Eine Anleitung zum sicheren Chatten mit Truecrypt, Pidgin-OTR und TOR

 

UPDATE:  Ich verklage das Wirtschaftsministerium und das Innenministerium weil ich wissen möchte, wie Deutschland den Export von Überwachungstechnologie unterstützt hat. Bitte unterstützt mein Crowdfunding

 

Nachdem ich bereits einen kleinen Leitfaden zum datenschutztechnisch sichereren Surfen im Internet geschrieben habe, mehren sich gerade die Anfragen, ob man auch sicher über Chat kommunizieren kann. Das geht, wenn man ein paar Dinge beachtet. Gesetzt den Fall, der Rechner ist nicht infiziert oder mit Keyloggern verseucht, bleiben mit der im Anschluss beschriebenen Vorgehensweise der Inhalt und die Verbindung geheim.

Vorweg – ich bin kein Programmierer, verstehe nichts von Quellcode und kann nur wenig mit einem Compiler anfangen. Die folgende Anleitung basiert entsprechend auf Empfehlungen, die mir von Experten gegeben wurden, denen ich vertraue. Jede Kritik an den genannten Programmen und Methoden wird ernst genommen und eingebunden. Das Ganze ist auch für Laien einfach umsetzbar und schnell erlernbar. Für die Installation auf dem USB-Stick sollte ein schneller und robuster Stick verwendet werden, mindestens USB 2.0.

 

Zunächst einmal sollten Nutzer die letzte stabile Version der Verschlüsselungssoftware Truecrypt auf ihren Rechner herunterladen. Damit kann man einen „Container“ erstellen, einen geschützten Bereich, dessen Inhalt sehr sicher ist. Dort packen wir dann anschließend das mit OTR verschlüsselte Chatprogramm Pidgin und das Torbrowser Bundle hinein.

Erst einmal also Truecrypt auf dem Rechner installieren. Nimmt man den Rechner (im Falle eines Laptops beispielsweise) oder auch den Stick in Krisengebiete, Diktaturen oder die USA mit, sollte man alle Truecrypt-Dateien nach der erfolgreichen Installation in etwas Harmloses umbenennen. Das ist weniger auffällig.

Anschließend kann das Verschlüsselungs-Programm mit einem Klick auf die TrueCrypt.exe oder das Icon im Menü gestartet werden:

 

 

Unter „Create Volume“ kann jetzt mit anschließendem „create an encrypted file container“ ein bereits angesprochener sicherer Ordner erstellt werden. Nach dem Klicken die Option „Standard Truecrypt Volume“ wählen. Unter „Select File“ kann man jetzt bestimmen, wo der Container hin soll. Ich empfehle, das Ganze auf einen USB Stick auszulagern. Den hat man meistens bei sich und es ist somit für Außenstehende schwerer, den Inhalt zu manipulieren. Anschließend die „Enryption Options“ mit „Next“ unten bestätigen:

 

 

Truecrypt möchte jetzt wissen, wie groß der Container sein soll, denn der Platz wird in Zukunft automatisch für den verschlüsselten Ordner reserviert. Falls nur der Chatclient Pidgin und der Anonymisierer TOR in den Container gelegt werden, reichen 200 MB. Sollen dort später auch andere Applikationen oder Daten verstaut werden, muss entsprechend mehr Platz reserviert werden.

Trucrypt möchte jetzt ein Passwort haben. Mit diesem steht und fällt die Sicherheit. Also lieber nicht das Geburtsdatum oder den Namen der Freundin wählen, sondern ein komplizierteres Passwort, das man sich trotzdem gut merken kann:

 

 

Anschließend „Next“ klicken. Jetzt beginnt das lustige Maus-bewegen-Spiel.  Damit der Verschlüsselungsalgorithmus einen möglichst zufälligen Wert wählt, die Maus etwa 30 Sekunden lang vollkommen willkürlich über die Programmoberfläche bewegen:

 

 

Das Ganze mit „Format“ abschließen. Hat alles geklappt, sollte folgende Meldung erscheinen:

 

 

Jetzt können wir zum gerade neu geschaffenen Container gehen und diesen umbenennen, zum Beispiel in manual.pdf, shakira.mpeg oder Bedienungsanleitung.doc. Klickt nun ein Unbeteiligter auf das Dokument, versucht das zur Endung gehörige Programm, den Container zu öffnen und spuckt einfach eine Fehlermeldung aus. Truecrypt hingegen ignoriert die Endung beim Öffnen und kann auch mit der Fake-Benennung umgehen.

Anschließend wieder zurück zur Startfläche von Truecrypt gehen. Dem Programm muss jetzt gezeigt werden, wo der verschlüsselte Ordner liegt, den wir gerne öffnen wollen. Dazu „Select File“ (1) anklicken und den Container auswählen. Anschließend auf „Mount“ (2) klicken.

 

 

Damit ist es nun möglich, den Ordner nach Eingabe des Passworts  zu öffnen. Dazu einfach auf den Pfad doppelklicken. Nicht wundern, Truecrypt behandelt den Container wie ein eigenes Laufwerk. In meinem Fall erstellt das Programm das Laufwerk H:. Das ist aber nur der gemountete Ordner:

 

 

Der Container verhält sich jetzt wie ein ganz normaler Ordner. Man kann Dateien hinzufügen, öffnen oder bearbeiten. Ist man mit der Bearbeitung fertig, den Ordner wieder auskoppeln über „Dismount“. Sobald dies geschehen ist, kann man nicht mehr auf den Inhalt zurückgreifen. Mit ein bisschen Übung ist das Ganze kinderleicht!

