Plugin:SecureIM

Aus dem Miranda-IM.de Wiki

Wechseln zu: Navigation, Suche

Das SecureIM-Plugin ist ein Modul zum Ver- und Entschlüsseln von Nachrichten. Neben seiner nativen Verschlüsselungsmethode AES, welche nur unter Miranda-IM-Nutzern funktioniert, unterstützt SecureIM auch RSA sowie GPG/PGP.

Der Status der Verschlüsselung kann sowohl in der Kontaktliste als auch im Nachrichtenfenster angezeigt werden. Via Popup wird der Status des Verschlüsselungsvorgangs angezeigt.

Tip.png
Alternativ kann man das aktuellere MirOTR-Plugin benutzen. Es verwendet eine andere Verschlüsselungsmethode.

Inhaltsverzeichnis

[Bearbeiten] Verschlüsselungsmethoden

[Bearbeiten] AES-Verschlüsselung (Standard)

Um die normale Methode von SecureIM zu nutzen, benötigt man lediglich einen Kommunikationspartner, der ebenfalls Miranda IM und SecureIM installiert hat. Bei dieser "nativen" Methode wird mittels des Advanced Encryption Standard (AES-192)-Algorithmus' verschlüsselt, welcher bereits passable Sicherheit gewährleistet.

Hierbei werden zwei Modi zur Schlüsselerstellung/-verwaltung angeboten: Ein Ad-hoc-Austausch von Schlüsseln, welche für jede Sitzung automatisch neu generiert werden (Diffie-Hellman-Schlüsselaustausch), und ein sogenannter Pre-shared Key. Ist der Pre-shared Key gesetzt, so wird der bei jeder Sitzung stattfindende Diffie-Hellman-Schlüsselaustausch mit dem Pre-shared Key verschlüsselt. Ein Man-in-the-middle-Angriff wird so verhindert. Es ist daher sicherer, wenn ein Pre-shared Key gesetzt wurde. Der Pre-shared Key sollte nur über einen sicheren Kommunikationskanal mit dem Kommunikationspartner ausgetauscht werden.

[Bearbeiten] GPG/PGP-Verschlüsselung

Bei der Verschlüsselung via GPG/PGP muss zunächst GnuPG (auch GPG genannt) oder PGP heruntergeladen und ein so genannter privater Schlüssel erzeugt werden. Es würde jedoch den Rahmen sprengen, hier das komplette Verschlüsselungsprinzip zu erklären. Für nähere Informationen siehe:

Vorteil der Verschlüsselung über diesen Algorithmus ist, dass auch andere Clients wie z. B. Pidgin diese Methode unterstützen. Weiterhin unterstützen folgende Clients SecureIM mit GPG:

[Bearbeiten] RSA/AES-Verschlüsselung

Die RSA-Verschlüsselung stellt eine Weiterentwicklung der nativen AES-Verschlüsslung von SecureIM dar. Sie erweitert das ansonsten verwendete AES-System um ein asymmetrisches Verschlüsselungsverfahren.

Dieses Kryptosystem gilt als wesentlich sicherer, aber auch langsamer als die AES-Verschlüsselung.

Tip.png
Das RSA- und das AES-Kryptoverfahren können in SecureIM-Versionen >= 1.0.11.2 problemlos miteinander kombiniert werden. Versuchen Sie mit einer der beiden Kontakte eine Verbindung über eines der beiden Verfahren zu initieren. Obwohl der Gegenüber dieses nicht standardmäßig nutzt, erkennt dessen SecureIM dies automatisch und schaltet auf den gleichen Modus um.



[Bearbeiten] Grundeinstellungen

Damit SecureIM überhaupt Nachrichten verschlüsseln kann, bedarf es zunächst einiger grundlegender Einstellungen, welche unter Einstellungen → Dienste → SecureIM im Register Allgemein eingestellt werden können:

[Bearbeiten] Allgemein

Einstellungen → Dienste → SecureIM → Tab: Allgemein

[Bearbeiten] Benutzerliste

In dieser Liste werden alle Kontakte mit Nick und Benutzer-ID aufgeführt, die Sie in Ihrer Kontaktliste führen. Sie haben hier die Möglichkeit, für jeden dieser Kontakte individuelle Einstellungen vorzunehmen. Dieser Einstellungen betreffen, die Verschlüsselung an sich, das zu verwendende Verschlüsselungsverfahren und ob ein sogenannter "Pre-Shared Key" verwendet werden soll.

