen spricht, mit dem man sprechen wollte. Siehe dazu das zweite Grundprinzip von OTR.

Gaim OTR- Keys

Mit "Verify fingerprint" kann den Fingerprint als verifiziert markieren, wenn man auf anderem Wege (Telefon, Email ...) sichergegangen ist, dass dieser Fingerprint zu der Person gehört.

Keyverifizierung unter Gaim

Drückt man anschließend noch einmal im Chatfenster auf den niegelnagelneuen Button, wird die Verbindung, wie man oben auf dem Screenshot bereits sehen konnte, refresht und als verifiziert angezeigt.

Und das wars dann auch schon. Nicht schwer und tat nicht weh. :o)

Noch ein paar Worte zu obrigen Text:
Diesen gab es schon einmal im Zuge eines kollaborierenden Projektes, welches vom dortigen Serveradmin, ich sag mal "etwas stiefmütterlich" behandelt wurde. Man könnte auch einfach sagen, er hats gelöscht. Teile dessen habe ich gerade aus Backup und Cache restauriert, große Teile des Textes stammen von Korrupt, den ich an dieser Stelle dafür danken möchte. Die Screenshots unter BSD stammen vom Oli. (wem sonst? :o) ) Ebenso geht ein dickes Danke fürs Zusammenarbeiten damals an Monty. Vielleicht mag er sich ja nochmal der Jabbergeschichte annehmen. ;)
(Und ausserdem Danke an Angelo Badalamenti, Trent Reznor, Muse und Daft Punk, die mir während ich hier schrieb, feines Zeux in die Ohren spielten.)

Downloads:

OTR-Plugin - Miranda
OTR-Plugin - Trillian
OTR-Plugin - Gaim und OTR- Proxy auf der offiziellen Homepage

Creative Commons License

Von missi | 14.09.06- 5:15 | Träckbäck | Kommentarfeed | Ironiedetektor

· Del.icio.us · Stumble it! · Mr Wong · Wer linkt hier her? ·

Gespeichert unter:

, , ,

Schon gelesen?

· missi hostet von nun an meine Jabber FAQ · Jabber CCC zieht um · mailx -u missiblog

Da wurde 62 x wat jesacht zu “ICQ- Verschlüsselung mit OTR” »»

  1. oli
    Getippselt von oli am 14.09.06 um 9:24

    Klasse Artikel. Obwohl ich GPG bei der Messenger Verschlüsselung den Vorzug gebe, da weiter verbreitet, muß ich doch sagen das OTR insgesamt leichter eingerichtet ist.

  2. Flo
    Getippselt von Flo am 14.09.06 um 16:46

    Auch von meiner Seite ein herzliches Dankeschön, auch für die anderen Berichte über Verschlüsselung uä auf anderen Ebenen.

    Ich wollte schon lange eine Seite machen, die mal all das zusammenfasst, aber irgendwie komm ich nicht dazu. Gerade für Einsteiger und Leutz, die noch nie gro?artig was mit Computern zu tun hatten, braucht es mehr Hinweise und Erklärungen, wie Sicherheit in der EDV und Kommunikation umzusetzen ist.

  3. missi
    Getippselt von missi am 14.09.06 um 19:01

    Zum GPG: Wir hattens zum Beispiel mit Miranda und dem kaputten GPG- Plugin zum einen und zum anderen (ohne, dass da jetzt nen bash von dir kommt, Oli :p) kenn ich gerade keinen einzigen Messenger, der das ICQ- Protokoll via GPG verschlüsselt. Wenn da wer mehr weiß als ich: Her damit. :)

  4. oli
    Getippselt von oli am 14.09.06 um 19:42

    Liebe Missi, da bashe ich doch nicht :p - ich will ja die Leute gerade zu Jabber prügeln, da gebe ich ihnen nicht noch Gründe für das Verbleiben dort ;)

    Mal davon abgesehen, ist Gaim, in der *nix Welt, der einzige IM, der das kann. Und ich glaube da gibts ein paar Leute mehr, die sich auch über OS Grenzen hinweg unterhalten. Gelle? ;)
    Insofern wollte ich ja nur mal die Warnung hochhalten, die Insel wird noch kleiner mit OTR :D

  5. missi
    Getippselt von missi am 14.09.06 um 19:50

    Gugg mal, Oli... oben stehts:

    Aber alle meine Freunde verwenden ICQ!

