[Anleitung] Den Facebook-Chat verschlüsseln

Anmerkung der Übersetzung: Wer in der Lage ist diese Anleitung zu befolgen kann ohne Mehraufwand auch direkt einen freien Jabber-Server zum verschlüsseln nutzen. Dies wird dringend Empfohlen. Siehe dazu: Verschlüsseltes Chatten mit Pidgin und OTR unter Windows (für Anfänger). Für eine Diskussion um die Sinnhaftigkeit dieser Anleitung siehe die Kommentare auf auf Indymedia Linksunten. Die Englische Originalversion der Anleitung findet ihr auf apapadop.wordpress.com.

Der Facebook Chat ist einfach und praktisch, aber hat einen Nachteil: Facebook speichert alles was ihr schreibt. Wenn das für euch kein Problem darstellt (z.B. weil ihr zur "Ich habe nichts zu verbergen, also habe ich auch nichts zu befürchten"-Fraktion gehört) könnt ihr hier mit dem Lesen aufhören.

 

"Wie kann ich eine private, nicht aufgezeichnete unterhaltung auf Facebook führen?"

Indem ihr nicht die auf der Facebook-Seite einbehaute Chat-Funktion nutzt, wir müssen mit dem OTR-Plugin kompatible Software nutzen die das Protokoll XMPP beherrscht, in der folgenden Anleitung nutzen wir Pidgin.

 

Als erstes müsst ihr euren Facebook-Nutzernamen wissen. Diesen könnt ihr in den Kontoeinstellungen einsehen, es ist der selbe der auch beim anschauen eures Profils am Ende der URL angezeigt wird. Wenn ihr keinen Nutzernamen eingerichtet habt könnt ihr das folgendermaßen machen:

Kontoeinstellungen/Nutzername Kontoeinstellungen/Nutzername ändern

Nach dem speichern solltet ihr euren neuen Nutzernamen sehen können, merkt ihn euch bitte da dieser benötigt wird.

 

Um sicher zu gehen das der neue Benutzername aktiviert ist (nur für den Fall das ihr ihn soeben neu angelegt habt) macht folgendes:

  • Loggt euch aus Facebook aus. (Die Seite schließen reicht nicht)
  • Loggt euch mit eurem neuen Nutzernamen (anstatt eurer Emailadresse) ein. Diesen gebt ihr in das "Email oder Telefon"-Feld. Als Password benutzt ihr eurer normales.

Aus und Einloggen scheint notwendig zu sein um euren neuen Benutzernamen zu aktivieren.

 

Vor dem Fortfahren bitte beachten:

Um eine Private, sichere unterhaltung zu haben müssen beide, du und dein Chatpartner, diese Anleitung befolgt haben bzw kompatible Programme nutzen.

Wenn ihr verschiedene Computer benutzt (z.B. zu Hause und auf der Arbeit, oder auch per Handy https://guardianproject.info/apps/gibber/ verschlüsselt chatten wollt) musst du es bei jedem einzeln einrichten.

 

Als erstes ladet den Pidgin Messegnger herunter

Ladet das Programm von https://pidgin.im herunter und Installiert es. 

Wenn ihr Pidgin installert habt:

 

OTR-Plugin herunterladen und Installieren

Das Off The Record (OTR) erlaubt Pidgin-Nutzern ihre Chats zu verschlüsseln. Ladet es von http://www.cypherpunks.ca/otr/ und installiert es.

 

Richtet Pidgin für Facebook ein

Beim ersten mal starten von Pidgin werdet ihr das sehen:

Zum Facebook Account verbinden

Fügt einen Account hinzu - ein neues Fenster öffnet sich.

 

Einstellungen vornehmen/zum Facebook account verbinden

Gebt die Daten wie auf dem Bild zu sehen ein, benutzt euren Facebook-Nutzernamen (Kennt ihr nicht? Seht oben wie ihr ihr herausfindet) und euer Facebook-Password.

Öffnet den "Erweitert"-Reiter und füllt ihn wie hier dargestellt aus.

Einstellungen vornehmen

Nun könnt ihr den neuen Account hinzufügen/speichern.

 

Eventuell bekommt ihr direkt eine Aufforderung das Zertifikat von chat.facebook.com zu bestätigen. Betätigt es.

Zertifikat akzeptieren

 

Nun solltet ihr zum Facebook-Chat verbunden sein. Eine Liste eurer Facebook-Freunde die online sind sollte angezeigt werden.

Buddy-List/Kontaktliste

 

Wenn ihr etwas wie auf dem Bild dargestelles seht Glückwunsch, ihr seid verbunden. Ihr könnt jetzt über Pidgin ohne Facebook.com zu besuchen mit euren Kontakten Chatten. Verschlüsselt ist dies aber noch nicht, siehe unten für weitere Schritte! Sollten Fehlermeldungen erscheinen achtet auf die Einstellungen und guckt nach ob du alles richtig eingegeben ist. Beachtet: Dein Facebook-Benutzernam ist nicht gleich deinem Facebook-Namen!

 

Aktiviere und Konfiguriere das OTR-Plugin

Öffnet die Plugin-Liste wie hier dargestellt:

Plugin-Menü

 

Scrollt etwas herunter bis ihr "Off-the-Record Messaging" findet. Setzt den haken davor, um das Plugin zu aktivieren.

In den Plugin-Einstellungen könnt ihr noch sicher gehen das die Chats nicht lokal gespeichert/mitgeschnitten werden.

OTR-Plugin aktivieren. Plugin-Einstellungen können unten per knopf geöffnet werden.

 

Nun könnt ihr verschlüsselt mit Kontakten Chatten die ebenfalls das OTR Plugin nutzen.

 

Starte einen verschlüsselten Chat mit Pidgin+OTR

Ihr könnt nur verschlüsselt mit Leuten Chatten die ebenfalls die nötige Software installiert haben. Diese müssen nicht unbedingt Pidgin nutzen, es gibt auch andere Programme die diese verschlüsslung unterstützen. Adium oder für Android-Handys die App Gibberbot z.B..

 

Rechts unten im Chatfenster könnt ihr eine sichere Unterhaltung beginnen.

OTR-Knopf rechts unten im Chattfenster Verschlüsselten Chat starten

 

Pidgin wird versuchen eine verschlüsselte Verbindung aufzubauen, sofern der Gesprächspartner auch die nötige Software nutzt sollte dies so aussehen:

Unverifizierter aber verschlüsselter Chat

Dieses Ergebnis wollen wir. "Unverifiziert" ist nicht unbedingt ein Problem (Mehr zum verifizieren siehe unten).

 

Funktioniert dies nicht aktiviert in euren Facebook-Einstellungen unter "Anwendungseinstellungen" Anwendungen/Plugins.

 

Verbesserungen/weiteres (optional)

Ist die Unterhaltung nicht verifiziert könnt ihr euch nicht sicher sein das die Person mit der ihr schreibt wirklich euer Freund ist, und nicht nur jemand der dies vorgibt und z.B. den Account gehackt hat.

Um dies und Man-in-the-Middle-Attacken auszuschließen solltet ihr Freunde immer verifizieren, dies ist nur ein einziges mal pro Freund nötig und wird gespeichert.

 

Verifiziere die Identität deiner Chatkonakte

Aus technischen Gründen muss die Identität manuell verifiziert werden, indem ihr die sogennanten "Fingerprints" vergleicht. In den Einstellungen vom OTR-Plugin (seht oben wo diese zu finden sind) findet ihr dafür eine Auflistung der Fingerprints eurer Kontakte.

Fingerprint-Einstellungen Fingerprint verifizierung

Dort könnt ihr Kontakte auswählen und verifizieren, nachdem ihr mit ihnen die Fingerprints abgeglichen habt.

 

Manuelles verifizieren vom Fingerprint

 

Dieser schritt ist lästig, da erforderlich ist das der abgleich der Fingerprints über einen anderen Weg vorgenommen wird. (z.B. per Telefon oder Email oder gar analog).

 

Einmal verifizerit reicht, in Zukunft wird die Unterhaltung direkt als "Privat" angezeigt.

Private/verifizierte verschlüsselte unterhaltung

 

Um sicher zu gehen könnt ihr euch auf der Facebook-Webiste den Chatverlauf anschauen, dieser sollte so aussehen:

Verschlüsselter Chat -  angeschaut auf Facebook-Website

 

Das einzige was Facebook jetzt sieht ist mit wem ihr wann chattet (auch von wo, dank der IP, falls kein Proxy/VPN benutzt wird) aber nicht länger den Inhalt. 

 

Nun müsst ihr nurnoch eure Freunde überreden ihre Chats auch zu verschlüsseln, dazu kannst du sie auf diese Anleitung verweisen.