Damit wir auch unterwegs immer Zugriff auf den Ordner haben, brauchen wir das Programm Truecrypt noch als portable Version auf dem Stick. Dazu Truecrypt starten und über „Tools“ und „Traveler Disk Setup“ das Programm auch auf den Stick installieren. Natürlich diesmal nicht in den verschlüsselten Container, da wir das Programm später brauchen, um eben diesen zu öffnen:

 

 

Jetzt kommt das eigentliche Chatprogramm hinzu. Dazu erst einmal über die „Mount“-Funktion bei Truecrypt den eben erstellten Container öffnen. Jetzt den quelloffenen Chatclient Pidgin in der portablen Version in eben diesen Ordner herunterladen und installieren. Dabei wird ein Ordner namens PidginPortable erstellt. Dort findet sich auch die PidginPortable.exe, die später das Programm startet. Jetzt fehlt noch Off-the-Record, das Tool zum Verschlüsseln. Hier herunterladen und als Installationsort genau den PidginPortable Ordner nehmen, der eben neu geschaffen wurde. Dadurch installiert OTR automatisch alles dahin, wo es hin soll. Da alle Programm in den Container installiert wurde, ist es später Außenstehenden nur schwer möglich, sie zu manipulieren oder die Chatprotokolle auszulesen.

Anschließend mit einem Klick auf PidginPortable.exe das Chatprogramm starten.

 

 

Auf „Konten“ klicken, dann „Konten verwalten“ und dann auf „Hinzufügen“. Daraufhin erscheint ein neues Fenster:

 

 

Wir könnten jetzt theoretisch alle möglichen Protokolle wählen, von Google Talk bis Yahoo Messenger. Wir wollen das Ganze aber so sicher wie möglich halten und klicken deshalb auf den Pfeil hinter „Protokoll“ und wählen „XMPP“, auch Jabber genannt. Unter „Benutzer“ einen Namen eintragen, von dem wir denken, dass er noch nicht belegt ist. Bei Domain tragen wir ein: „jabber.ccc.de“. Damit läuft die Kommunikation über den Jabber-Server des Chaos Computer Clubs. Unter Ressource vermerken wir, von wo wir das Programm nutzen oder mit welchem Programm. Ist nicht weiter wichtig.  Das Passwort sollte wieder entsprechend sicher sein. Merken soll sich Pidgin das Passwort nicht, daher nicht „Passwort speichern“ ankreuzen. Wichtig ist allerdings der Haken bei „Dieses neue Konto auf dem Server anlegen“, falls der Nutzer noch keinen Jabber-Account hat. Beim späteren Einloggen ist der Haken dann nicht mehr nötig, da wir dann ja schon einen Account haben:

 

 

Daraufhin öffnet sich ein Fenster, wir bestätigen die Registrierung. Jetzt muss noch das Verschlüsselungs-Plugin OTR eingestellt werden. Dazu bei geöffnetem Pidgin in der Leiste oben auf „Werkzeuge“ und dann auf „Plugins“ klicken:

 

 

Herunterscrollen bis zum Punkt „Off-the Record Messaging“. Dort einen Haken zum Aktivieren des Plugins setzen, die Zeile mit dem Erklärungstext zu OTR anklicken und dann auf „Plugin konfigurieren“ gehen:

 

 

Jetzt muss noch ein Schlüssel generiert werden. Das ist so was wie ein geheimes Passwort, das man dem Gegenüber heimlich mitteilt, damit der sehen kann, dass man der ist, für den man sich ausgibt:

 

 

Am besten gibt man sich den Schlüssel von Angesicht zu Angesicht. Oder man nutzt eine sonstige sichere Leitung wie PGP verschlüsselte Mails. Bei weniger sensiblen Kontakten kann auch das Telefon reichen.

Das Fenster schließen und wieder zum Ausgangsfenster zurück gehen:

 

 

Wenn das Ganze noch über TOR laufen soll und entsprechend nicht ersichtlich ist, wer mit wem kommuniziert hat, sind noch ein paar kleine Einstellungen nötig. Dazu zunächst das TOR Browser Bundle wählen und in den Container installieren. Dadurch hat man es auch bei fremden Rechnern zur Hand, muss es nicht nachträglich dort installieren. Das Programm durch einen Doppelklick auf die StartTorBrowser.exe im neuen Ordner aktivieren und warten, bis Tor läuft.

Jetzt wieder zu Pidgin wechseln und zu „Konten“ gehen, dann auf den genutzten Accountnamen und dann auf „Konto bearbeiten“. Es öffnet sich ein neues Fenster. Oben den Registerreiter „Proxy“ wählen und folgende Werte von der TOR-Seite eintragen:

 

 

Jetzt ist alles bereit, man kann ziemlich sicher kommunizieren. Neue Kontakte kann man ins Adressbuch eintragen über „Buddys“ – „Buddy hinzufügen“.  Einfach auf den Eintrag des Buddy doppelklicken und die Konversation kann beginnen. Damit die Konversation auch verschlüsselt abläuft, muss noch unbedingt über  über den Registerreiter „OTR“ ein privater verschlüsselter Chat begonnen, der Kontakt authentifiziert werden:

 

 

Ist man mit der Konversation fertig, einfach Pidgin beenden, Tor stoppen und den Container dismounten. Und wenn zukünftig sicher gechattet werden soll, muss einfach nur der Container gemountet, Tor gestartet und die private Verbindung bei Pidgin aktiviert werden. Das geht in 30 Sekunden.

 

JS gewidmet, der mich mit seinen Kommunikationsanforderungen in den Krisenregionen dieser Welt immer wieder mal an den Rand meines Wissens und darüber hinaus bringt  :)

 

4 comments to Eine Anleitung zum sicheren Chatten mit Truecrypt, Pidgin-OTR und TOR

Leave a Reply

  

  

  

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>