Benutzer-Werkzeuge

Webseiten-Werkzeuge


howto:jabber

Jabber-Anleitung für systemli mit Pidgin [DE]

1.) Warum Jabber über den Systemli-Server?

a.) Verschlüsselung:

Der Jabber-Server von Systemli wird von einem linken Tech-Kollektiv betreut. Der Server selbst ist verschlüsselt. Die Verbindungen zum Jabber-Server von Systemli sind ausschließlich SSL-verschlüsselt möglich. D.h. wenn Du und Deine Gesprächspartnerin Jabber über Systemli (erkennbar an den Nutzeradressen: …@jabber.systemli.org) nutzen, ist klar, dass es eine vollständige Verschlüsselungskette per SSL gibt. Das entspricht der Verschlüsselung z.B. beim Online-Banking und gilt als sicher. Es gibt auch andere Jabber-Server: jabber.ccc.de vom ChaosComputerClub kann bei eingestellter SSL-Verschlüsselung als ähnlich empfehlenswert gelten.

(Hinweis: wenn Du SSL (und/ oder den systemli-Leuten) und der gewählten technischen Lösung nicht ganz über'n Weg traust und eine zusätzliche Verschlüsselung wünschst: nutze Off-the-record-Verschlüsselung (OTR) oder GPG zusätzlich zu SSL: OTR/Pidgin. Es wird auch in Systemli-Kreisen dazu geraten!)

b.) Gegen die Überwachung:

Lauscher auf den Leitungen sehen, dass und wann Du Dich mit systemli.org verschlüsselt verbindest. Sie sehen auch, dass andere Leute dies tun und wann. Lauscher könnten auch den verschlüsselten Traffic und seine Entwicklung im Auge behalten (z.B. mehr Traffic von Dir zu einem bestimmten Zeitpunkt, etc.).

Sie sehen aber nicht: mit wem Du und was Du besprichst.

Damit sind die Erkenntnisse der Überwachung gering. (Beim Versenden von pgp-emails sind die Ergebnisse der Überwachung bessere, weil da erstmal nur(!) unbekannt bleibt, was Du schreibst.)

(Hinweis: Wenn Du nicht möchtest, dass jemand weiß, dass Du Dich mit systemli.org verbindest und wie sich Dein Traffic entwickelt, nutze zur Anonymisierung zusätzlich Tor: s. unten).

2.) Pidgin runterladen:

http://www.pidgin.im/download/windows/ oder halt eben das genutzte Betriebssystem anwählen. (Bei Linux geht das Installieren über Paketquellen, aber das weiß diejenige Person dann, wie das geht.)

3.) Überprüfung des Downloads:

Wenn es die technischen Fertigkeiten zulassen: rausfinden, wie geprüft werden kann, dass die richtige Software runtergeladen wurde und das überprüfen. (Bei Linux ist die Überprüfung beim Installieren aus Paketquellen implementiert und nicht extra notwendig.) [Wenn die technischen Fertigkeiten nicht da sind: zu Marx beten, dass Euch die Bullen oder sonstwer nicht gerade in der Leitung hingen und Euch ein falsches Pidgin mit „Bundestrojaner“ untergejubelt haben. Nach Gebet: Punkt 3.) überspringen.]

4.) Pidgin installieren:

installieren, wie es Dein Betriebssystem wünscht.

5.) Konto auf Server anlegen

Besuche https://www.systemli.org/service/xmpp.html und richte dir einen neuen Account ein.

6.) Pidgin starten, Konto anlegen:

a.) Reiter: EINFACH:

Protokoll: XMPP

Benutzer: Nickname wählen (der keinen Rückschluss auf Deine Identität zulässt)

Ressource: frei lassen (Wichtig! Sonst könnten Infos zu Deinem Rechner preisgegeben werden.)

Domain: jabber.systemli.org

Passwort: Euer Passwort eintragen (Sonderzeichen, Groß- und Kleinschreibung und Zahlen; möglichst lang (mind. mehr als 12 Zeichen), nicht woanders benutzen) KEIN Haken im Kästchen: Passwort speichern (Außer Dein Rechner hat eine Komplettverschlüsselung. Dann kannste drüber nachdenken.)