    Das kannst du ihnen vielleicht nach und nach abgewöhnen, aber nicht allen sofort auf einmal, das ist klar.

    Und weil das eben so ist, und wenn du mal ganz realistisch hinguggst, es wird immer so sein, es sei denn, man hypte Jabber nun auch dermaßen extrem, gib ihnen wenigstens ein Werkzeug in die Hand, mit denen sie trotzdem arbeiten können.

    Dieser Punkt da oben ist nun mal Grund Nummer 1, warum alle Welt ICQ/AIM nutzt.

    (Und mal abgesehen davon macht der Gedanke zu wissen, dass man da gerade wem die Datenbank zumüllt mit wirren Zeichenketten, Spaß. :D )

  6. Teuchtlurm
    Getippselt von Teuchtlurm am 21.09.06 um 12:06

    Schön ausführliche Anleitung zum Thema, prima. Habe mir erlaubt sie auf der Kryptoseite zu verlinken.

    @Flo: Evtl. ist ja die Kryptoseite so was, was du dir vorstellst?

    Teuchtlurm

  7. missi
    Getippselt von missi am 21.09.06 um 14:20

    Teuchtlurm, das Gulliwiki kannst da wieder rauswerfen, das gibts nicht mehr. Der Text hier oben ist der Mirror dazu. :)

  8. Teuchtlurm
    Getippselt von Teuchtlurm am 21.09.06 um 17:07

    Oh, Schade das mit dem Gulli Wiki :( Deshalb kam mir der Text so bekannt vor ;)

    Für Miranda gibt's übrigens ein GPG-Plugin, das m.W. auch ICQ unterstützt, aber ich muss mich diesbezgl. nochmal schlau machen. Wird aber wohl auch nicht weiterentwickelt. Miranda mit Jabber bzw. ICQ und OTR scheint zur Zeit das sinnvollste System zum sicheren Messaging zu sein - und das dürften selbst TeuMs (technisch eher unversierte Menschen) beherrschen...

    Teuchtlurm

  9. missi
    Getippselt von missi am 21.09.06 um 19:08

    Das GPG- Plugin geht leider nur von Miranda zu Miranda und verfehlt damit Sinn und Zweck. Es geht auch nicht auf allen Mirandas, nur den älteren, die neuen crashen.

  10. \ style= Monty
    Getippselt von Monty am 24.09.06 um 14:03

    > Vielleicht mag er sich ja nochmal der Jabbergeschichte annehmen.
    Kann ich gerne mal machen. Im Moment passt es nur leider zeitlich nicht so gut ;) . Aber die Zeit dafür wird sich schon finden :) .

    Sehr schöner Artikel, übrigens!

  11. Flo
    Getippselt von Flo am 26.10.06 um 22:52

    Wollte nur nochmal anmerken, daß ich das eine endsgeile Anleitung zum Verschlüsseln mit Miranda oder GAIM unter Verwendung von OTR für das ICQ-Protokoll OSCAR finde. (bißchen Buzzwords schreiben). War eh lustig. Bei Google "OTR ICQ Miranda" eingegeben => erster Treffer: Die Missi.

    So, bin jetzt also auch dabei und hab gleich noch einen davon überzeugt. Fein. :) Hat ja bei mir nur eineinhalb Monate gedauert, bis ich mich durchgerungen hab, aber das geht ja echt ohne Probleme zu installieren! Danke nochmal.

  12. Markus
    Getippselt von Markus am 18.11.06 um 0:51

    Klasse Seite! Da wollt ich einem Kumpel mal eine kurze Erklährtung zu OTR schicken und da finde ich deinen Blog. Fix in mein del.icio.us. Das muss man sich merken!

  13. floyd
    Getippselt von floyd am 10.12.06 um 17:50

    Mittlerweile gibt es eine neue Version des GnuPG-Plugins für Miranda.

    Für die Miranda ANSI Variante funktioniert es auch zu Jabberclients, allerdings nur, wenn man auf Umlaute verzichtet. In der UTF-Variante geht es leider gar nicht.

