Chat

chatting

Instant messaging is een goede manier om communicatie met een bron te starten en te onderhouden. Het is tegenwoordig niet moeilijk om een chatapp te installeren die gebruikmaakt van versleuteling. We hebben wel wat suggesties die je privacy verhogen.

Veelgebruikt, maar afgeraden

Veelgebruikte chatapps zijn WhatsApp en Facebook Messenger. Ze zijn weliswaar het meestgebruikt, maar niet het veiligst. De berichten die je via WhatsApp verstuurt, zijn weliswaar versleuteld via het Signal-protocol, maar de implementatie ervan is niet opensource. Daardoor kun je dus niet verifiëren of de berichten echt zijn versleuteld. Daarnaast zijn er meldingen van situaties waarin de veiligheidssleutel onverwacht wijzigt, wat op een MITM-situatie kan duiden.

Drie suggesties voor veiliger apps

Veiliger zijn bijvoorbeeld de chatapps Wire, Signal en Telegram. De laatste twee hebben ook een desktop-versie, zodat je ze niet alleen op je telefoon maar ook op je laptop kunt gebruiken. Hier lees je welke van de drie het beste bij jou past. Overwegingen hierbij zijn bijvoorbeeld of je je telefoonnummer en/of contacten wilt delen met de app-aanbieder. Niet voor alle situaties is een chatapp op de smartphone een goede keuze. Zie voor meer informatie hoofdstuk 7 (‘Gerichte telefoonsurveillance’). Vanaf het risiconiveau ‘gemiddeld’ wordt chatten met je smartphone afgeraden, omdat zo’n apparaat nooit gegarandeerd veilig is.

OTR-IM – versleutelde, niet opgeslagen chat

Het is ook niet moeilijk om een versleutelde  ‘off-the-record’ (OTR) instant-messenger (IM) op je laptop te installeren en in te stellen, zeker als je dit vergelijkt met de setup van mailencryptie. Als je een OTR-IM gebruikt, kun je via dat kanaal de benodigde veiligheidsprotocollen met je contactpersoon bespreken voor verdere gesprekken, ontmoetingen, e-meetings, e-mailen, het delen van documenten, etc. Het is ook een zeer bruikbare manier om met collega’s te communiceren als je op afstand aan een project werkt.

OTR-IM zorgt ervoor dat je privé met iemand kunt communiceren waarbij de conversatie niet alleen is versleuteld, maar ook niet wordt opgeslagen. Daardoor kun je de conversatie ook ontkennen, in ieder geval in die zin dat het plausibel kan zijn dat een chat waarin een account staat dat met jou geassocieerd kan worden, niet van jou hoeft te zijn.

Expert-info: net zoals bij encryptie van e-mail worden bij OTR-IM ook publieke sleutels gebruikt om te verifiëren of de contactpersoon daadwerkelijk degene is wie hij zegt dat hij is. Maar iedere keer dat je een nieuwe chat begint met een geverifieerd contact, wordt de chat versleuteld met nieuwe sleutels die kunnen worden weggegooid. Geen zorgen, dat hoef je niet zelf te doen of ook maar te zien: dit zit onder de motorkap van de software (de messenger-client) die je gebruikt.

Pidgin en Adium

Als je Linux of Windows gebruikt, raden we aan dat je ‘Pidgin’ als IM-client gebruikt in combinatie met een OTR-plug-in. Als je een Mac gebruikt, raden we ‘Adium’ aan als IM-client. Gebruikers van Pidgin en Adium kunnen gemakkelijk met elkaar communiceren. Het kan zijn dat de verificatiemethodes verschillen. Zie hierna bij ‘contact verifiëren’.

Instructies voor het gebruik van Pidgin (voor Linux/Ubuntu en Windows)

