Sicher mit pidgin (= Gaim Nachfolger) bei IM und Chat

[meandtheshell]

Hallo,

wie die Seite einer Gitarre, werde ich nun einfach einmal das Thema IM (Instant Messaging) und chatten mit der Client Software pidgin sozusagen anreisen und zusammen können wir das dann etwas klingen lassen.

Zweck ist es schnell, einfach und für jeden nachvollziehbar ein wenig mehr "Sicherheit" bei der Kommunikation im Netz herzustellen.

Die installierten Pakete

Code: Alles auswählen

markusgattol@pc1:~$ dpkg -l pidgin* | grep ^ii
ii  pidgin             2.0.1-1             multi-protocol instant messaging client
ii  pidgin-data        2.0.1-1             multi-protocol instant messaging client - da
ii  pidgin-dbg         2.0.1-1             Debugging symbols for Pidgin
ii  pidgin-dev         2.0.1-1             multi-protocol instant messaging client - de
ii  pidgin-encryption  3.0-1               pidgin plugin that provides transparent encr
ii  pidgin-extprefs    0.7-2               extended preferences plugin for the instant 
ii  pidgin-libnotify   0.12-2              display notification bubbles in pidgin
ii  pidgin-otr         3.0.0+cvs20070508-1 Off-the-Record Messaging plugin for pidgin
ii  pidgin-plugin-pack 1.0-2               30 useful plugins for pidgin
markusgattol@pc1:~$ 

natürlich alles ganz einfach mittles

Code: Alles auswählen

aptitude install <package_name(s)>

oder

Code: Alles auswählen

 apt-get install <package_name(s)>

zu installieren.

Zwei Pakete sind hier im Kontext Sicherheit <-> pidgin besonders hervorzuheben
- pidgin-encryption und
- pidgin-otr

Beim ersten handelt es sich um transparente Verschüsselung welche mit asymetrischen keys (private/public keypairs) hergestellt wird und wo man ohne weiteres zutun mit anderen verschlüsselt (d.h. die daten welche zwischen A und B gesendet werden, werden verschlüsselt) kommunizieren kann.

Beim zweiten (pidgin-otr; für IM nicht für Multiuser Chat oder Chats wie IRC etc.) handelt es sich um eine Variante, welche neben Verschlüsselung auch noch

- Authentifizierung (ist mein Gesprächspartner auch wirklich der Mensch welcher ich denke das er es ist ODER gibt sich jemand Dritter als mein erwarteter Gesprächspartner aus)

- Bestreitbarkeit (zumindest wärend einer Konversation ist sichergestellt, dass die empfangenen Nachrichten auch wirklich vom Authentifizierten Gesprächspartner kommen und es sich nicht um eine Man-in-the-middle Attacke handelt oder einfach jemand dritter eine Nachricht an einer der beiden authentifizierten Gesprächspartner schickt)

- Sicherstellung des Geheimhaltungsmöglichkeit für die Zukunft (in einfachen Worten ist das so gesagt, dass für jede Konversation ein neues Schlüsselpaar erzeugt wird und es also (im schlimmsten Fall) nicht dazu kommt, dass der Verlust oder Diebstahl eines Schlüssels aus der Konversation n Folgen für alle Konversationen n+x wobei x > 0 ist hat.

Nach der Installation der zusätzlichen Pakete richtet man sich die Dinge ganz einfach und schnell per GUI ein.

Das oben gesagte ist sehr schnell gemacht und bringt doch erhebliche Vorteile.

Markus

[garibaldi]

Fein, hast du Zeit und Lust, dies ins Wiki einzuarbeiten?

Gruß, garibaldi

[meandtheshell]

Lust ja, Zeit nein für den initial-lift.
Korrekturlesen und evtl. zusätzliche Dinge anfügen ja.