Klicken Sie mit Rechts auf einen beliebigen Kontakt, um die Einstellungen für diesen vorzunehmen:

Modus
Über die Option "Modus" legen Sie das für den Kontakt zu verwendende Verschlüsselungsverfahren fest. Sie haben die Wahl zwischen allen Verfahren, die SecureIM unterstützt und für die eventuell notwendige Drittkompomenenten vorhanden und konfiguriert sind.
Sollten Sie beispielweise kein GnuPG oder PGP auf Ihrem Rechner installiert und konfiguriert haben, stehen diese Verfahren nicht zur Verfügung.
Important.png
Je nachdem welchen Modus Sie gewählt haben, werden einige der folgenden Optionen nicht angezeigt.
Status
Über die Optionen "SecureIM aktiviert" bzw. "SecureIM deaktiviert" können Sie die Verschlüsselung für bestimmte Kontakte an- bzw. abschalten. Die Option "SecureIM-Verbindung immer versuchen" weisen Sie Miranda IM an, auch dann eine gesicherte Verbindung zu nutzen, wenn der Gegenüber diese bereits abgelehnt hatte.
Pre-shared Key (PSK)
Standardmäßig erzeugt SecureIM im AES-Modus für jede neue Verbindung einen neuen Schlüssel, welcher an den Gesprächspartner übermittelt wird. Während dies der Abstreitbarkeit zugute kommt, da ein Schlüssel nur einmalig für eine Sitzung verwendet wird, steigt aber gleichzeitig auch die Wahscheinlichkeit, dass ein solcher Schlüssel abgefangen wird. Da das AES-Verfahren ein symmetrisches Schlüsselpaar erstellt, wäre somit bereits die Verschlüsselung kompromittiert.
SecureIM-PSK setzen.png
Diese Schwäche soll das Setzen eines Pre-shared Keys zumindest dämpfen. Die Wahrscheinlichkeit, dass ein Schlüssel abgefangen wird, sinkt, wenn dieser nur einmalig erzeugt, übertragen und dann für die Zukunft gespeichert wird. Dieser im Voraus gesetzte Schlüssel wird als "Pre-shared Key" bezeichnet und kann mit der gleichnamigen Option gesetzt oder auch wieder gelöscht werden.
Soll ein Pre-shared Key gesetzt werden, erscheint ein Dialog-Fenster, in dem Sie ein achtstelliges Passwort als Schlüssel angeben müssen. Das Passwort bzw. der Schlüssel wird in der Miranda-IM-Datenbank für diesen Kontakt gespeichert und fort an für die Kommunikation mit ihm verwendet.

[Bearbeiten] Einstellungen

Verschlüsselte Offline-Nachrichten
Aktivieren Sie diese Option, wenn Sie auch Nachrichten an Kontakte verschlüsseln möchten, die zum Zeitpunkt des Sendens nicht online sind. Diese Option ist hauptsächlich für Verschlüsselungsmethoden praktikabel, bei denen beide Partner über einen festen und bekannten Schlüssel verfügen, da sonst die Nachricht beim Empfänger nicht wieder entschlüsselt werden kann.
Verschlüsselter Dateiversand
Nutzen Sie das gewählte Verschlüsselungsverfahren auch dazu, um versendete Dateien zu verschlüsseln. Dabei werden sowohl der Dateiname, als auch deren Inhalt verschlüsselt.
Status immer in der Kontaktliste anzeigen
Diese Option zeigt dauerhaft den Status der Verschlüsselung in Form eines Icons für jeden Kontakt in der Kontaktliste an.
Ist diese Option deaktiviert, wird nur eine aktive Verschlüsselung in der Kontaktliste signalisiert.
Soll die Anzeige der Verschlüsselung in der Kontaktliste ganz deaktiviert werden, sollte bei der Festlegung des Kontaktlistenicon-Slot die Einstellung "Keine" gewählt werden.
Kontaktmenü nur für Miranda-IM-Clients anz.
SecureIMs native und die RSA-Verschlüsselung funktionieren nur zwischen zwei Miranda-Clients. Daher können Sie über diese Option festlegen, ob die Kontaktmenü-Einträge von SecureIM auch bei Nicht-Miranda-IM-Clients eingeblendet werden sollen oder nicht. In der Regel sollte diese Option aktiviert werden, um das Kontaktmenü zumindest für Nicht-Miranda-IM-Client zu entschlacken.
Sollten Sie jedoch die GPG bzw. PGP-Verschlüsselung nutzen, sollte die Option deaktiviert werden, da diese Verschlüsselung auch von einigen andern Clients unterstützt wird.
Nutzen Sie das Plugin Fingerprint erkennen Sie einen Client mit SecureIM-Unterstützung an einem kleinen Zusatzsymbol über dem Miranda-IM-Symbol.
Zeige Status im Kontaktmenü
Blendet im Kontextmenü eines Kontaktes zusätzlich die Optionen SecureIM-Status → Deaktiviert/Aktiviert/Immer versuchen ein.
Keine Verschl. für Spieleplugins
Deaktiviert die Verschlüsslung für die Verbindung von Spiele-Plugins, da diese eventuell sonst nicht funktionieren könnten.
Immer verschlüsseln falls möglich
Diese Einstellung überschreibt die in der Benutzerliste oder im Kontaktmenü getätigten Einstellungen bezgl. des Verschlüsselungsstatus und verschlüsselt automatisch jede Verbindung zwischen zwei kompatiblen Clients.
Unverschlüsselt für unbekannte Kontakte
Deaktiviert die Verschlüsselung für Kontakte, die Ihnen unbekannt sind (Not-on-List-Kontakte), auch wenn diese grundsätzlich zur Verschlüsselung fähig wären.
Dialog zur manuellen Bestätigung eines öffentlichen RSA-Schlüssels
Autom. RSA-Schüssel akzept. (UNSICHER!)
Standardmäßig müssen Sie bei einer RSA-Veschlüsselung den Schlüssel des Gegenübers zunächst manuell bestätigen. Dabei wird Ihnen dieser Schlüssel auch im erscheinenden Dialog-Fenster angezeigt. Aktivieren Sie jedoch diese Option, wird der Schlüssel immer automatisch akzeptiert, was aber von Sicherheitsexperten als minder sicher angesehen wird.
Zeige Modus im Kontaktmenü
Erweitert die Anzeige des Verschlüsselungsstatus in Kontaktmenü und Kontaktliste um die Hinweise "OLD" (für AES), "PGP", "GPG" oder "RSA" für den jeweiligen Verschlüsselungsmodus.

[Bearbeiten] Kontaktlistenicon-Slot

Bestimmen Sie hier, in welchem Slot Ihrer Kontaktliste das SecureIM-Verschlüsselungsicon angezeigt werden soll.

[Bearbeiten] Timeouts

Schlüsseltausch-Timeout
Betimmen Sie hier, wie lange SecureIM warten soll, bevor es einen Verschlüsselungsversuch verwerfen soll, weil der Client des Gegenübers nicht rechtzeitig geantwortet hat.
Offlineschl.-Timeout
Legen Sie hier fest, wie lange ein Schlüssel für eine verschlüsselte Offline-Nachricht gültig bleiben soll, bevor er verworfen wird und somit die Nachricht vom Gegenüber nicht mehr entschlüsslt werden kann.

[Bearbeiten] GPG/PGP

Legen Sie hier fest, ob Sie lieber GnuPG oder PGP als Verschlüsselungsmethode mit SecureIM nutzen möchten.

Alle rückg.
Setzen Sie alle gemachten Angaben wieder auf die Ausgangskonfiguration des Plugins zurück.

[Bearbeiten] Protokolle

Einstellungen → Dienste → SecureIM → Tab: Protokolle

[Bearbeiten] Protokolle

Legen Sie in dieser Auswahlliste fest, über welche Protokolle Sie verschlüsselte Verbindungen zulassen möchten.

[Bearbeiten] RSA-Schlüssel

Zeigt den eigenen öffentlichen RSA-Schlüssel in Form seines SHA-1-Hashwertes an. Mittels der Schaltfläche "C" kann dieser Wert in die Zwischenablage kopiert und beispielsweise in eine Nachricht eingefügt werden, damit der Gegenüber anhand dieses Wertes die eigene Identität überprüfen kann.

Siehe auch: OTR- oder GnuPG-Plugin

[Bearbeiten] Weblinks