PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : OMEMO: Endlich auf vielen Geräten verschlüsselt chatten



RedDevil
14.10.2016, 10:12
https://www.szenebox.org/images/_imported/2016/10/80.jpg ► Die bisher bei XMPP-Instant-Messengern zum Einsatz kommenden Ende-zu-Ende-Verschlüsselungen OTR und OpenPGP haben zahlreiche nervige Limitierungen, mit OMEMO steht nun ein zeitgemäßer Nachfolger zur Verfügung. Wir erklären die technischen Hintergründe - und sagen, wie man es benutzt.Wer verschlüsselte Chat-Nachrichten auf mehreren Geräten gleichzeitig darstellen will, hat derzeit nur eine sehr begrenzte Auswahl an geeigneten Apps. Mit dem OTR-Workaround für verschlüsselte Chats über Jabber (XMPP) können zudem nur Nachrichten verschlüsselt werden, wenn beide Nutzer zur gleichen Zeit online sind. Die XMPP-Erweiterung OMEMO soll dieses Problem lösen.

Im Rahmen des Google Summer of Codes hat es OMEMO in den Android-XMPP-Client Conversations geschafft, und seit Anfang des Jahres steht ein Plugin für den Desktopclient Gajim bereit. Einer der Macher von OMEMO erklärt im Folgenden, wie man es benutzt, was man beachten muss und welche Technik im Hintergrund arbeitet - und räumt mit ein paar Missverständnissen bezüglich XMPP auf.

► Jabber - der etablierte Standard
XMPP, umgangssprachlich auch Jabber genannt, ist ein Protokoll für providerunabhängiges Instant Messaging. Ähnlich wie bei E-Mail werden Benutzer über benutzername@server identifiziert. Das erweiterbare Basisprotokoll ist von der Internet Engineering Task Force (IETF) standardisiert und definiert, wie Clients und Server sowie Server untereinander Pakete austauschen können. Welche Informationen in diesen Paketen konkret übertragen werden, ist über Erweiterungen definiert. Diese Erweiterungen, XEPs (XMPP Extension Protocol) genannt, werden über die XMPP Standards Foundation standardisiert. Es existieren Erweiterungen für alle möglichen Einsatzzwecke. Lange Zeit vermisst wurde jedoch eine standardisierte Erweiterung für Ende-zu-Ende-Verschlüsselung - diese ist mit OMEMO in der Vorbereitung und kann auch bereits genutzt werden. Doch auch ohne Standardisierung fanden zwei Verschlüsselungsmethoden mit der Zeit ihre Anwendung in XMPP: OpenPGP und OTR.

► OTR ist nur eine halbe Lösung
OpenPGP hat in Form einer inoffiziellen, nicht standardisierten Erweiterung, XEP-0027 (http://xmpp.org/extensions/xep-0027.html), Einzug in diverse XMPP-Clients erhalten. Die zurzeit am weitesten verbreitete Verschlüsselungsmethode OTR (Off-the-Record-Messaging) hingegen ist keine Erweiterung für XMPP - das wird oft missverstanden. Sie funktioniert unabhängig vom verwendeten Instant Messenger und verpackt sich selber in herkömmliche Textnachrichten. Ein Problem im Zusammenspiel von OTR und XMPP ergibt sich jedoch aus der Tatsache, dass OTR am Anfang einer Sitzung einen Schlüsselaustausch durchführen muss. In Ermangelung eines Standards, der definiert, von wann bis wann eine Sitzung gültig ist, handhabt jede Implementierung dies ein bisschen anders, was im schlimmsten Fall zum Verlust von Nachrichten führen kann, wenn ein Client Nachrichten in einer Sitzung verschickt, die am anderen Ende schon nicht mehr existiert.

Traditionell ermöglicht es XMPP dem Benutzer, mit mehreren Clients gleichzeitig angemeldet zu sein. Der Schlüsselaustausch von OTR findet jedoch immer nur zwischen zwei Geräten statt. Ein zweiter Client bekommt folglich nur unlesbaren Datenmüll zugeschickt. Nach über zehn Jahren OTR-Nutzung wurde 2015 zumindest der Versuch unternommen, ein paar Regeln für den Versand von OTR-verschlüsselten Nachrichten über XMPP aufzustellen (XEP-0364) (http://xmpp.org/extensions/xep-0364.html). Die Limitierungen von OTR sollen künftig durch Verwendung von OMEMO nicht mehr auftauchen.

Quelle: Golem.de (http://www.golem.de/news/omemo-endlich-auf-vielen-geraeten-verschluesselt-chatten-1610-123621.html)

tm42
18.10.2016, 16:21
zum vergleichen, eine IM-Vergleichstabelle mit 20 messengern und scores nach features, security und privacy. Wer da noch fehlt, ist der xmpp-client https://coy.im/. Die halten ihre codebasis so klein wie's geht, verzichten auf schnickschnack (zB emoticons), allem was zusätzlich risiken birgt.

http://öä.eu/bac.html