Kryptografie ist ein zu Unrecht unbekanntes Thema beim Normaluser im Netz und momentan mit noch mehr Unsicherheiten und Halbwahrheiten bestückt, als es uns lieb wäre. Wir sind zugegebenermaßen auch keine Krypto-Spezialisten, berufen uns aber gerne auf die Informationen der Electronic Frontier Foundation (EFF), die den Kampf gegen unrechtmäßige Spionage und Angriffen gegen die Privatssphäre bereits seit längerer Zeit führt.
Im Surveillance Self-Defense Projekt der EFF kann sich jeder die passenden Infos besorgen, um im Netz ein bisschen sicherer unterwegs zu sein. Wer möchte schon, dass die Regierung bzw. eine Geheimdienst die privaten Chat-Messages abfängt, die man tagtäglich in rauen Mengen abschickt?
Meine Empfehlungen für dich
Die 4-Stunden-Woche - Mehr Zeit, mehr Geld, mehr Leben | Der Welt-Besteller für eine geniale Work-Life-Balance, ortsunabhängiges Arbeiten und ein fantastisches Leben.
Bestes iPhone Leder-Case - Eleganter kannst du dein iPhone nicht gegen Schmutz und Kratzer schützen. Das 2in1 Leder-Case von Solo Pelle ist abnehmbar, kommt mit Kartenfächern daher und sieht einfach nur mega aus.
Mein liebster Arbeitsstuhl - Ohne den Swopper Air hätte ich sicherlich mehr Rückenschmerzen. Er fördert trotz Sitzposition eine bewegliche Wirbelsäule und hält mich beim Arbeiten aktiv. Das ist ein riesiger Vorteil zum stink normalen Bürostuhl.
Wichtig ist vor allem, dass man sich gründlich mit den Konzepten beschäftigt und sich nicht einfach auf eine Bezeichnung oder ein Tool verlässt, ohne die eigene Birne zu betätigen. Jedes Tool hat seine Schwachstellen und absolute Sicherheit ist sicherlich eine Illusion, dennoch schadet es nicht, sich um Sicherheit zu bemühen und möglichst solide Konzepte umzusetzen.
Nur weil Ihr meint, dass Ihr sowieso nichts zu verbergen habt und keinen kriminellen Machenschaften folgt, heißt das noch lange nicht dass ein Angreifer nur gute Absichten mit den sensiblen Daten verfolgt, die Ihr im Netz hinterlasst. Dass Spionage in den Staaten teilprivatisiert wurde und von Vertragspartnern wie Booze Allen Hamilton durchgeführt wird, zeigt allein anhand vom Beispiel des Whistleblowers Edward Snowden, dass auch dort erhebliche Sicherheitslücken klaffen können oder Angriffe von Außen durchkommen könnten, die nicht so gutmütig daherkommen wie Herr Snowden.
Folglich ist die (auch temporäre!) Speicherung sensibler Daten wie Kommunikation, Zugangsdaten und Metadaten immer ein Sicherheitsrisiko für den eigenen Bürger und kann erheblichen Missbrauch erfahren, sei es durch den Staat (gezielte Zensur, unrechtmäßige oder fehlterhafte Rasterfahndung, Diskreditierung oder Kriminalisierung) oder Kriminelle (Datendiebstahl für monetäre Zwecke, Abwälzen von Beweisen auf Dritte, etc.).
Zum Chatten bietet sich für Mac-User vor allem Adium an, wenn man nicht sowieso schon in der IRC-Ecke völlig ausgestattet ist. Adium erlaubt es nämlich sogar älteren Herrschaften und technisch weniger versierten Familienmitgliedern sowie Freunden sehr unkompliziert in die Welt von OTR (Off-The-Record, also außerhalb vom "Protokoll") einzutauchen. Alles was dafür benötigt wird, ist der Adium Client und ein passender Chat-Dienst.
Adium spricht die Sprache von diversen Protokollen und ist beispielsweise für Facebook Chat oder den Chat von Google geeignet (auch als GTalk, Google Talk oder Hangouts bekannt, nächstes Jahr sicher wieder mit neuem Namen). In der Konfiguration von Adium könnt ihr aus der breiten Auswahl die passenden Accounts raussuchen und auch mehrere Accounts vom selben Anbieter parallel nutzen. Auch die Twitter-Timeline lässt sich in Adium einbinden, wobei keine OTR-verschlüsselten Nachrichten zwischen Usern gesendet werden können.
In der Konfiguration von Adium können wir dann für kompatible Dienste einen privaten Schlüssel generieren, dessen Fingerprint dann einsehbar ist. Dasselbe macht unser Chatpartner auch, dann muss OTR nur noch im Chatfenster aktiviert werden. Dazu klicken wir auf das Schloss-Symbol und inittieren den verschlüsselten OTR-Chat. Alternativ lässt sich OTR auch als Standardoption für einen Kontakt einstellen, was über das selbige Menü möglich ist.
Technische Details zum Off-the-Record Protokoll finden sich auf der Seite der Entwickler. Prinzipiell ist an OTR toll, dass sogenannte Perfect forward secrecy damit erreichbar ist. Das heißt im Kurzen, dass einzelne Nachrichten mit temporären AES-256 Keys verschlüsselt werden, die über das Diffie-Hellman Protokoll zwischen den Clients verhandelt werden. Ein Angreifer kann somit keine vorherigen Konversationen abgreifen, auch wenn er neuere Schlüssel irgendwie in seinen Besitz bringt. Über deniable Authentication ist überdies nicht im Nachinein nachweisbar, dass der Absender sich beim Empfänger authentifizieren wollte.
Mögliche Sicherheitslücken sind wie immer zuallererst die Betriebssysteme der beiden Personen, die sich an einem Chat beteiligen. Wenn ein Angreifer das komplette System kompromittiert hat, kann er gegebenenfalls auch auf (temporäre) Chatlogs zugreifen oder sich als Gesprächspartner ausgeben.
Eine von Adium eingebaute Sicherheitslücke ist eine der Bequemlichkeit: Chatlogs werden standardmäßig auch für OTR-Gespräche gespeichert. Das lässt sich aber ohne Probleme auch spezifisch für OTR-Chats in den ganz normalen Einstellungen deaktivieren, dann speichert Adium keine Protokolle von geheimen Gesprächen. Wer Chatlogs braucht und dennoch Sicherheit möchte, erstellt am besten einen sogenannten Symlink auf eine verschlüsselte Partition und legt die Logdateien dort ab, oder verschlüsselt eben seine komplette Festplatte.
Wichtig zu bedenken ist jedenfalls, dass der Gesprächspartner trotz aller Verschlüsselung auch einen Risikofaktor darstellt, sollte sein Chat-Client besagte Logging-Funktion aktiviert haben und womöglich ohne weiteren Schutz auf der Platte sämtliche Gespräche mitschneiden. Außerdem macht es immer Sinn, die Identität des Gesprächspartners mit einer Frage zu überprüfen, wenn es ein wirklich sehr sensibles Gespräch ist.
Adium ist kostenlos und kann hier für Mac OS X bezogen werden.
Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵
