spacer
spacer search

the community page
blacksec.org

Search
spacer
header
Main Menu
Home
News
Events
Blogs
Certificate Authority
Web- & Shellhosting
Hilfe und Anleitungen
Links
Kontakt
Suche
Anmelden
 
Home arrow Blogs arrow Coole Software: OTR-Plugin für Kopete

Coole Software: OTR-Plugin für Kopete PDF Drucken
04.06.2007
OTR steht für "Off the Records", also irgendwas wie "Neben dem Protokoll" oder schlicht "unprotokolliert". Es ist eine Verschlüsselung, die speziell für Instant Messaging wie Jabber entwickelt wurde, theoretisch aber auch bei SMS und ähnlichen Kommunikationsverfahren funktionieren dürfte. Sinn der Verschlüsselung ist es neben einer abhörsicheren Übertragung der Nachricht auch sicherzustellen, dass die Nachricht tatsächlich vom richtigen Absender stammt und den richtigen Empfänger erreicht und nicht unterwegs manipuliert oder komplett gefälscht oder unterdrückt wurde. Nebenbei wird auch verhindert, dass Nachrichten, die offline auf den Servern der Betreiber gespeichert werden, vor neugierigen Blicken der Administratoren sicher sind.
Die eigentliche Verschlüsselung ist sehr sicher und kann nach jetzigem Ermessen als unknackbar angesehen werden. Das hat sie gemein mit Lösungen wie GnuPG oder PGP, allerdings hat OTR zwei entscheidende Vorteile. Das ist zum einen Denialbility oder auch Verleugnung, im Rahmen immer stärker werdenden Überwachung kann sich das zu einem entscheidenden Argument für OTR gegen GnuPG und PGP entwickeln. Darunter versteht man, dass man anders als bei GnuPG/PGP einem User im Nachhinein nicht mehr beweisen kann, dass er diese Nachricht verschlüsselt hat und ihn so auch nicht dazu zwingen kann, sie zu entschlüsseln. Der User kann jederzeit glaubhaft versichern, diese Nachricht nicht geschrieben zu haben, anders als bei GnuPG und PGP, wo es mathematisch beweisbar ist, dass ein User etwas verschlüsselt hat. Nebenbei stellt das Verfahren auch sicher, dass die Nachricht nachträglich nicht mehr entschlüsselt werden kann, auch wenn der Angreifer in Besitz des Userschlüssels gekommen ist.
Der zweite Punkt ist das Keymanagement. Bei GnuPG/PGP funktioniert das über den (manuellen) Austausch von Public Keys, das Herunterladen der Keys von einem Keyserver oder auch zentral verwalteter Keyrings, wie man es in manchen Unternehmen findet, was aber der eigentlichen Idee von End-zu-End-Verschlüsselung grundsätzlich zuwiderläuft. In jedem Fall bedeutet die manuelle Schlüsselverwaltung für viele Leute eine unüberbrückbare Hürde, sei es weil sie das nicht verstehen oder weil es ihnen zu viel Arbeit ist, obwohl das aus meiner Sicht nicht nachvollziehbar ist. So kompliziert ist das nicht, als dass man das nicht in einer halben Stunde verstanden hätte und der Gewinn an Privatsphäre ist immens, aber das muss wohl jeder selbst für sich entscheiden. OTR hingegen erledigt den Schlüsselaustausch vollkommen automatisch im Hintergrund, so dass die Verschlüsselung mit OTR so transparent ist, dass man es eigentlich nicht merkt.
Die Echtheit der OTR-Keys lässt sich genau wie bei GnuPG/PGP mittels Fingerprint überprüfen um sicherzustellen, dass der Key auf dem Übertragungsweg nicht manipuliert oder gar ausgetauscht wurde. Einziger Nachteil gegenüber GnuPG/PGP besteht meiner Meinung nach darin, dass der OTR-Key nicht durch ein zusätzliches Passwort geschützt ist, aber auch das ist nur ein kleiner Nachteil, wenn man bedenkt, dass ein offengelegter Key so oder so nicht mehr vertrauenswürdig ist, egal ob er durch Passwort geschützt ist oder nicht. Im Falle eines Trojaners muss man ebenfalsl davon ausgehen, dass sowohl Keys als auch dazugehörige Passwörter kompromittiert sind und ausgetausht werden müssen, weil Trojaner zum einen die Tastatureingaben mitloggen und zum anderen dem Angreifer kompletten Zugriff auf das ganze System gewähren. Und weil die Daten dann in der Regel unverschlüsselt über das Internet übertragen werden, bedeutet das, dass jeder Lauscher auf der Leitung diese Informationen lesen kann, selbst wenn der Trojaner nicht von ihm stammt, sondern zum Beispiel von einem Botnetz eines Phishers. Im Klartext heisst das, dass dem Staat, wenn er eine Leitung belauscht, von Kriminellen das frei Haus geliefert wird, was sie mit ihrer Onlinedurchsuchung gerne selber machen würden.
Zurück zum OTR-Plugin für Kopete, einem Instant Messanger für KDE, der mit so gut wie allen IM-Protokollen klarkommt. Bisher hatte Kopete nur die Unterstützung von GnuPG eingebaut, was von vielen Leute aus oben genannten Gründen nicht benutzt wurde. Ausserdem gab es immer das Problem, dass die IM-Clients entweder OTR oder GnuPG unterstützt haben, was oft dazu geführt hat, dass man mit dem auf der anderen Seite inkompatibel war. Mit dem OTR-Plugin ist Kopete derzeit der einzige IM-Client, der mit beiden Welten klarkommt und das auch richtig gut, obwohl die Software zum jetzigen Zeitpunkt erst in der Version 0.4 vorliegt. Es hat trotz der frühen Version sehr wenige Bugs und ließ sich mit dem auf der Homepage zur Verfügung gestellten Paket unter Kubuntu ohne Probleme installieren.
Nach einem Neustart von Kopete tauchte das OTR-Plugin in der Liste der Plugins auf und ließ sich anstandslos konfigurieren, wobei es nur wenig zu konfigurieren gibt. Die Konfiguration beschränkt sich darauf, wie man in Zukunft seine Nachrichten verschlüsseln möchte, wobei man zwischen den Optionen "Immer", "Manuell", "Bei Bedarf" und "nie" wählen kann. "Bei Bedarf" funktioniert bei mir weitestgehend problemlos, nur wenn ein User mit mehreren Clients online ist und es vorher eine OTR-Session gab und er zu einem Client ohne OTR-Unterstützung gewechselt ist, erkannte das Plugin das nicht und versuchte weiter mit OTR zu verschlüsseln. Damit ist man aber grundsätzlich auf der sicheren Seite, weil nichts aus Versehen unverschlüsselt über die Leitung geht.
Bevor es aber zu einer OTR-Session kommen kann, müssen erst einmal die Schlüssel für den Account generiert werden. Das OTR-Plugin bietet dafür einen sehr einfachen Weg. In der Konfiguration des Plugins gibt es einen Knopf, wo man mit einem Mausklick den Schlüssel erstellen lassen kann. Hat man mehrere IM-Accounts kann man daneben auswählen für welchen Account der Schlüssel erzeugt werden soll. Ist der Schlüssel generiert, steht unter der Auswahlfläche für den Account der Fingerprint seines Keys, den man an seine Kommunikationspartner zur Überprüfung weitergeben muss.
Andersrum muss man auch die Schlüssel seiner Kommunikationspartner überprüfen. Dafür gibt es ebenfalls in der Konfiguration des Plugins eine Liste mit den übertragenen Schlüsseln inklusive deren Fingerprints und dem Hinweis, ob sie schon überprüft wurden oder nicht. Nach einem Vergleich der Fingerprints kann man die Fingerabdrücke in der Liste verifizieren und sollte sich der Fingerprint bei zukünftigen Chats mit dem User verändern, bekommt man eine Warnung, dass die Kommunikationskette möglicherweise kompromittiert ist. Kompromittierte Schlüssel lassen sich an dieser Stelle ebenfalls entfernen, sollte mal ein User seinen verlohren haben, ebenso wie sich neue Schlüssel für die eigenen Accounts erstellen lassen.

Alles in Allem ist das OTR-Plugin für Kopete eine großartige Sache und ein weiterer Grund nicht mehr unverschlüsselt im Internet zu kommunizieren. Vor allem die leichte Installation und Handhabung machen es auch unbedarften Usern leicht, damit zu arbeiten. Anders als bei GnuPG/PGP ist nur ein Minimum an manueller Verwaltung nötig um privat zu Kommunizieren.

Homepage des OTR-Plugins: http://kopete-otr.follefuder.org/
 
< Zurück   Weiter >
spacer
 
© 2009 the community page
Joomla! is Free Software released under the GNU/GPL License.
spacer