JABBER & PSI vs. ICQ & AIM & GTalk Policy -- OpenPGP oder OTR oder TOR?

kostjaXP

kostjaXP

=[KT]=SUpOrt GUnNer=[KT]=
Ich hab mich mal mit der Materie beschäftigt und mich daran gemacht, mit dem allseits bekannten Kollege hier eine halbwegs sichere IM-Verbindung aufzubauen.
Basis ist bei mir Fedora 8 mit
Code:
linux 2.6.23.14-107.fc8
kdebase-3.5.8-9.fc8+kdm
gtk2-2.12.5-1.fc8
pidgin-2.3.1
mit dem Plugin:
Code:
pidgin-otr

Jetzt gibt es da nur einen Fehler:
PSI ist ein sehr guter client den man dafür aber nicht gebrauchen kann
http://blog.kairaven.de/
http://blog.kairaven.de/ schrieb:
Dazu musste bei OTR zuerst nur der Schlüssel-Fingerprint des Gegenüber überprüft und authentifiziert werden, was dazu einlädt (und wie ich vermute auch praktiziert wird), den Authentifikations-Dialog einfach wegzuklicken, um ein schöner aussehendes Icon auf dem OTR Button zu erhalten. Also günstige Voraussetzungen für Man-in-the-middle Angriffe, für die es dann bald auch das passende MITM Modul für den ejabberd gab.

Für PSI gibt es nur dieses Plugin von **********

Dazu gibt es hier im UB einen (angegrauten) Thread mit dem Thema ICQ und die Policy

Und eben einen Nachbar-Thread für Pidgin mit TOR
Hier ist die Quelle, die mit den Anstoß gegeben hat...

Fehlt nur noch die Anleitung für das pidgin-otr
und die Erklärung von Wikipedia zum OTR
Wikipedia schrieb:
Off-the-Record Messaging (zu deutsch: inoffiziell; vertraulich, nicht für die Öffentlichkeit bestimmt) stellt ein neues Prinzip der Nachrichten-Verschlüsselung von Instant Messaging dar. Im Gegensatz zur Übertragung [..] mittels GPG, PGP (oder in seltenen Fällen auch mittels X.509-Zertifikat) kann man beim Off-the-Record Messaging später nicht mehr feststellen, ob ein bestimmter Schlüssel von einer bestimmten Person genutzt wurde (deniability; Prinzip der Abstreitbarkeit). Dadurch lässt sich nach Beendigen der Unterhaltung von niemandem (auch keinem der beiden Kommunikationspartner) beweisen, dass einer der Kommunikationspartner eine bestimmte Aussage gemacht hat.

Also das ist jetzt schwer zu verdauen, aber ich möchte das einfach mal zur Begutachtung stellen und ein Für-und-Wider erörtern!
Dazu bitte ich die Teilnehmer, eben auch ihren IM-Client/DE&WM/Distribution/Kernel anzugeben, damit man nicht durcheinander kommt.

Vielleicht kann sich der eine oder andere in dem ganzen Wirrwarr auch selber ein Bild auf Basis der gelinkten Informationen machen... :D

*dismissed*
 
Zuletzt bearbeitet:
Am einfachsten finde ich das Gechatte mit OTR. Für viele Programme gibt's das inzwischen als Plugin.
 
ich wuerde mal das oder TOR ausm titel entfernen.

denn tor hat primaer nichts mit verschluesslung zu tun!
wenn du ueber tor chattest, ist deine identitaet bedingt unbekannt, allerdings sind deine nachrichten vor eintritt in tor und nach ausgang lesbar (klartext).

otr laeuft bei mir unter debian etch, ubuntu 7.10 (pidgin) und unter win (miranda).
kernel hoert mit ner 14 auf.

ich frag mich grad ein wenig, warum du wissen willst welchen wm wir benutzen.
 