Rest: freilassen

Haken im Kästchen: „Dieses neue Konto auf dem Server anlegen.“ Nicht auf Speichern klicken, sondern:

b.) Reiter: ERWEITERT:

Haken im Kästchen: SSL/TLS voraussetzen

KEIN Haken im Kästchen: Erlaube Klartext-Authentifikation…

Verbindungsport: 5222

Verbindungsserver: leer lassen

Tor-Nutzer*innen sollten als Verbindungsserver den Onion-Service von Systemli eintragen: x5tno6mwkncu5m3h.onion (Quelle: https://www.systemli.org/service/xmpp.html)

Proxy für Dateiübertragungen: leer machen

Dateiübertragungen über Jabber sind immer unverschlüsselt und somit nicht zu empfehlen.

BOSH-url: leer lassen

Smileys sind eigentlich egal, aber nützlich und witzig.

c.) Reiter: PROXY:

[c.) Dies überspringen, wenn Du (noch) nicht Tor nutzen willst. Wenn du Tor nutzen willst, musst Du Tor erstmal zum Laufen bringen (!) Danach:

Proxy-Typ: Tor/Socks 5

Host: 127.0.0.1

Port: 9050 (falls du Tor alleine verwendest), 9150 (bei TorBrowser)

Rest: freilassen

Dann: SPEICHERN

Dann: versuchen, noch nicht zu verbinden. Zumindest noch nicht jemanden in die Kontaktliste hinzufügen oder gar mit jemandem chatten. Wenn die Verbindung zum Anlegen des Kontos doch zustande kommt, lies 6b) schonmal durch und gehe danach zu 6a) über.

Für alle Tor-Nutzer*innen: Hast du Pidgin mit Tor eingerichtet kannst du dessen korrekte Funktion überprüfen, in dem dich auf dem Jabberserver einlogst und dann das Tor-Programm beendest. Unter Linux geht es zum Beispiel über das Terminal/Kommandozeile:
 sudo /etc/init.d/tor stop 

Wenn danach die Verbindung zum Jabberserver abreißt hast du alles richtig gemacht. Dann kannst du Tor wieder starten und dich wieder auf dem Jabberserver einloggen:

 sudo /etc/init.d/tor start 

Wer aber, wie oben empfohlen den onion-Service zum verbinden benutzt braucht dies nicht testen, da die Verbindung dort generell nur via Tor funktionieren kann.

7.) Einstellungen

Das ist jetzt immens wichtig, wenn du vorher was falsch gemacht hast, funktioniert es wahrscheinlich einfach nicht. Aber wenn Du jetzt was falsch machst, funktioniert es zwar, aber Du gefährdest Dich und andere!

a.) Mitschnitte

Werkzeuge → Einstellungen → Mitschnitte

ALLE MITSCHNITTE AUSSTELLEN!!!

In aktuellen Versionen von pidgin: Werkzeuge → Einstellungen → Protokoll, dort die Häkchen („Alle … protokollieren“) entfernen.

Das musst(!) Du in jedem Fall vor dem ersten Chatten tun!

Danach Verbindung aufbauen („Online“).

b.) SSL-Zertifikat überprüfen

Du bekommst jetzt eine Meldung zu einem SSL-Zertifikat. Fingerprint angucken/ überprüfen: Auch das musst Du in jedem Fall vor dem ersten Chatten tun!

Vergleiche den SHA-1 Fingerprint mit dem unter https://www.systemli.org

Wenn der Fingerabdruck so ist, wie hier dargestellt, geh auf „Akzeptieren“ oder ähnlich. Auch wenn Pidgin Dir erzählt, dass es die Richtigkeit nicht überprüfen kann. Das hast Du ja gerade selbst gemacht.

Spätestens am Ablaufdatum wird allerdings ein neuer Fingerprint ausgestellt, der unter: https://www.systemli.org/ und/oder https://twitter.com/systemli zur Überprüfung veröffentlicht sein wird. (Bei den regelmäßigen Erneuerungen des Zertifikats erhältst Du eine Warnmeldung.)