    Habe auf meinem blog was dazu geschrieben, gibt allerdings gerade ein Problem mit der Dtenbank ;-)

    Hier der Link zum neuen Plugin:
    http://addons.mirand...viewfile&id=3108

  14. missi
    Getippselt von missi am 18.01.07 um 16:29

    Ich bin jetzt erst zum testen gekommen, floyd. Unter Jabber von Miranda auf Psi (und andersrum) bekomm ichs immer noch nicht zum laufen.

  15. Becksmann
    Getippselt von Becksmann am 05.02.07 um 20:05

    Hi,
    Ihr hab das ja schön zusammengetragen. Ja, leider ist alles inkompatibel und und und. GPG wäre echt toll. Naja, mal abwarten, was sich da tut ;) .
    Gruß Becksmann

  16. missi
    Getippselt von missi am 05.02.07 um 20:08

    Inkompatibel inwiefern?

  17. Der Doofe
    Getippselt von Der Doofe am 20.02.07 um 22:42

    Noch mal für doofe bitte: Was muss man auf der download seite von OTR downloaden wenn man ICQ verschlüsseln will?
    Danköö

    Der Doofe

  18. missi
    Getippselt von missi am 21.02.07 um 15:18

    Welchen ICQ- Clienten nutzt du denn?

  19. Der Doofe
    Getippselt von Der Doofe am 21.02.07 um 19:57

    Ich benutze ICQ 5.1 .

  20. missi
    Getippselt von missi am 21.02.07 um 20:06

    Mit dem original ICQ- Clienten geht da, soweit ich weiß, garnichts. Schau dir mal Miranda, Gaim oder eventuell noch Trillian an.
    Ein "fertiges" Miranda gibt es hier, da fehlt allenhalber noch das OTR- Plugin. Ich hab hier auf der Festplatte noch eine Mirandaversion vom Bukaroo liegen, welche *nur* für ICQ ist, wenn du magst, pack ich dir da OTR mit rein und lads hoch.

  21. Der Doofe
    Getippselt von Der Doofe am 21.02.07 um 22:15

    Wenn es dir keine Umstände macht, wär's cool wenn du diese Mirandaversion vom Bukaroo hochladen würdest.
    Ich bedank mich schon mal im vorraus.

    Der Doofe (Der vielleicht bald nicht mehr doof ist ;-) .)

  22. missi
    Getippselt von missi am 22.02.07 um 0:18

    Ich finds nicht mehr. :\

    Ich hab dir hier mal was eigenes zusammengeschraubt.

    ICQ, Jabber, OTR und ne handvoll Themes zum Aufhybschen, so du denn magst. (Auf der Originalseite findest du mehr)

    Installieren musst du nichts, nur in einen Ordner entpacken und dann die Miranda.exe starten. Der Rest sollte dann selbsterklärend sein, wenn nicht, frag mich einfach. :)

  23. Teuchtlurm
    Getippselt von Teuchtlurm am 22.02.07 um 0:34

    Hm, weiß zufällig jemand, wie man die OTR.dll für Gaim (am besten Gaim 2 Beta X) bekommt? Um Gaim mit OTR zu nutzen muss das OTR Plugin installiert werden. Dies funktioniert nicht, wenn man portable Gaim nutzt (und warum sollte man was anderes nutzen). Man müsste also erst Gaim installieren, OTR installieren, portable Gaim aufspielen, die OTR.dll rüberkopieren, das andere Gaim deinstallieren...

    Nur mal so angefragt...

    Der Teuchtlurm, der eigentlich Gaim schon ein paar mal getestet und immer wieder für doof befunden hat, es wahrscheinlich aber nochmal probieren will, rein aus Testzwecken für seine Privacyseite....

  24. missi
    Getippselt von missi am 22.02.07 um 0:38

    Ich hab die jetzt einfach mal aus meinem gaimschen Pluginverzeichnis gepackt. Schau mal, ob das reicht, oder ob er noch was anderes will.

  25. Der Doofe der es nicht mehr ist
    Getippselt von Der Doofe der es nicht mehr ist am 22.02.07 um 19:21

    Hab's jetzt geschafft!
    Dankeschön für deine Hilfe missi :)

  26. missi
    Getippselt von missi am 22.02.07 um 19:25

    Freut mich, wenns geklappt hat. :)

  27. Teuchtlurm
    Getippselt von Teuchtlurm am 26.02.07 um 13:54

    Tja, OTR scheint mit den Betas von Gaim 2 nicht zu funktionieren... Oder hat da wer andere Erfahrungen?