Zuletzt bearbeitet:
Ich hab GPG und OTR installiert und würde diese auch augenblicklich verwenden...wenn bloß meine Contacts mitmachen würden! Das ist nämlich das Blöde: Die meist verwendeten Messenger, also Pidgin, Trillian, Miranda und die originalen ICQ und MSN Messenger haben keine Verschlüsselung out-off-the-Box an Board, und nachdem der Normalsterbliche sich einen Dreck drum schert ob andere seinen Chatverkehr lesen können installiert auch niemand Addons nach...
 
da kann ich ein lied singen :\

Ich auch...meine kleine Schwester zb...ich hab ihr mal ziehmlich "brutal" bewiesen das es absolut kein Problem ist ihre Chats mitzulesen...tja sie weigert sich irgendetwas dagegen zu tun sondern verlangt von mir und allen anderen das sie anständig genug wären so etwas zu unterlassen :D
 
mein kleiner bruder hat das zum glueck begriffen, leider aber die meisten auf seiner und meiner liste nicht.
 
... und nachdem der Normalsterbliche sich einen Dreck drum schert ob andere seinen Chatverkehr lesen können installiert auch niemand Addons nach...

Aber nur aus Ignoranz!! Ich kenn das auch..aber wie weit ist es mit dem Bewusstsein, was man mit sich machen lässt hier in Deutschland...und allzu leicht braucht man es den potentiellen Mitlesern auch nicht zu machen. Es könnte ja auch eine Initiative gestartet werden, seine Freunde auf Jabber+Pidgin+OTR umzustellen...
 
Das Problem ist, das 90% der ICQ nutzer den ganzen Schnickschnack haben/nutzen wollen die ICQ bietet...
 
Das Problem ist, das 90% der ICQ nutzer den ganzen Schnickschnack haben/nutzen wollen die ICQ bietet...

Jep
Wären in den originalen ICQ und MSN Messengern out-of-the-box OTR oder GPG installiert würde sich das praktisch über Nacht durchsetzen. Warum die Hersteller dieser beiden, am weitesten verbreiteten Messenger das nicht tun...keine Ahnung...dabei könnte man doch sogar wunderbar Werbung damit machen.(Genauso auch bei Thunderbird und MS Outlook)

*Kopfschüttel* Einerseits geben da Leute viel Geld für irgendwelche Virenscanner, Firewalls etc. etc. aus, Microsoft macht wunderbar Werbung damit das ihr Vista noch sicherer als früher sei...aber simple Kommunikations-Verschlüsselung: IMPOSSIBLE. Genauso auch bei wichtigen unersetzlichen Daten...stark betonen wie wichtig diese für einen doch seien...dann: hast du ein Backup davon?..Backup? was das?? :D
 
Zuletzt bearbeitet:
warum ms und aol das nich machen...

dann koennten die nichts mehr analysieren.
 
@Mike

Die werden das bei ICQ nie durchsetzen, jedenfalls nicht von anfang an im Protokoll geschweige Clienten.
Den in den AGB's steht ja einiges drin, wo, wenn sie OTR einsetzen würden, es kein sinn machen würde die AGB so beizubehalten ;)
 
war ja klar das das abschweift...
Das problem ist das icq sich nunmal so stark eingebürgert hat. Man kann heutzutage nichtnur die Tel-Nummer von sich Zuhause und die vom Handy, sondern auch die ICQ-Nummer auswendig. ICQ war nunmal das erste populäre. Da mag jabber ja noch so viele Vorteile haben. Der Mensch ist faul.
 
@kostja was wolltest du eigentlich wissen?

bequemlichkeit ist der größte feind der sicherheit und anonymität.
denn sind wir mal ehrlich, wer von uns benutz immer passwörter mit min 192 bit und wer ändert die dann auch noch min jeden monat?

eigentlich ist das verhalten derer die nicht 'kooperieren' wollen, nur allzu verständlich.
dennoch frag ich mich, wie viel bequemlichkeit wert ist, wenn keine privatsphäre mehr vorhanden ist.

ich für mich hab bedingt den schluss gezogen, entweder ueber jabber+otr oder garnicht.
lässt sich leider nicht immer bewerkstelligen. vorallem bei beratungsresistenten personen nicht. da kommt dann das alt bekannte 'ich hab nichts zu verbergen'.
 
Zurück
Oben