Anmerkung der Übersetzung: Wer in der Lage ist diese Anleitung zu befolgen kann ohne Mehraufwand auch direkt einen freien Jabber-Server zum verschlüsseln nutzen. Dies wird dringend Empfohlen. Siehe dazu: Verschlüsseltes Chatten mit Pidgin und OTR unter Windows (für Anfänger). Für eine Diskussion um die Sinnhaftigkeit dieser Anleitung siehe die Kommentare auf auf Indymedia Linksunten. Die Englische Originalversion der Anleitung findet ihr auf apapadop.wordpress.com.
Der Facebook Chat ist einfach und praktisch, aber hat einen Nachteil: Facebook speichert alles was ihr schreibt. Wenn das für euch kein Problem darstellt (z.B. weil ihr zur "Ich habe nichts zu verbergen, also habe ich auch nichts zu befürchten"-Fraktion gehört) könnt ihr hier mit dem Lesen aufhören.
"Wie kann ich eine private, nicht aufgezeichnete unterhaltung auf Facebook führen?"
Indem ihr nicht die auf der Facebook-Seite einbehaute Chat-Funktion nutzt, wir müssen mit dem OTR-Plugin kompatible Software nutzen die das Protokoll XMPP beherrscht, in der folgenden Anleitung nutzen wir Pidgin.
Als erstes müsst ihr euren Facebook-Nutzernamen wissen. Diesen könnt ihr in den Kontoeinstellungen einsehen, es ist der selbe der auch beim anschauen eures Profils am Ende der URL angezeigt wird. Wenn ihr keinen Nutzernamen eingerichtet habt könnt ihr das folgendermaßen machen:
Nach dem speichern solltet ihr euren neuen Nutzernamen sehen können, merkt ihn euch bitte da dieser benötigt wird.
Um sicher zu gehen das der neue Benutzername aktiviert ist (nur für den Fall das ihr ihn soeben neu angelegt habt) macht folgendes:
- Loggt euch aus Facebook aus. (Die Seite schließen reicht nicht)
- Loggt euch mit eurem neuen Nutzernamen (anstatt eurer Emailadresse) ein. Diesen gebt ihr in das "Email oder Telefon"-Feld. Als Password benutzt ihr eurer normales.
Aus und Einloggen scheint notwendig zu sein um euren neuen Benutzernamen zu aktivieren.
Vor dem Fortfahren bitte beachten:
Um eine Private, sichere unterhaltung zu haben müssen beide, du und dein Chatpartner, diese Anleitung befolgt haben bzw kompatible Programme nutzen.
Wenn ihr verschiedene Computer benutzt (z.B. zu Hause und auf der Arbeit, oder auch per Handy https://guardianproject.info/apps/gibber/ verschlüsselt chatten wollt) musst du es bei jedem einzeln einrichten.
Als erstes ladet den Pidgin Messegnger herunter
Ladet das Programm von https://pidgin.im herunter und Installiert es.
Wenn ihr Pidgin installert habt:
OTR-Plugin herunterladen und Installieren
Das Off The Record (OTR) erlaubt Pidgin-Nutzern ihre Chats zu verschlüsseln. Ladet es von http://www.cypherpunks.ca/otr/ und installiert es.
Richtet Pidgin für Facebook ein
Beim ersten mal starten von Pidgin werdet ihr das sehen:
Fügt einen Account hinzu - ein neues Fenster öffnet sich.
Gebt die Daten wie auf dem Bild zu sehen ein, benutzt euren Facebook-Nutzernamen (Kennt ihr nicht? Seht oben wie ihr ihr herausfindet) und euer Facebook-Password.
Öffnet den "Erweitert"-Reiter und füllt ihn wie hier dargestellt aus.
Nun könnt ihr den neuen Account hinzufügen/speichern.
Eventuell bekommt ihr direkt eine Aufforderung das Zertifikat von chat.facebook.com zu bestätigen. Betätigt es.
Nun solltet ihr zum Facebook-Chat verbunden sein. Eine Liste eurer Facebook-Freunde die online sind sollte angezeigt werden.