    Der Teuchtlurm

  28. missi
    Getippselt von missi am 26.02.07 um 19:31

    Grad mal getestet:
    Gaim: gaim-2.0.0beta6-no-gtk.exe
    OTR: (Windows (3.0.0)) Win32 installer for gaim 2.0 beta 6

    Verzeichnisstruktur: gaim.txt

    Bei mir funktioniert es.

  29. \ style= LoveAndPain
    Getippselt von LoveAndPain am 14.03.07 um 2:32

    HuHu Ich habe mich nun dank deinem Beitrag liebe missi auch für OTR (gaim2b6-otr-3.0.1.6.exe) und GAIM (gaim-1.5.0.exe) entschieden, GAIM funktioniert nun auch nur finde ich unter Einstellungen und dann Plugins nicht die möglichkeit OTR zu aktivieren. Habe GAIN auch schon ein paar mal neu gestartet.

    Hoffe es kann mir jmd. helfen, weil nun habe ich mich schon mal dafür entschieden und dann will es nicht klappen -.-

    lg LaP

  30. missi
    Getippselt von missi am 14.03.07 um 2:41

    Für Gaim 1.5 nimm mal das Plugin für 'gaim 1.x'.

  31. \ style= LoveAndPain
    Getippselt von LoveAndPain am 14.03.07 um 2:56

    Danke Missi ^^ Hatte es befürchtet, das es so nen einfacher Fehler meiner seits war ;) Noch eine Frage an dich und zwar wenn ich nun nur die Verschlüsslung verwende aber mein gegenüber nicht, werden aber doch meine "Daten" verschlüsselt oder ?

    lg LaP Inc.

  32. missi
    Getippselt von missi am 14.03.07 um 3:01

    Nein, Verschlüsselung klappt nur, wenn beide Seiten mitspielen. Wenn dein Gegenüber keine Verschlüsselung einsetzt, kann der deine Nachrichten ja nicht entschlüsseln. In diesem Fall springt OTR erst garnicht an.

  33. \ style= LoveAndPain
    Getippselt von LoveAndPain am 14.03.07 um 3:06

    Okay Danke, mensch das geht ja richtig fix :) Vielen Dank für die ganzen Infos :)

    So habe mir eben nen Persöhnlichen Key/ Fingerabdruck erstellt. Kann ich den nun ohne Angst haben zu müssen online stellen damit die Leute dann wissen das ich das wirklich bin ... oder kann man den Key mit jeder ICQ Nr. verwenden ? Danach haste auch ruhe vor mir und meinen Fragen, zumin Hier ;)

  34. missi
    Getippselt von missi am 14.03.07 um 3:15

    Der Key braucht nicht online gestellt werden, der wird bei der ersten Session, so OTR auf der Gegenseite vorhanden, automatisch übermittelt. Zur Übertragbarkeit: Gute Frage eigentlich, spontan würd ich jetzt sagen, der Key ist nicht auf ne andere Nummer übertragbar. Aber das mag ich nicht unterschreiben, damit hab ich mich (noch) nicht befasst. :o)

  35. \ style= LoveAndPain
    Getippselt von LoveAndPain am 14.03.07 um 3:26

    So ich werde nun erstmal schlafen ist ja schon spät. Aber ich habe hier schon ein paar weitere Interessante Infos gefunden in deinem Blog. Werde morgen noch mal ein paar Std. investieren ;) Z.B. finde ich es sehr interessant von wegen Mails verschlüsseln aber auch dein Datenschutz Info, da muss ich mich auch mal drum kümmern, habe irgendwo etwas von einem neuen Gesetz gelesen was geplant ist oder so.

    Hast also nen neuen Treuen Leser gefunden ^^

    lg und gn8 LaP

  36. xeen
    Getippselt von xeen am 12.04.07 um 21:49

    OTR ist in der aktuellen Form nutzlos, da der Key über den selben Weg unverschlüsselt übertragen wird.
    Das ganze hat nur Sinn, wenn die Keys auf anderem Wege (am besten nicht über Internet) übertragen werden, da sonst der Cracker auch im Besitz des Keys ist den er benutzen kann alles zu entschlüsseln. Klassischer Fall von Man in the Middle. Wenn meine Post überwacht wird und ich schicke per Post den Entschlüsselungskey erhöht das meine Sicherheit nur marginal - allenfalls hilft das vor zufälligem Lesen; was aber recht unwahrscheinlich ist.
    Es verhindert vielleicht dass ICQ einen Bot drüber schickt der z.B. E-Mail Adressen ausliest solange es nicht zu viele Leute benutzen (Aufwand/Nutzen) aber wenn sie wirklich dran wollen kommen die das.
    Schreib das bitte dazu; damit sich die Leute nicht in falscher Sicherheit wiegen. Erfreulich wäre es, wenn die OTR Plugins manuelle Keyeingabe unterstützen würden; dann würde es sich sogar lohnen die zu benutzen. Aber so? Reine Show.

  37. Flo
    Getippselt von Flo am 15.04.07 um 19:59

    Ich hab mich da aufgrund des letzten Kommentars mal ein wenig eingelesen. Das ist in der Tat eine dumme Sache. Richtig blöd finde ich aber, daß es in Miranda in den OTR-Einstellungen scheinbar keine Möglichkeit gibt, einen extern erhaltenen Schlüssel direkt einzutragen. Da gibt es ja eh nicht viele Optionen, also hoffe ich mal nicht, daß ich nur zu blöd zum Finden war. Wenn dem aber wirklich so ist, wie ich denke, dann verstehe ich in keinster Weise, warum es diese Möglichkeit nicht gibt. Das muß den Entwicklern doch klargewesen sein.

  38. no1
    Getippselt von no1 am 17.04.07 um 15:24

    zitat englisches wikipedia:
    "OTR uses a combination of the AES symmetric-key algorithm, the Diffie-Hellman key exchange, and the SHA-1 hash function."

    und dann lesen wir doch im englischen wiki doch mal unter Diffie-Hellman key exchange:
    "Diffie-Hellman (D-H) key exchange is a cryptographic protocol that allows two parties that have no prior knowledge of each other to jointly establish a shared secret key over an insecure communications channel."

    dachte mir doch... wer sowas programmiert der übersieht doch nicht sowas absolut offensichtlich*g*

  39. no1
    Getippselt von no1 am 06.05.07 um 23:27

    mh man müsste dazu noch sagen, dass man da das man-in-the-middle problem ergibt und wenn der angreife schon beim ersten key exchange dazwischen sitzt dürfte der fingerprint auch nichts helfen... aber kenne mich da einfach zu wenig aus =\

  40. raptor
    Getippselt von raptor am 08.05.07 um 19:43

    Zumindestens bei Miranda wird im Profil eine Datei mit den Schlüsseln abgelegt, in dieser müssten sich auch per Hand Schlüssel hinzufügen lassen. Wenn man ganz paranoid sein will, kann man so die Man-in-the-Middle-Attacke umgehen.

  41. xGCFx
    Getippselt von xGCFx am 24.07.07 um 12:04

    Sucht mal nach "Message Authentication Code" bei Wikipedia, damit wird in Zusammenarbeit mit Diffie-Helman auch der MitM-Angriff unmöglich. So wird das laut Präsentation auf der Projektseite von OTR auch gemacht.

  42. fnord
    Getippselt von fnord am 12.11.07 um 19:54

    Der Vollständigkeit halber muss ich hier noch mal anfügen: OTR ist definitiv *nur* nutzlos, wenn die Nutzer ihre Fingerprints nicht über sichere Kanäle (Telefon, verifizierte GPG-Mail, reales Treffen, ...) überprüfen. Durch einen Man-in-the-Middle Angriff könnten die Nachrichten zwar verändert werden, jedoch wären die Fingerprints dann nicht die gleichen. Näheres dazu in der Wikipedia.