Nachträglich kannst Du den Fingerprint immer unter: „Werkzeuge → Zertifikate → Info“ überprüfen, d.h. mit den Angaben auf den oben genannten Websiten abgleichen. Wenn Du mal überraschend eine Warnmeldung erhältst und auf den angegebenen Websites steht nicht, dass es neue Zertifikate gibt: gib sofort systemli Bescheid (mailto:admin@systemli.org Der pgp-key ist auf der Website)!

8.) Gesprächspartner_innen suchen

Wenn Du eingeloggt bist („Online“), kannst Du unter Buddys → Buddys hinzufügen, Deine Gesprächspartner_innen in die Liste holen. Wenn die das mit Dir machen, kriegst Du eine entsprechende Nachricht, dass Du sie bestätigen sollst.

Danach Doppelklick und losjabbern/ chatten.

(Tipp: Buddys → Anzeigen → Offline-Buddys anwählen, um Deinen Buddys Nachrichten zu schicken, wenn sie offline sind.)

Nach dem Zustellen der einzelnen Nachrichten liegen sie auf dem Systemli-Server nicht mehr vor. Da Du sie ja nicht mitschneidest (und Dein Buddy auch nicht), sind sie spätestens nach dem Beenden von Pidgin weg.

Was allerdings auf Deinem Rechner und dem Systemli-Server vorliegt, ist Deine Buddy-Liste. Wenn Dein Rechner unverschlüsselt ist und beschlagnahmt/gestohlen wird, kommt der neue Besitzer in Besitz dieser Informationen (inkl. aller Infos, die Deine Buddys standardmäßig von sich verbreiten (z.B. Foto-Avatare) oder die Du eingetragen hast (z.B. Nicks in Klarnamen verändert)). Auch Lokal vorgenommene Änderungen der Namen werden Serverseitig gepeichert!

Nicht nur aus diesem Grund unbedingt Punkt 8.) beachten!

9.) Keinen Quatsch machen

In der „Buddy List“ anstatt der Jabber-Adressen keine Aliasse vergeben und unter keinen umständen Klarnamen eintragen, da diese auf dem Server und nicht nur Lokal auf euren PCs gespeichert werden!
  • Wenn Du mal im Notfall per Browser jabbern musst, nutze: https://systemli.org/jabber/ und niemals irgendwas anderes (meebo, imo.im o.ä.).
  • Sorge dafür, dass kein anderer an Deinen Rechner gehen kann, während Du im Jabber eingeloggt bist und log dich aus, wenn Du die Wohnung verlässt.
  • Speichere Dein Jabber-Passwort nicht auf unverschlüsselten und/ oder fremden Rechnern.
  • Ändere die Nicks in Deiner Buddy-Liste nicht in Klarnamen um und stelle auch keine anderen Hinweise auf die Identität Deiner Buddys ein.
  • Stelle selbst im Rahmen Deiner Visitenkarte/ Benutzer-Info, o.ä. keine Infos über Dich ein (z.B. Fotos als Avatar).
  • Spiel regelmäßig die Sicherheitsupdates für Dein Betriebssystem und Pidgin ein und verwende einen Virenscanner falls Du MS Windows nutzt.
  • Denk immer mal wieder drüber nach, dass die genutzte Software (per „Bundestrojaner“) und die genutzte Hardware (z.B. die Tastatur per Wanze) von Dir und Deinen Gesprächspartnern auch überwacht werden könnten. Es soll auch möglich sein, Bildschirm- und Tastatursignale von Rechnern abzuhören – vergleichbar mit der akustischen Raumüberwachung. Wäge ab, was im Jabber ok ist und werde nicht leichtsinnig.
  • Weise Deine Gesprächspartner_innen auch auf diese Hinweise hin. (Frag sie z.B. mal, ob sie die Mitschnitte/ Nachrichtenchronik deaktiviert haben.)
howto/jabber.txt · Zuletzt geändert: 2019/04/16 11:54 von wikitel