Verschlüsselter (Facebook) Chat mit Pidgin

Update: Using Facebook chat via XMPP has been disabled and is not possible any more.

Da ich es bis jetzt in meinem Bekanntenkreis ca. 100 mal erklärt habe - hier ein erster Versuch die notwendigen Schritte schriftlich zu erklären.

• Teil 1 beschäftigt sich mit der Verwendung von Pidgin für den Facebook Chat
• Teil 2 mit der Verschlüsselung von Chats mittels OTR mit Pidgin (gilt für alle Chatsysteme, nicht nur den Facebook Chat)

Facebook Chat mit Pidgin

Grundlegend ist die Verwendung des Facebook Chats mit jedem beliebigen XMPP Client möglich. Im folgenden wird die Konfiguration von Pidgin beschrieben.

Nach einer Neuinstallation von Pidgin wird man aufgefordert seine Konten anzulegen. Hier wählt man den Kontotyp “XMPP” aus.

Die Einstellungen lauten wie folgt:

• Protokoll: XMPP
• Benutzer: Hier muss der Facebook Username eingegeben werden. Hierbei handelt es sich nicht um die Mailadresse, die für den Login auf der Webseite verwendet wird. Um den Nutzernamen herauszufinden kann man z.B. seine eigene Facebook Profilseite öffnen. Lautet die Adresse dieser Seite https://www.facebook.com/teil1.teil2?ref=tn_tnmn ist der Facebook Username “teil1.teil2” (ohne Anführungszeichen)
• Domain: chat.facebook.com
• Ressource: Pidgin
• Passwort: Hier wird das normale Facebook Passwort verwendet

Wenn gewünscht kann ein lokales Alias definiert werden.

Die erweiterten Einstellungen für den Facebook Account können wie folgtgesetzt werden:

• Verbindungssicherheit: Verschlüsselung fordern
• Klartextauthentifizierung über unverschlüsselten Kanal: Nicht aktivieren
• Verbindungsport: 5222
• Verbindungsserver: chat.facebook.com
• Proxies für Dateiübertragungen: proxy.eu.jabber.org

Ab diesem Zeitpunkt kann Pidgin zur Übertragung von Chatnachrichten genutzt werden, wobei diese nur bis zum Facebook Chatserver verschlüsselt (also durch Facebook lesbar) sind. Dabei werden Nachrichten normal in der eigenen Nachrichten History auf der Webseite angezeigt.

Verschlüsselung mittels OTR

Um Gespräche vom Absender bis zum Empfänger zu verschlüsseln bietet sich das OTR Plugin (Herunterladbar unter https://otr.cypherpunks.ca/ ) an. Um Gesprächeverschlüsseln zu können müssen natürlich beide Gesprächspartner einen OTR unterstützenden Client einsetzen. Nach der Installation des Plugins muss Pidgin gegebenenfalls neu gestartet werden.

Zuerst sollte das OTR Plugin aktiviert werden. Hierzu kann im Menü “Werkzeuge” der Punkt “Plugins” gewählt werden (oder alternativ die Tastenkombination CTRL+Uverwendet werden). Nun muss das Plugin “Off-the-record messaging” durch anhaken aktiviert werden. Desweiteren muss das Plugin ausgewählt und über einen Klick auf “Plugin konfigurieren” konfiguriert werden.

Im Konfigurationsfenster sollte für jeden konfigurierten Account ein Schlüsselerzeugt werden (Auswahl des Accounts aus der Dropdown-Liste, Klick auf “Generieren”, Auswahl des nächsten Accounts, etc.). Durch bearbeiten einer Konfigurationsdatei wäre es möglich allen Accounts den selben Schlüssel zuzuweisen bzw. Schlüssel von anderen Systemen zu kopieren.

Die Option “Privaten Nachrichtenversand erzwingen” sollte man auf keinen Fall aktivieren, da sonst Gesprächspartner die OTR nicht einsetzen nicht in der Lage sind Nachrichten über den Chatclient zu empfangen.