    (tut mir wirklich Leid, ich konnte die letzten paar Kommentare nicht so stehen lassen ;) )

  43. Montekar
    Getippselt von Montekar am 21.11.07 um 22:27

    Toller Artikel, habe ich gleich befolgt ;)

  44. Klaue
    Getippselt von Klaue am 02.12.07 um 0:16

    Hi Missi
    Wie schon vor einer halben Ewigkeit in einem Kommentar zu dem hier: http://www.entartete...om/anonymes-bloggen/ angekündigt, habe ich nun diesen Text hier auf meine Homepage übernommen. Danke, dass du alles CC machst, hab das gleich mal als Anlass genommen, meine Texte auch zu CCen.
    "Meine Version" von deinem Text findest du hier:
    http://klaue.110mb.c...anleitungen/otr.html

    Wenn dir da irgendwas nicht passt, lass es mich wissen :)

    Gruss, Klaue

  45. onkelchen
    Getippselt von onkelchen am 26.01.08 um 21:00

    Ein völlig freiwilliger, gar nicht erzwungener, manueller Trackback, der eigentlich ein Kommentar ist von Mit FiSH verschlüsselt ins IRC

Trackbacks/Pingbacks»»

  1. Dobschats Weblog
    Gepingt von Dobschats Weblog am 20.09.06 um 22:21

    Missis Notizblock » ICQ- Verschlüsselung mit OTR

  2. debilux.de
    Gepingt von debilux.de am 08.10.06 um 22:09

    könnt trotzdem sagen, nein, ihr habt was anderes gesagt. Aussage gegen Aussage, das Gespräch bleibt juristisch und sonstwie völlig unverwertbar. Das heisst “Off The Record”, und das kann man auch im ICQ haben. Nähere Informationen gibt es bei entartete-kunst.com oder direkt beim Projekt der Cyberphunks. Kommentare (0)

  3. netzpolitik.org: » Instant-Messaging Verschlüsselung » Aktuelle Berichterstattung rund
    Gepingt von netzpolitik.org: » Instant-Messaging Verschlüsselung » Aktuelle Berichterstattung rund am 09.10.06 um 20:17

    [...] OTR wird zusätzlich von Adium X (Mac OS X) direkt und von Trillian und Mirande über Plugins unterstützt. Zudem kann man allen Messengern OTR über einen lokalen Proxy aufzwängen. Netter Link: http://www.entartete...hluesselung-mit-otr/ [...]

  4. \ style= Unter Affen
    Gepingt von Unter Affen am 02.01.07 um 19:29

    von ICQ verzichtet ihr auf alle Urheberrechte an den Inhalten die ihr darüber verbreitet. Das heißt, ihr könntet eure Nachrichten irgendwann einmal vielleicht in einem Buch "Die lustigsten ICQ-Chats" finden. Die ICQ-Policy zum nachlesen. Eine Anleitung wie man da raus kommt...

  5. \ style= D4yLightblog » AGB
    Gepingt von D4yLightblog » AGB am 16.01.07 um 19:56

    [...] Einen Interessanten Link hierzu hat mir Andi geschickt. Auch wenn ich mich lange dagegen gewehrt hab: Vielleicht sollte ich doch mal Umsteigen auf ein All-In-One Programm, anstatt ICQ und MSN parallel zu benutzen.... Posted by DayLight | [...]

  6. \ style= noch ein Blog
    Trackback von noch ein Blog am 28.03.07 um 15:50

    sicheres Instant Messaging per Miranda IM (2): OTR...

    Mittlerweile habe ich auch OTR ausprobiert – es ist wohl die bessere Alternative zu SecureIM. Ausführliche Infos und Installationsanleitungen gibt es bei Teuchtlurm und bei Missis Notizblock.

    Das ganze funktioniert reibungslos, allerdings sol...

  7. Welchen messenger benutzt du? - Study-Board.de - Das Studenten Portal
    Gepingt von Welchen messenger benutzt du? - Study-Board.de - Das Studenten Portal am 14.04.07 um 21:31

    [...] Ich wei das das Datum etwas veraltet ist jedoch ist das Thema nicht aus dem sinn .... Wenn hier schon Jabber als Messanger steht dann bitte ich doch das ihr euch mal eine Minute nehmt und euch diese Seite anschaut : ICQ- Verschlüsselung mit OTR Missis Notizblock Evt denkt ihr dann etwas anderst ber ICQ und Konsorten. [...]

  8. \ style= SHG-Info
    Gepingt von SHG-Info am 25.04.07 um 2:42

    Trillian und Co. Für den proprietären Messenger Client von ICQ gibt es dieses Plugin jedoch nicht, da es nicht den Interessen von ICQ entsprechen dürfte, dass die User ihre Kommunikation verschlüsseln.