Wenn ihr etwas wie auf dem Bild dargestelles seht Glückwunsch, ihr seid verbunden. Ihr könnt jetzt über Pidgin ohne Facebook.com zu besuchen mit euren Kontakten Chatten. Verschlüsselt ist dies aber noch nicht, siehe unten für weitere Schritte! Sollten Fehlermeldungen erscheinen achtet auf die Einstellungen und guckt nach ob du alles richtig eingegeben ist. Beachtet: Dein Facebook-Benutzernam ist nicht gleich deinem Facebook-Namen!
Aktiviere und Konfiguriere das OTR-Plugin
Öffnet die Plugin-Liste wie hier dargestellt:
Scrollt etwas herunter bis ihr "Off-the-Record Messaging" findet. Setzt den haken davor, um das Plugin zu aktivieren.
In den Plugin-Einstellungen könnt ihr noch sicher gehen das die Chats nicht lokal gespeichert/mitgeschnitten werden.
Nun könnt ihr verschlüsselt mit Kontakten Chatten die ebenfalls das OTR Plugin nutzen.
Starte einen verschlüsselten Chat mit Pidgin+OTR
Ihr könnt nur verschlüsselt mit Leuten Chatten die ebenfalls die nötige Software installiert haben. Diese müssen nicht unbedingt Pidgin nutzen, es gibt auch andere Programme die diese verschlüsslung unterstützen. Adium oder für Android-Handys die App Gibberbot z.B..
Rechts unten im Chatfenster könnt ihr eine sichere Unterhaltung beginnen.
Pidgin wird versuchen eine verschlüsselte Verbindung aufzubauen, sofern der Gesprächspartner auch die nötige Software nutzt sollte dies so aussehen:
Dieses Ergebnis wollen wir. "Unverifiziert" ist nicht unbedingt ein Problem (Mehr zum verifizieren siehe unten).
Funktioniert dies nicht aktiviert in euren Facebook-Einstellungen unter "Anwendungseinstellungen" Anwendungen/Plugins.
Verbesserungen/weiteres (optional)
Ist die Unterhaltung nicht verifiziert könnt ihr euch nicht sicher sein das die Person mit der ihr schreibt wirklich euer Freund ist, und nicht nur jemand der dies vorgibt und z.B. den Account gehackt hat.
Um dies und Man-in-the-Middle-Attacken auszuschließen solltet ihr Freunde immer verifizieren, dies ist nur ein einziges mal pro Freund nötig und wird gespeichert.
Verifiziere die Identität deiner Chatkonakte
Aus technischen Gründen muss die Identität manuell verifiziert werden, indem ihr die sogennanten "Fingerprints" vergleicht. In den Einstellungen vom OTR-Plugin (seht oben wo diese zu finden sind) findet ihr dafür eine Auflistung der Fingerprints eurer Kontakte.
Dort könnt ihr Kontakte auswählen und verifizieren, nachdem ihr mit ihnen die Fingerprints abgeglichen habt.
Dieser schritt ist lästig, da erforderlich ist das der abgleich der Fingerprints über einen anderen Weg vorgenommen wird. (z.B. per Telefon oder Email oder gar analog).
Einmal verifizerit reicht, in Zukunft wird die Unterhaltung direkt als "Privat" angezeigt.
Um sicher zu gehen könnt ihr euch auf der Facebook-Webiste den Chatverlauf anschauen, dieser sollte so aussehen:
Das einzige was Facebook jetzt sieht ist mit wem ihr wann chattet (auch von wo, dank der IP, falls kein Proxy/VPN benutzt wird) aber nicht länger den Inhalt.
Nun müsst ihr nurnoch eure Freunde überreden ihre Chats auch zu verschlüsseln, dazu kannst du sie auf diese Anleitung verweisen.
Übrigens können in Pidgin auch MSN, ICQ, Jabber und einige andere Protokolle genutzt werden, und dies ebenso verschlüsselt. Und wenn dich verschlüsselte Gruppenchats über den Browser interessieren oder dir das hier alles zu kompliziert scheint schau dir https://crypto.cat/ an.
Man sollte sich darüber im Klaren sein sein das sich Geheimdienste besonders für verschlüsselte Kommunikation interessieren, die NSA z.B. widmet dieser besondere Aufmerksamkeit. Auch wenn sie ohne viel Arbeit/Rechenkraft zu investieren warscheinlich nicht mitlesen können ist allein der Fakt das ihr verschlüsselt Kommuniziert für sie verdächtig.