Markus

[BeS]

Beim zweiten (pidgin-otr; für IM nicht für Multiuser Chat oder Chats wie IRC etc.) handelt es sich um eine Variante, welche neben Verschlüsselung auch noch

ich halte otr für ein interessantes und vor allem für den Endanwender einfaches verfahren, leider wird es neben pidgin von so gut wie keinem anderen Client implementiert, was die Nützlichkeit natürlich sehr einschränkt. Meiner Meinung nach bräuchte man dringend einen Standard für IM-Verschlüsselung, nur so kann sich das wirklich durchsetzen.

[meandtheshell]

Meiner Meinung nach bräuchte man dringend einen Standard für IM-Verschlüsselung, nur so kann sich das wirklich durchsetzen.

FACK

Das etwas funktioniert ist heute auch in der Linux Welt nicht mehr genug - es muss darüberhinaus
- Anwenderfreundlich
- schnell und möglichst einfach zu machen [0]
sein.

dm-crypt und LUKS ist so ein Beispiel.
Ich habe eine Zeit lang voller Freude TrueCrypt verw. bin dann aber zu dem Entschluss gekommen, dass es zu viel Arbeit ist. dm-crypt ist im Kernel und somit meine Wahl - eine, welche, ich nicht bereue den dm-crypt und LUKS ist gut.

[0]
in der FOSS Userbase nimmt der Anteil der Anfänger gegenüber den Erfahrenen sehr stark zu. Anfänger sind mit Methoden die jemand der 15+ Jahre im FOSS ist überfordert daher müssen Dinge einfacher werden in dem man Ihnen eine zustäzliche Abstraktionsschicht gibt.

Markus

[123456]

ich halte otr für ein interessantes und vor allem für den Endanwender einfaches verfahren, leider wird es neben pidgin von so gut wie keinem anderen Client implementiert, was die Nützlichkeit natürlich sehr einschränkt. Meiner Meinung nach bräuchte man dringend einen Standard für IM-Verschlüsselung, nur so kann sich das wirklich durchsetzen.

Ich nehme an, Du meinst nicht ISO Standards sondern Standard als das was mehr oder weniger alle nutzen. Naja man kann nur das nutzen, was angeboten wird.

Da ich selbst gaim+otr verwende und von den Vorteilen überzeugt bin, wundert es mich das andere IM Schreiber dies nicht in ihre Software implementieren.

Möglicherweise ist gpg einfacher zu handeln?! Hat jemand Wissen darüber?

[jhr-online]

ich halte otr für ein interessantes und vor allem für den Endanwender einfaches verfahren, leider wird es neben pidgin von so gut wie keinem anderen Client implementiert, was die Nützlichkeit natürlich sehr einschränkt. Meiner Meinung nach bräuchte man dringend einen Standard für IM-Verschlüsselung, nur so kann sich das wirklich durchsetzen.

Naja, man könnte ja einfach bestehende Techniken nutzen. Gajim zum Beispiel bietet Verschlüsselung per gpg an. Derzeit bricht er die Übertragung einer Nachricht bei Umlauten ab, aber ich gehe davon aus, dass sich das bald ändert. Dann hätte man eine Verschlüsselungsmethode für E-Mail und Jabber inkl. Authentifizierung dank Web of Trust (das ja auch schon besteht).

jhr

[meandtheshell]

Möglicherweise ist gpg einfacher zu handeln?! Hat jemand Wissen darüber?

Aus meiner Sicht "nein". Da man hier mehr oder minder du Suppe mit der Gabel löffelt - geht aber ist nicht das optimale Werkzeug dafür weil
- gpg für einen anderen Einsatzzweck gedacht ist
- keine geeigneten APIs zu automatisierung hat
- auf asymetrische Verfahren zur Verschlüsselung ausgerichtet ist (ja, symmetrische keys sind wohl möglich aber ...)

OTR wird sich durchsetzen - sage ich einfach einmal - es gibt nichts vergleichbares + es kommt mit >dem< IM Messanger den die meisten verwenden ... eine einfache Rechnung ...

Von daher sehe ich (pidgin und otr user) die Sache sehr entspannt.

Markus

/edit
@ub13
Ich bin falsch verstanden worden. Ein einheitlicher Standard wäre natürlich das Beste. Ich meinte die Vermutung OTR oder etwas sehr ähnliches könnte sich infolge (siehe oben) durchsetzen - ergo /me entspannt. Und ja, zur Zeit ist es so wie du sagst ... leider, aber das wird sich sicher ändern.

[123456]

Von daher sehe ich (pidgin und otr user) die Sache sehr entspannt.

Wenn Du mit einem NICHT pidginner jabberst, kannst entweder Du auf ein anderes Produkt ausweichen oder er muss es tun oder die Kommunikation ist unverschlüsselt - und wer wechelt schon einfach so auf ein anderes Produkt. Ich finde die Situation so im Moment nicht sehr entspannend...

[jensm]

Gehört zwar nicht zum Thema, aber weiß jemand wann Pidgin ins testing rüberwandert?

Gruß jens

[armin]

http://packages.qa.debian.org/p/pidgin.html

[jensm]

15 days old (needed 10 days)

Heißt das jetzt, das es insgesammt nur 10 Tage in unstable bleibt, oder die aktuellen 15 Tage und es braucht noch weitere 10 Tage?

[123456]

15 days old (needed 10 days)

Heißt das jetzt, das es insgesammt nur 10 Tage in unstable bleibt, oder die aktuellen 15 Tage und es braucht noch weitere 10 Tage?

Das bedeutet, das es normalerweise nach 10 Tagen nach Testing geht. Hier ist der Status aber schon 15 Tage alt, also 5 Tage drüber...Klick mal auf "Check why". Der Grund ist gtk+2.0.

[Teddybear]

Nein!! heisst es nicht!
Wenn du mal weiter schaust, dann siehst du das es abhängigkeiten hat, die noch nicht "aufgelöst" sind in testing.

[jensm]

"pidgin is waiting for gtk+2.0"

Wie wohl bei den meisten Paketn. Wenn da das aktuelle drin ist, wird es wohl Updates hageln ohne Ende, schätz ich mal.

//Edit:
Ich hab mir mal pidgin aus deb-src unstable selber gebaut (mein Jubiläum... zum ersten mal was selber gebaut :] )

[BeS]

Ich nehme an, Du meinst nicht ISO Standards sondern Standard als das was mehr oder weniger alle nutzen. Naja man kann nur das nutzen, was angeboten wird.

Muss kein ISO Standard sein. Einmal natürlich ein Standard wie du ihn beschreibst "was mehr oder weniger alle nutzen" aber auch in der Form, dass man z.B. in der Jabber Spezifikation beschreiben könnte, wie sichere Übertragung möglich ist und da dann z.B. otr oder was anderes definieren.

[garibaldi]

Lust ja, Zeit nein für den initial-lift.
Korrekturlesen und evtl. zusätzliche Dinge anfügen ja.

Den initial-lift habe ich getätigt: http://wiki.debianforum.de/SicherPidgin. Viel Spass beim Korrekturlesen!

Gruß, garibaldi

ps.: Hmm,

Code: Alles auswählen

aptitude search pidgin

ergab 0 Treffer; ist das erst in Sid?

[123456]

Hmm,

Code: Alles auswählen

aptitude search pidgin

ergab 0 Treffer; ist das erst in Sid?

Du solltest diesen Thread ruhig mal GANZ lesen...

[garibaldi]

Hmm,

Code: Alles auswählen

aptitude search pidgin

ergab 0 Treffer; ist das erst in Sid?

Du solltest diesen Thread ruhig mal GANZ lesen...

OOPS, da war ich wohl schon etwas müde!

[garibaldi]

So, habe dem Wikiartikel einen entsprechenden Hinweis verpasst.

[Hoshpak]

Für OTR gibt es übrigens auch ein Plugin für Kopete. Das erweitert den möglichen Benutzerkreis zwar nur ein bisschen, aber damit ist die Sache schon mal nicht mehr auf Pidgin beschränkt.

[Mr_Snede]

Pidgin ist seit heute in Lenny:
--> http://packages.debian.org/cgi-bin/sear ... elease=all

Habe das Wiki entsprechend geändert.

Sind die folgenden Pakete für das Thema wirklich interessant? Fände es übersichtlicher die weg zu lassen.

ii pidgin-dbg 2.0.1-1 Debugging symbols for Pidgin
ii pidgin-dev 2.0.1-1 multi-protocol instant messaging client - de
ii pidgin-extprefs 0.7-2 extended preferences plugin for the instant
ii pidgin-libnotify 0.12-2 display notification bubbles in pidgin
ii pidgin-plugin-pack 1.0-2 30 useful plugins for pidgin

[Kase]

Ich habe nochmal eine Frage zu den beiden Plugins.

Und zwar, ob man das Plugin "pidgin-encryption" überhaupt braucht?

Pidgin-encryption gibt es mom (wie der Name schon sagt) absolut NUR für Pidgin, außerdem NUR für Linux, da die Windows Version mom abstürzt (nicht immer, aber oft, kA warum, benutze PidginWin 2.0.1 und Pidgin-encryption-win 3.0 final).

Pidgin-OTR hingegen gibt es für Pidgin (Linux), Pidgin (win), AdiumX (OS-X, dort sogar DEFAULT dabei, ohne, dass man sich irgendetwas runterladen muss), Miranda, Trillian und Kopete (kenne ich persönlich nicht).

Ich persönlich habe zwar pidgin-encryption schon eine Zeit installiert, habe aber noch genau 0 User gefunden, die das Plugin auch haben, sprich ich kann eigentlich gar nicht sagen, ob das Plugin überhaupt funktioniert.

Außerdem arbeiten die beiden Plugins ja ähnlich, eventuell kann pidgin-otr sogar mit pidgin-encryption umgehen, sprich wenn man pidgin-otr hat, kann man mit Usern, die pidgin-encryption haben, auch reden?

Ist hier vielleicht jemand, der Pidgin-encryption installiert hat, und der mir mal seine Account-Daten per PM schicken kann, damit ich ihn/sie zu den Users adden kann?

[strahler]

Hallo,
ich hab da ein Problem mit dem OTR Plugin für Pidgin.

Sobald ich eine verschlüsselte Session starte (inkl. verify fingerprint), seh ich zwar alles was mein Gesprächspartner tippt, sehe aber meine ausgehenden Nachrichten nur kryptisch, also z.b:

Code: Alles auswählen

 (23:31:18) chadnick: ich schau nochmal 
(23:31:31) strahler: ?OTR:AAIDAAAAAAMAAAAEAAAAwFNsmYXl/9e4V05rrZMd62dI7dg4to3x4wH4ZXD5h22982S+
iWo99EUJN+bnmzVY8WLXs5h9D4Mvn98iqQkUjfMzBj4/NxSdPxRF1joK8pnW7wKt4GVjI/+
V8EHxQ3daY/ulDc7zcY+bU8DlTWXjSjDsxZ83A61sFxiId++5np4nJ7vRxt23FKQbHG0rdN6JzUzI+
b0SLFk7PIXHCKBxByTnB1CEhFOn7xOIlIGv+2iCqNdCKtOoKfZQ++c6PUByWwAAAAAAAAABAAAADBnL+
rdMTKkmsASH9jOCg1uCiskXkaj7jDrK97VFxGm6AAAAFOGmlIajm/Rx4Bb3okfWilkCOrIE. 

Ich habe keine Ahnung woran das liegen könnte. Habe pidgin-Version 2.1.1-1
sowie:
strahler@rincewind:~$ dpkg -l | grep otr
ii libotr2 3.1.0-1 Off-the-Record Messaging library
ii pidgin-otr 3.1.0-1 Off-the-Record Messaging plugin for pidgin

Danke im Vorraus

gruß
strahler

[strahler]

O.k, ich konnte da Problem lösen.
Mein Message Splitter Plugin konnte mit dem OTR nicht umgehen.
Habs deaktiviert, jetzt läuft es einwandfrei.

Gruß
strahler