  9. OTR && HTML && Miranda && Gaim && *arx* » Missis Notizblock
    Gepingt von OTR && HTML && Miranda && Gaim && *arx* » Missis Notizblock am 25.05.07 um 21:04

    [...] Gerade eher durch Zufall entdeckt: Das leidige "zerkloppte html-nachrichten zwischen GAIM- und Miranda- User" lässt sich mit nohtml und OTR 0.5.2.0 lösen. [...]

  10. "how to..": polizei & kram | streetart & kram !
    Gepingt von “how to..”: polizei & kram | streetart & kram ! am 29.05.07 um 11:47

    [...] + "thunderbird": zum versenden von pgp-verschlueszelten e-mails + "jabber" als instant messanger - fuer sicheres chaten + OTR zum verschluesseln vom ICQ-Chat + "pgp-desktop" zum verschluesseln von festplatten/ partitionen + programm zum schreddern von dateien: "Steganos Secure FileSharing" [...]

  11. aloha WEBLOG - spreading the aloha spirit » links for 2007-06-07 through 2007-06-09
    Gepingt von aloha WEBLOG - spreading the aloha spirit » links for 2007-06-07 through 2007-06-09 am 10.06.07 um 3:41

    [...] ICQ- Verschlüsselung mit OTR » Missis NotizblockWenn schon ICQ, dann wenigstens verschlüsselt. [...]

  12. Überwachungswahn 2.0 - Excessive Surveillance 2.0 - PLANET COLA
    Gepingt von Überwachungswahn 2.0 - Excessive Surveillance 2.0 - PLANET COLA am 11.09.07 um 11:31

    [...] Eine weitere Seite, die das Thema ICQ noch ausführlicher beleuchtet, ist diese hier. Es gibt wohl nur die Möglichkeit, den chat über das ICQ Protokoll zu verschlüsseln, oder ICQ lieber nicht mehr zu nutzen. Von MSN habe ich noch nie wirklich etwas gehalten, und werde meinem Instinkt nun folgen und es auch nicht wieder in Betrieb nehmen. Obwohl ich zugeben muss, dass die Bedingungen bei MSN nicht so krass sind: We do not routinely monitor your communications or disclose information about your communications to anyone. However, we may monitor your communications and disclose information about you, including the content of your communications, if we consider it necessary to: (1) comply with the law or to respond to legal process; (2) ensure your compliance with this contract; or (3) protect the rights, property, or interests of Microsoft, its employees, its customers, or the public. Always use caution when giving out any personally identifiable information about yourself or your family. [...]

  13. \ style= Spendenaufruf für jabber.ccc.org - Freie IM-Kommunikation | paranoid-chesus
    Gepingt von Spendenaufruf für jabber.ccc.org - Freie IM-Kommunikation | paranoid-chesus am 09.11.07 um 12:10

    [...] Eine Reihe frei nutzbarer Jabber-Server bieten die Möglichkeit, sich ohne Angabe irgendwelcher Userdaten innerhalb von Sekunden einen Account zu erstellen und diesen dann noch bedarfsweise mit beispielsweise dem OpenSource-Plugin OTR (off the record) zu verschlüsseln. Eine prima Anleitung für die Nutzung von OTR für ICQ/AIM/MSN/Jabber/etc mit ein paar der freien Mulitprotokollclients wie Miranda, Gaim, Trillian oder PSI findet sich drüben bei Missi. [...]

  14. Tales from the Mac Hell » Bye, Miranda, hallo, Pidgin...
    Gepingt von Tales from the Mac Hell » Bye, Miranda, hallo, Pidgin… am 07.12.07 um 22:10

    [...] ...war nett mit dir, aber dass seit dem letzten Update der rechner regelmäßig abrauchte, mochte ich dann nicht mehr so richtig. Auch die komischen Erste-Zeile-Bugs seit der UTF-8-Implementierung, ob mit oder ohne OTR, machten uns in letzter Zeit nicht grade zu guten Freunden. Und deshalb rennt bei mir nun Pidgin, und wir scheinen uns zu mögen. Denn so nachdem ich die wichtigsten Plugins nachgerüstet und die eher nervigen Sachen deaktiviert hatte, kriegte ich beim Testen mit missi folgende Meldung beim Klicken, die mich, hihi, lächeln ließ: Ich glaub, wir werden uns gut vertragen. [...]