Als positiver Nebenefekt werden von Facebook als gefährlich eingestufe Links (meist zu Downloadseiten) übrigens nichtmehr blockiert, wie sonst im Facebook-Chat oft der Fall.
Cryptocat
ist nicht sicher
http://www.heise.de/security/meldung/Truegerische-Sicherheit-Verschluess...
http://blog.fefe.de/?ts=af2b5c96
Der Inhalt der Chats ist für die Dienste nicht so interessant wie die Verbindungsdaten. Wer etwas zu verbergebn hat benutzt eh einen "Jargon" ("Tante Milli 4 rote Rosen am Montag, die Tanten reisen nach Osten ..."). Stellt man die Verbindungen, also wer mit wem kommuniziert, grafisch da, dann erkennt man sehr schnell "Netzknoten", also Personen oder Identitäten wo die Fäden zusammenlaufen. Das ist dann der Dealer, der Rädelsführer, sind die Leute die für die Diente interessant sind.
Das sollte man nie vergessen. Und Facebook - nun ja - with facebook your are not the customer, you are the product being sold.
Lösungen die in Java oder Javascript geschrieben sind sollte man grundsätzlich als nicht sicher betrachten, auch vorgeblich sichere Lösungen können nicht sicherer sein als die Plattform auf der sie laufen. Was nutzt einem das als sicher geltende gnupg, wenn es auf einem ungepatchtem Windows-XP läuft oder auf dem Rechner von Schlapphüten oder anderen Kriminellen eine Art Fernwartungssoftware installiert wurde?
jep!
jep, den kommentar unterschreib ich....
pidgin/OTR is ok ohne fratzenbuch. google hängauf hatz XMPP protokoll auch wieder rausgeschmissen. es gibt freie (kostenloste) jabber-server - einfach mal bei duckduck oder ixquick suchen! jabber.org ist auch ein guter 1ter anlaufpkt.
fratzenbuch = zentralistisch, ergo leicht zu "überwachen"
xmpp / diaspora / identi.ca = P2P schwer zu kontrolieren und auch noch "social" im sinne von...
riseup.net
joindiaspora
identi.ca
Schließt Eure Facebook-Accounts! Ihr gefährdet andere!
Plötzlich plappern Anna und Arthur:
http://www.nadir.org/news/Plötzlich_plappern_Anna_und_Arthur.html
auf linksunten
https://linksunten.indymedia.org/de/node/69744
Cryptocat nicht sicher? Melde die Bugs von denen du weißt!
Das Cryptocat nicht sicher ist ist eine Behaubtung die du bitte mit Fakten unterstützen solltest, sonst bleibt es unsicher. Wenn du von Bugs weißt melde diese damit die geschlossen werden können! Es stimmt durchaus das Cryptocat in der vergangenheit Fehler gemacht hat, aber verteufeln finde ich den falschen Ansatz (insbesondere da es open source ist).
In der deutschen Praxis ist der Inhalt der Chats das interessante, nämlich dann wenn dieser z.B. in Gerichtsverfahren verwendet wird, der VS mitliest oder meinetwegen sogar Nazis einen Account gehackt haben (soll schon vorgekommen sein..). Das von Geheimdiensten (insbesondere wegen der Menge an Daten) hauptsächlich mit den Metadaten gearbeitet wird mag stimmen, ist aber meiner Meinung nach um weites weniger fatal.
Mit Windows & Java hast du natürlich recht, vielleicht hast du ja lust Anleitungen zu verfassen die es der deutschen Linken erleichtern endlich auch auf Ubuntu (wegen der einfachheit) oder ähnliches umzusteigen.
vor 3 Tagen
Dann schau doch mal hier:
Trügerische Sicherheit: Verschlüsselte CryptoCat-Chats knackbar
Zitat nur für dich
"[in Gruppenchats] versendete Nachrichten im Zeitraum vom 17. Oktober 2011 bis 15. Juni 2013 kompromittiert" (Heute ist der 7.Juli)
Antwort für alle
Du findest es nicht problematisch oder auch nur erwähnenswert, dass zwei Jahre lang alle Gruppenchats nur schwach verschlüsselt waren? Ich würde der Software nicht mehr vertrauen, insbesondere, wenn ich mir die Umstände des Bugfixings anschaue (siehe Links im heise-Text).
Eschd schbiddse!
Behaubdung?
Pidgin
ich habe Pidgin runtergeladen. Wenn ich es installieren will, kommt immer ein Fehler. Failed to find Pigdin installation
Pidgin
funktioniert doch
Support
Benutz doch mal Google (oder DuckDuckGo) und such nach "Failed to find Pidgin installation" (Pidgin richtig geschrieben und mit Anführungszeichen). Erkennst du ein Szenario wieder, das so ähnlich wie deines ist? Kannst du das Problem damit lösen? Dann poste bitte hier die Lösung.
Falls nicht, solltest du mehr Infos geben: Welches Betriebssystem benutzt du (Windows, Linux, Mac)? In welcher Version (Windows 8, Ubuntu Raring, OSX Mountain Lion)? Versuchst du die "normale" oder die portable version von Pidgin zu installieren?
Jabber statt Facebook
"Das einzige was Facebook jetzt sieht ist mit wem ihr wann chattet (auch von wo, dank der IP, falls kein Proxy/VPN benutzt wird)" That´s the point11elf -.-
Warum verbreitet ihr so eine fahrlässig dumme Anleitung? Wer eh schon Pidgin samt OTR-Plugin installiert hat, sollte auch Jabber benutzen. Aber klar, sichere Kommunikation ist für uns alle Neuland^^
Sehr richtig
Ich verstehe auch überhaupt nicht den Sinn dahinter, Facebook-Chat statt Jabber zu benutzen, wenn sowieso schon Pidgin benutzt wird. Dieser Artikel ist gefährlich, weil er die Bedeutung der Metadaten (wer kommuniziert wann mit wem) herunterspielt.
Facebook Chat = Jabber
Der Facebook Chat nutzt das Jabber Protokoll XMPP. Worauf es ankommt sind die Server, über die die Verbindungen laufen.
Nein
Limitations
Facebook Chat should be compatible with every XMPP client, but is not a full XMPP server. It should be thought of as a proxy into the world of Facebook Chat on facebook.com. As a result, it has several behaviors that differ slightly from what you would expect from a traditional XMPP service:
Source: developers.facebook.com/docs/chat/
Fahrlässige dumme Anleitung?
Es existieren beirets diverse Anleitungen zum verschlüsselten Chatten mit Pidgin, diese hier, wie man hoffe ich unschwer erkennen kann, bezieht sich nunmal auf den Facebook-Chat. Natürlich ist die Benutzung von freien Jabber Servern (Der Facebook Server nutzt ebenfalls Jabber/XMPP!) empfehlenswert, aber das Interesse an dieser Anleitung ist im Gegensatz zu den herkömmlichen einfach groß.
Sau viele Informationen nehmen zur Zeit ihren weg über den Facebook-Chat/Nachrichtensystem. Natürlich schützt das genannte nicht davor das Facebook sehen kann mit wem man kommuniziert, aber das ist ja wirklich ein mini-Problem im Vergleich dazu was für Informationen zur Zeit z.B. für die Strafverfolgungsbehörden in den Accounts einsehbar ist. Das mit abstand kleinere Übel ist das verschlüsseln der Facebook-Nachrichten!
Teilweise
Wenn sich Leute bereits Pidgin installieren, gibt es keinen Grund, den Chat über Facebook laufen zu lassen. Deshalb ist die Anleitung oben gefährlich, denn sie ignoriert, dass Kommunikationsprofile (nicht der Inhalt der Chats) erstellt werden – um so mehr, wenn verschlüsselt kommuniziert wird. Also OTR: ja, aber nicht über Facebook!
...
Schon mal auf die Idee gekommen, dass es für Leute eventuell leichter ist schrittweise vom Facebook-Chat über verschlüsselten Facebook-Chat zu anderen Servern zu wechseln? Schließlich funktioniert das ja schwierig als Entscheidungs eines/einer Einzelnen. Sollen ja auch die Leute erreichbar sein, mit denen mensch sprechen will...