Ab diesem Zeitpunkt ist OTR aktiviert.

Chatten mit OTR

Wird eine Gegenstelle angeschrieben, die OTR unterstützt wird dies intern übereine spezielle Erweiterung der ersten Chatnachricht angezeigt. Danach wirdautomatisch eine verschlüsselte Verbindung hergestellt. Soll die Verbindungmanuell hergestellt werden kann dies über das OTR Menü im Chatfenster desjeweiligen Kontaktes erfolgen.

Ein OTR Gespräch kann in 3 Zuständen vorliegen:

• Nicht privat: In diesem Fall wird das Gespräch nicht verschlüsselt
• Unverifiziert: In diesem Fall wird das Gespräch zwar verschlüsselt, es ist aber nicht bekannt ob es nicht abgehört wird (hier sind Man-in-the-middle Angriffe möglich). Um einen Schlüssel zu authentifizieren stehen drei weiter unten (siehe Authentifizieren) beschriebene Methoden zur Verfügung
• Privat: Die Gegenstelle wurde verifiziert, Gespräche werden verschlüsselt. Solange die Integrität der Schlüssel sichergestellt wird sind Nachrichtennicht abhörbar.

Am Ende eines Gesprächs sollte die private Unterhaltung manuell beendet werden (OTR Menü im Chatfenster / Private Unterhaltung beenden). Sollte es zu Problemen mit unlesbaren Nachrichten kommen kann die Unterhaltung im selben Menü “aktualisiert” werden. Aktuell können Probleme auftreten wenn die Unterhaltung nicht beendet wurde, ein Kontakt danach aber unverschlüsselte Nachrichten sendet. In diesem Fall werden sie nur als Statusmeldung angezeigt (d.h. der Nutzer wird nicht über den Empfang benachrichtigt). Wird eine verschlüsselte Nachricht an einen Nutzer gesendet, der bereits keine Information mehr über die OTR Session hat (Chat Client neu gestartet, etc.) oder aber aktuell einen Chat Client verwendet der OTR nicht unterstützt ist die Nachricht ebenfalls nicht lesbar. In diesen Fällen hilft das beenden oder Aktualisieren der privaten Unterhaltung (OTR Menü).

Authentifizieren

Um einen Schlüssel zu authentifizieren stehen 3 mögliche Verfahren zur Verfügung:

• Der manuelle Fingerprint Vergleich. In diesem Fall werden 2 Zeichenketten - je eine für den eigenen und eine für den Schlüssel des Kommunikationspartners - angezeigt. Diese müssen über einen anderen Kommunikationskanal (z.B. Sprachtelefonie oder nochbesser persönlich) verglichen werden. Sind die Fingerprints gleich kann manuell ausgewählt werden, dass der Schlüssel verifiziert wurde.
• Gemeinsame bekannte Passphrase: Hierbei müssen beide Kommunikationspartnerein gemeinsames Passwort kennen. Dieses darf natürlich auch nicht über Chat oder E-Mailübertragen werden.
• Frage und Antwort: Bei diesem Verfahren kann eine Frage eingegeben werden, deren Antwort nur die beiden Kommunikationspartner kennen. Natürlich darf wie bei denanderen Verfahren die Antwort nicht über das Chatsystem oder E-Mail übertragenwerden.

Um einen Kontakt zu Authentifizieren kann nach dem Herstellen einer Verbindungim Zustand “Unverifiziert” aus dem OTR Menü “Buddy Authentifizieren” ausgewähltwerden.

Nach erfolgreicher Authentifizierung wechselt der Zustand der Unterhaltung in “Privat”. Sollte danach jemals wieder der Zustand “unverifiziert” angezeigt werden hat entweder einer der Kommunikationspartner seinen Schlüssel gewechselt oder aber es erfolgt ein Abhören der Verbindung.

This article is tagged:

• Computer
• Messaging
• Administration
• Cryptography