  15. \ style= The HellCrew is on Warpath » Blog Archiv » Verschlüsselte Gespräche über ICQ führen
    Gepingt von The HellCrew is on Warpath » Blog Archiv » Verschlüsselte Gespräche über ICQ führen am 10.12.07 um 18:44

    [...] Es gibt nun mehrere Möglichkeiten, dagegen vorzugehen. Zunächst einmal bietet es sich an, sowieso auf ICQ zu verzichten, da dieses Programm in den letzten Jahren sich immer mehr vom IM- zum Weremüllprogramm entwickelt hat (Persönliche Meinung). Satt dessen bietet es sich an, Multiclient-Programme zu nutzen, Beispiele sind Trillian, Miranda, Gaim (bzw. jetzt pidgin) oder Adium. Diese bieten den Vorteil, dass sie mehrere IM-Protkolle in sich vereinen (z.B. kann Trillian AIM, ICQ, MSN Messenger, Yahoo Messenger und IRC). Dies allein bietet aber noch keinen Verschlüsselungschutz, da die Dienst trotzdem über den entsprechenden Server laufen. Das momentan sich am schnellsten verbreitende Verschlüsselungsprinzip ist das OTR (off the record)- Prinzip. Dabei wird generell gesagt, dafür gesorgt, dass kein Abhören und auch sonst kein Nachweis über das Gespräch geführt werden kann (dazu komm ich gleich nochmal). Nach dieser etwas längeren Vorrede nun zur Verschlüsselung. Ihr findet hier das benötigte OTR-Plugin. Die Anleitungen wie es zu installieren ist, findet man im weiteren hier für Miranda und Gaim/pidgin , hier für Trillian, hier für Adium und hier für ICQ. Wenn das ganze läuft, bekommt man vor jedem Gespräch einen digitalen Fingerabdruck zugesandt, der den Gesprächspartner eindeutig identfizert und nach dessen Annahme das Gespräch verschlüsselt abläuft. Aber Achtung, es gibt natürlich auch noch zwei kleine Nachteile, zum einen hilft die Verschlüsselung prinzipiell erst mal gar nix, wenn man alles selber mitloggt, da diese Daten auf der eigenen Platte unverschlüsselt bleiben. Wenn der PC also konfisziert wird, liegt das trotzdem offen. Das zweite Problem ist, dass der Schlüssel leider unverschlüsselt übertragen wird, man also hier noch Gefahr läuft. Außerdem müsste man theoretisch den Schlüssel live vergleichen, also mal schnell zum Gesprächspartner rüberwacklen und guggn, ob ders auch wirklich ist, aber ich denke mal, so wild treibts hier keiner, dass diese extremeren Massnahmen sinnvoll werden :) . Wer weiter Interesse an dem Thema hat, oder diesen Beitrag auf Fehler (keine Rechtsschreib- und Grammatikfehler, die sind gewollt gesetzt und dienen der Belustigung von Germanisten) etc. berichtigen möchte, ist angehalten sich auch mal ein bisschen im Internet und auf den oben genannten Seiten umzuschauen und gegebenenfalls mir davon zu erzählen oder es auszubessern. [...]

  16. gimme! gimme! klick-klick-klick! » Jedem sein ICQ
    Gepingt von gimme! gimme! klick-klick-klick! » Jedem sein ICQ am 11.03.08 um 11:31

    [...] Missis Notizblock bietet neben der Übersetzung auch ausführliche Anleitungen für die Absicherung der Kommunikation mit verschiedenen clients. [...]

  17. \ style= Ploks fromm Philipp » Blog Archiv » Off the record - Plugin
    Gepingt von Ploks fromm Philipp » Blog Archiv » Off the record - Plugin am 11.05.08 um 18:39

    [...] Hier ist eine Anleitung: http://www.entartete...hluesselung-mit-otr/ [...]


Ick will mal wat sagen... »»

Datenschutzhinweis

| RSS | Netvibes | del.icio.us | Impress | Archiv | Woanders | Chat |
Design by: MissAntroph/Mike® based on Marcos Saders equix. | 28 queries in 4.750 seconds |

Collapsed Backbone