Die Kritik bleibt bestehen
Der Schritt sich Pidgin zu installieren und ein Tool auf dem eigenen Rechner statt des Webchats bei Facebook zu nutzen ist groß. Der Schritt, bei Pidgin einen anderen Server als Facebook zu wählen ist winzig. Da der erste Schritt von beiden Seiten gemacht werden muss, ist der zweite nicht relevant. Die Anleitung ist daher gefährlich, weil sie nicht weit genug geht und sich die Leute dadurch in scheinbarer Sicherheit wähnen. Die Bedeutung der Metadaten wird unterschätzt, das ist das Problem.
Zur Untermauerung der These...
...ein Auszug aus dem aktuellen SPIEGEL-Interview mit Edward Snowden:
Generation Facebook!
Wer auf Facebook relevantes kommuniziert, dem/der ist nicht zu helfen.......
Hmmm
Und wer glaubt das es relevante und irelevante Informationen gibt dem ist ebenfalls nicht zu helfen...
re: Hmmm
wieso?
Deshalb
Weil auch aus scheinbar irrelevanten Informationen Schlüsse gezogen werden können. Für Details fragen Sie bitte ihre nächstgelegene Antifa.
joar
Wenn du so willst, dann stimmt das schon. Da hast du recht.
Bleibt doch prinzipiell da weg....
Das fängt schon damit an, das Menschen die sich überhaupt auf facebook registrieren nicht mehr zu helfen ist.
Das wird auch durch einen verschlüsselten Chat nicht besser, der immer noch über deren Server und damit auch der NSA läuft.
Ungefähr so sinnvoll wie sich mitten im Polizeirevier auf Esperanto zu unterhalten. Schlaue Menschen gehen erst gar nicht ins Revier. ;-)
boah, mods....
...bitte versteckt den Eintrag oder setzt einen fetten Kommentar oben drüber. Die Nutzung von Facebook für politische Kommunikation ist scheiß gefährlich. Allein schon durch die Benutzung von OTR (die Facebook automatisch erkennt!!!) macht mensch sich verdächtig.
dann noch ein paar analysen zu gemeinsamen freund*innen und fertig ist die §129'er anklage (bissl überspitzt dargestellt)
boah
Das Facebook OTR-Kommunikation erkennt ist kein Meisterwerk, die Anfrage zum Start einer Konversation sind klartext und mit einer einfachen Regel erkennbar (sowas). Die einzelnen Nachrichten dann auch als solche ausgewiesen. OpenPGP kann man auch ohne weiteres als PGP erkennen, z.B. da im Header PGP dabei steht....
Ich fühle mich an die Grünen in ihren frühen Jahren erinnert, als Computer verteufelt wurden. Die verteuflung von Facebook ist einfach verlogen, während die Hälfte der Kommentatoren hier sicher im Nachbartab Facebook nutzt. Mit der Logik warnt doch bitte auch vor der Nutzung von PGP, denn die meisten nutzen PGP nicht über sichere Mailserver. Und OTR. Das ICQ/MSN loggen ist doch bekannt, mit OTR loggen sie sicher auchnoch Metadaten.
Wir sollten garnicht verschlüsseln, das ist doch Zauberrei! Computer in den Müll!!1
Anmerkung zur Anleitung
Ich habe bei dem Artikel auf de.indymedia.org noch eine Anmerkung hinzugefügt, vielleicht kann diese hier ein mod noch vor den Text Setzen. Entgegen meiner Erwartung kann ich den Text scheinbar trotz Account nichtmehr editieren.
Eingefügt
Danke für die Anmerkung, wir haben sie oben im Text eingefügt!
link
nun führt der link zu den kommentaren in der anmerkung aber zu den "unmoderierten kommentaren" anstatt denen unter dieser node, k.a. wie das kommt. wusste garnicht das sowas öffenlich einsehbar ist.
repariert
jetzt müsste es stimmen.
metadaten beispiele
wer intersse dran hat was man so mit metadaten anstellen kann. alle links auf englisch:
http://blog.wolframalpha.com/2013/04/24/data-science-of-the-facebook-world/
http://blog.wolframalpha.com/2013/01/23/introducing-expanded-personal-an...
sowie beispiel zu ausgewerteten metadaten von einem viel genutzten gmail-account https://immersion.media.mit.edu/demo