Übrigens können in Pidgin auch MSN, ICQ, Jabber und einige andere Protokolle genutzt werden, und dies ebenso verschlüsselt. Und wenn dich verschlüsselte Gruppenchats über den Browser interessieren oder dir das hier alles zu kompliziert scheint schau dir https://crypto.cat/ an.

 

Man sollte sich darüber im Klaren sein sein das sich Geheimdienste besonders für verschlüsselte Kommunikation interessieren, die NSA z.B. widmet dieser besondere Aufmerksamkeit. Auch wenn sie ohne viel Arbeit/Rechenkraft zu investieren warscheinlich nicht mitlesen können ist allein der Fakt das ihr verschlüsselt Kommuniziert für sie verdächtig.

Als positiver Nebenefekt werden von Facebook als gefährlich eingestufe Links (meist zu Downloadseiten) übrigens nichtmehr blockiert, wie sonst im Facebook-Chat oft der Fall.

Zeige Kommentare: ausgeklappt | moderiert

ist nicht sicher

http://www.heise.de/security/meldung/Truegerische-Sicherheit-Verschluess...

http://blog.fefe.de/?ts=af2b5c96

 

Der Inhalt der Chats ist für die Dienste nicht so interessant wie die Verbindungsdaten. Wer etwas zu verbergebn hat benutzt eh einen "Jargon" ("Tante Milli 4 rote Rosen am Montag, die Tanten reisen nach Osten ..."). Stellt man die Verbindungen, also wer mit wem kommuniziert, grafisch da, dann erkennt man sehr schnell "Netzknoten", also Personen oder Identitäten wo die Fäden zusammenlaufen. Das ist dann der Dealer, der Rädelsführer, sind die Leute die für die Diente interessant sind. 

 

Das sollte man nie vergessen. Und Facebook - nun ja - with facebook your are not the customer, you are the product being sold.

 

Lösungen die in Java oder Javascript geschrieben sind sollte man grundsätzlich als nicht sicher betrachten, auch vorgeblich sichere Lösungen können nicht sicherer sein als die Plattform auf der sie laufen. Was nutzt einem das als sicher geltende gnupg, wenn es auf einem ungepatchtem Windows-XP läuft oder auf dem Rechner von Schlapphüten oder anderen Kriminellen eine Art Fernwartungssoftware installiert wurde?

jep, den kommentar unterschreib ich....

pidgin/OTR is ok ohne fratzenbuch. google hängauf hatz XMPP protokoll auch wieder rausgeschmissen. es gibt freie (kostenloste) jabber-server - einfach mal bei duckduck oder ixquick suchen! jabber.org ist auch ein guter 1ter anlaufpkt.

fratzenbuch = zentralistisch, ergo leicht zu "überwachen"
xmpp / diaspora / identi.ca = P2P schwer zu kontrolieren und auch noch "social" im sinne von...

riseup.net
joindiaspora
identi.ca

Plötzlich plappern Anna und Arthur:

http://www.nadir.org/news/Plötzlich_plappern_Anna_und_Arthur.html

Das Cryptocat nicht sicher ist ist eine Behaubtung die du bitte mit Fakten unterstützen solltest, sonst bleibt es unsicher. Wenn du von Bugs weißt melde diese damit die geschlossen werden können! Es stimmt durchaus das Cryptocat in der vergangenheit Fehler gemacht hat, aber verteufeln finde ich den falschen Ansatz (insbesondere da es open source ist).

 

In der deutschen Praxis ist der Inhalt der Chats das interessante, nämlich dann wenn dieser z.B. in Gerichtsverfahren verwendet wird, der VS mitliest oder meinetwegen sogar Nazis einen Account gehackt haben (soll schon vorgekommen sein..). Das von Geheimdiensten (insbesondere wegen der Menge an Daten) hauptsächlich mit den Metadaten gearbeitet wird mag stimmen, ist aber meiner Meinung nach um weites weniger fatal.

 

Mit Windows & Java hast du natürlich recht, vielleicht hast du ja lust Anleitungen zu verfassen die es der deutschen Linken erleichtern endlich auch auf Ubuntu (wegen der einfachheit) oder ähnliches umzusteigen.

"[in Gruppenchats] versendete Nachrichten im Zeitraum vom 17. Oktober 2011 bis 15. Juni 2013 kompromittiert" (Heute ist der 7.Juli)

Du findest es nicht problematisch oder auch nur erwähnenswert, dass zwei Jahre lang alle Gruppenchats nur schwach verschlüsselt waren? Ich würde der Software nicht mehr vertrauen, insbesondere, wenn ich mir die Umstände des Bugfixings anschaue (siehe Links im heise-Text).

ich habe Pidgin runtergeladen. Wenn ich es installieren will, kommt immer ein Fehler. Failed to find Pigdin installation

funktioniert doch

Benutz doch mal Google (oder DuckDuckGo) und such nach "Failed to find Pidgin installation" (Pidgin richtig geschrieben und mit Anführungszeichen). Erkennst du ein Szenario wieder, das so ähnlich wie deines ist? Kannst du das Problem damit lösen? Dann poste bitte hier die Lösung.

Falls nicht, solltest du mehr Infos geben: Welches Betriebssystem benutzt du (Windows, Linux, Mac)? In welcher Version (Windows 8, Ubuntu Raring, OSX Mountain Lion)? Versuchst  du die "normale" oder die portable version von Pidgin zu installieren?

"Das einzige was Facebook jetzt sieht ist mit wem ihr wann chattet (auch von wo, dank der IP, falls kein Proxy/VPN benutzt wird)" That´s the point11elf -.-

Warum verbreitet ihr so eine fahrlässig dumme Anleitung? Wer eh schon Pidgin samt OTR-Plugin installiert hat, sollte auch Jabber benutzen. Aber klar, sichere Kommunikation ist für uns alle Neuland^^

Ich verstehe auch überhaupt nicht den Sinn dahinter, Facebook-Chat statt Jabber zu benutzen, wenn sowieso schon Pidgin benutzt wird. Dieser Artikel ist gefährlich, weil er die Bedeutung der Metadaten (wer kommuniziert wann mit wem) herunterspielt.

Der Facebook Chat nutzt das Jabber Protokoll XMPP. Worauf es ankommt sind die Server, über die die Verbindungen laufen.

Limitations

Facebook Chat should be compatible with every XMPP client, but is not a full XMPP server. It should be thought of as a proxy into the world of Facebook Chat on facebook.com. As a result, it has several behaviors that differ slightly from what you would expect from a traditional XMPP service:

  • Your client cannot send or receive HTML messages
  • Because roster items and presence subscriptions are based on the user's Facebook friends, they cannot be created or deleted using the standard XMPP mechanisms.
  • Facebook Chat is terse when sending updates for new friends, because the negotiation happens outside of XMPP. Future versions of Facebook Chat may be more conformant.
  • The user's own Jabber ID (JID) is different from the Jabber ID that their contacts will see because the translation is done internally.
  • Arbitrary IQ stanzas cannot be passed between clients.
  • Presence probes do not currently work.
  • Non-SASL authentication with the jabber:iq:auth namespace as described in XEP-0078 is not currently supported.
  • The XML parser does not yet fully handle XML namespaces. Please stick to the same style as the examples in XMPP RFCs 3920 and 3921 when using XML namespaces.

Source: developers.facebook.com/docs/chat/

Es existieren beirets diverse Anleitungen zum verschlüsselten Chatten mit Pidgin, diese hier, wie man hoffe ich unschwer erkennen kann, bezieht sich nunmal auf den Facebook-Chat. Natürlich ist die Benutzung von freien Jabber Servern (Der Facebook Server nutzt ebenfalls Jabber/XMPP!) empfehlenswert, aber das Interesse an dieser Anleitung ist im Gegensatz zu den herkömmlichen einfach groß.

 

Sau viele Informationen nehmen zur Zeit ihren weg über den Facebook-Chat/Nachrichtensystem. Natürlich schützt das genannte nicht davor das Facebook sehen kann mit wem man kommuniziert, aber das ist ja wirklich ein mini-Problem im Vergleich dazu was für Informationen zur Zeit z.B. für die Strafverfolgungsbehörden in den Accounts einsehbar ist. Das mit abstand kleinere Übel ist das verschlüsseln der Facebook-Nachrichten!

Wenn sich Leute bereits Pidgin installieren, gibt es keinen Grund, den Chat über Facebook laufen zu lassen. Deshalb ist die Anleitung oben gefährlich, denn sie ignoriert, dass Kommunikationsprofile (nicht der Inhalt der Chats) erstellt werden – um so mehr, wenn verschlüsselt kommuniziert wird. Also OTR: ja, aber nicht über Facebook!

Schon mal auf die Idee gekommen, dass es für Leute eventuell leichter ist schrittweise vom Facebook-Chat über verschlüsselten Facebook-Chat zu anderen Servern zu wechseln? Schließlich funktioniert das ja schwierig als Entscheidungs eines/einer Einzelnen. Sollen ja auch die Leute erreichbar sein, mit denen mensch sprechen will...

Der Schritt sich Pidgin zu installieren und ein Tool auf dem eigenen Rechner statt des Webchats bei Facebook zu nutzen ist groß. Der Schritt, bei Pidgin einen anderen Server als Facebook zu wählen ist winzig. Da der erste Schritt von beiden Seiten gemacht werden muss, ist der zweite nicht relevant. Die Anleitung ist daher gefährlich, weil sie nicht weit genug geht und sich die Leute dadurch in scheinbarer Sicherheit wähnen. Die Bedeutung der Metadaten wird unterschätzt, das ist das Problem.

...ein Auszug aus dem aktuellen SPIEGEL-Interview mit Edward Snowden:

 

Die NSA will, dass wenigstens alle Metadaten für immer gespeichert werden können. Meistens sind die Metadaten wertvoller als der Inhalt der Kommunikation. Denn in den meisten Fällen kann man den Inhalt wiederbesorgen, wenn man die Metadaten hat. Und falls nicht, kann man alle künftige Kommunikation, die zu diesen Metadaten passt und einen interessiert, so markieren, dass sie komplett aufgezeichnet wird. Die Metadaten sagen einem, was man vom breiten Datenstrom tatsächlich haben will.

Wer auf Facebook relevantes kommuniziert, dem/der ist nicht zu helfen.......

Und wer glaubt das es relevante und irelevante Informationen gibt dem ist ebenfalls nicht zu helfen...

wieso?

Weil auch aus scheinbar irrelevanten Informationen Schlüsse gezogen werden können. Für Details fragen Sie bitte ihre nächstgelegene Antifa.

Wenn du so willst, dann stimmt das schon. Da hast du recht.

Das fängt schon damit an, das Menschen die sich überhaupt auf facebook registrieren nicht mehr zu helfen ist.

Das wird auch durch einen verschlüsselten Chat nicht besser, der immer noch über  deren Server und damit auch der NSA läuft.

Ungefähr so sinnvoll wie sich mitten im Polizeirevier auf Esperanto zu unterhalten. Schlaue Menschen gehen erst gar nicht ins Revier. ;-)

...bitte versteckt den Eintrag oder setzt einen fetten Kommentar oben drüber. Die Nutzung von Facebook für politische Kommunikation ist scheiß gefährlich. Allein schon durch die Benutzung von OTR (die Facebook automatisch erkennt!!!) macht mensch sich verdächtig.

 

dann noch ein paar analysen zu gemeinsamen freund*innen und fertig ist die §129'er anklage (bissl überspitzt dargestellt)

Das Facebook OTR-Kommunikation erkennt ist kein Meisterwerk, die Anfrage zum Start einer Konversation sind klartext und mit einer einfachen Regel erkennbar (sowas). Die einzelnen Nachrichten dann auch als solche ausgewiesen. OpenPGP kann man auch ohne weiteres als PGP erkennen, z.B. da im Header PGP dabei steht....

 

Ich fühle mich an die Grünen in ihren frühen Jahren erinnert, als Computer verteufelt wurden. Die verteuflung von Facebook ist einfach verlogen, während die Hälfte der Kommentatoren hier sicher im Nachbartab Facebook nutzt. Mit der Logik warnt doch bitte auch vor der Nutzung von PGP, denn die meisten nutzen PGP nicht über sichere Mailserver. Und OTR. Das ICQ/MSN loggen ist doch bekannt, mit OTR loggen sie sicher auchnoch Metadaten. 

 

Wir sollten garnicht verschlüsseln, das ist doch Zauberrei! Computer in den Müll!!1

wer intersse dran hat was man so mit metadaten anstellen kann. alle links auf englisch:
http://blog.wolframalpha.com/2013/04/24/data-science-of-the-facebook-world/
http://blog.wolframalpha.com/2013/01/23/introducing-expanded-personal-an...
sowie beispiel zu ausgewerteten metadaten von einem viel genutzten gmail-account https://immersion.media.mit.edu/demo