Pidgin
Pidgin
  1. Download Pidgin en de OTR-plug-in
    Pidgin en OTR worden in de meeste Linux-versies meegeleverd. Zoek simpelweg binnen Ubuntu (of je andere Linux-versie) naar het softwarecentrum. Zijn ze niet voorgeïnstalleerd, dan moet je ze downloaden en installeren. Werk je met Windows download en installeer Pidgin via pidgin.im (Windows). Werk je met Linux/Ubuntu dan word je vanaf die pagina doorgestuurd naar het Pidgin PPA-pakket. Die moet je downloaden.
    Voor Windows kun je de OTR-plug-in downloaden via https://otr.cypherpunks.ca. Voor Linux/Ubuntu ga je naar het softwarecentrum, zoek naar Pidgin OTR, en installeer de ‘Pidgin Internet Messenger Off-the-record Plug-in’.
  • Configureren van Pidgin
    Open Pidgin. De eerste keer dat je Pidgin opent, heb je nog geen account geconfigureerd. Je krijgt daarom de vraag om een account toe te voegen. Klik op toevoegen. Krijg je de vraag om een account aan te maken niet automatisch in beeld, ga dan naar Accounts → accountbeheer → toevoegen.
  • Bedenk dat je het Pidgin-account voor anonieme communicatie het beste kunt aanmaken en verbinden met je IM-account via het Tor-netwerk. Daarmee bescherm je je ware locatie en dat is belangrijk als je het account anoniem wilt gebruiken. Bij het tabblad Proxy, selecteer ‘verbinding maken via proxy’ en kies ‘SOCKS5’ uit het dropdownmenu. In het veld ‘server’ typ je ‘127.0.0.1’ en in het veld ‘Poort’ type je ‘9150’. Gebruikersnaam en het wachtwoord zijn optioneel, maar als je ze gebruikt, gebruikt Tor verschillende kanalen voor dit account in Pidgin dan voor andere onderdelen. Hierdoor wordt je anonimiteit vergroot. Let op dat je je Tor-browser open moet hebben als je verbinding wilt maken met je account (zie hoofdstuk 3).
  • in het tabblad ‘Basis’ selecteer je XMPP/Jabber (NIET Facebook XMPP) bij ‘Protocol’. XMPP is de open standaard voor instant messaging. Bij Jabber kies je een (anonieme) gebruikersnaam. Bij domain typ je het geselecteerde domein (bijvoorbeeld jabber.ccc.de) – kijk hier voor een volledige lijst met mogelijke domeinen: https://list.jabber.at. In het veld ‘Resource’, typ je ‘anonymous’. Maak een sterk wachtwoord aan (zie hoofdstuk 8).
  • Klik op het tabblad ‘Geavanceerd’ en controleer of ‘Require encryption’ (versleuteling vereisen) is aangevinkt bij ‘Connection security’ (veiligheid van de verbinding).
  • Ga terug naar het tabblad ‘Basis’ en controleer of ‘Create this new account on the server’ (maak dit nieuwe account aan op de server) onderaan het venster is aangevinkt, voordat je het account toevoegt (‘Add’).
  • Maak een IM-account
    Je Jabber-adres moet verschijnen in een venster ‘Accounts’. Vink het ‘Enabled’-vakje aan en klik op ‘registreren’ in het venster ‘Register New XMPP Account’ dat verschijnt.
  • Configureren van OTR
    In Pidgin, ga naar Tools → Plugins → vink aan ‘Off-the-record messaging’. Klik daarna op ‘Configure plug-in’ om de plug-in te configureren. Vink alle standaard-OTR-instelling aan: Enable private messaging; Automatically initiate private messaging; Require private messaging, en Don’t log OTR conversations. Klik vervolgens op ‘generate’ om een sleutel voor je account te genereren. Ga ten slotte naar Tools → Preferences (voorkeuren) → Logging, en vink alle opties uit om de chats te loggen, want je wilt niet dat er informatie van de chats wordt opgeslagen.

Gefeliciteerd! Je kunt nu off-the-record, versleuteld chatten.

Instructies voor het gebruik van Adium (voor Mac

Adium
Adium
  1. Download Adium
    Download en installeer ‘Adium’ voor Mac via http://adium.im/
  2. Creëren en configureren van een IM-account
    Als je Adium hebt gedownload, open je het programma en ga je naar (bovenaan) ‘File’ → ’Add account’ (account toevoegen) → ’XMPP’.
  • Bedenk dat je voor anonieme communicatie het Adium-account het beste via het Tor-netwerk kunt aanmaken en verbinden met je IM-account. Daarmee bescherm je je ware locatie en dat is belangrijk als je het account anoniem wilt gebruiken. Bij het tabblad Proxy, selecteer ‘verbinding maken via proxy’ en kies ‘SOCKS5’ uit het dropdownmenu. In het veld ‘server’ typ je ‘127.0.0.1’ en in het veld ‘Poort’ type je ‘9150’. De gebruikersnaam en het wachtwoord zijn optioneel, maar als je ze gebruikt, zal Tor andere kanalen voor dit account in Pidgin gebruiken dan voor overige onderdelen, waardoor je anonimiteit wordt verhoogd. Let op dat je je Tor-browser open moet hebben als je verbinding wilt maken met je account (zie hoofdstuk 3).
  • Bij het tabblad ‘Account’ kies je een (anonieme) naam en je voegt op het laatst een domein voor je Jabber-ID (bijvoorbeeld @jabber.ccc.de is populair – voor een volledige lijst met mogelijkheden kijk je hier https://list.jabber.at). Een volledig Jabber-ID ziet er bijvoorbeeld zo uit:, kissinger@jabber.ccc.de. Kies een sterk wachtwoord bij ‘password’ (zie hoofdstuk 8). Registreer je account nog niet.
  • In het tabblad ‘the Options’ vink je zowel ‘Require SSL/TLS’  als ‘Do strict certificate checks’ aan. Bij ‘Resource’, typ je ‘anonymous’.
  • In het tabblad ‘Privacy’ en bij ‘encryption’ in het dropdownmenu klik op ‘Force encryption and refuse plain text’ (de laatste in te lijst) om versleuteling af te dwingen.
  • Ga terug naar het tabblad Account en klik ‘register account’. Er verschijnt een nieuw venster met ‘server’. Typ hier het domein dat je eerder hebt geselecteerd (bijvoorbeeld ‘jabber.ccc.de’, of dat wat je hebt gekozen) en klik op ‘Request new account’ (vraag een nieuw account aan). Het account wordt vervolgens aangemaakt. Dat gaat meestal vrij snel.
  • Adium configureren
    Ga naar Adium → Preferences (voorkeuren) → General (algemeen) → en vink uit ‘Log messages’ om te voorkomen dat er gegevens van de chats worden opgeslagen.

Gefeliciteerd! Je kunt nu off-the-record, versleuteld chatten.

Beginnen met OTR-chat

Voeg een contact toe

Pidgin: in Pidgin, ga naar Buddies → voeg een buddy toe en typ zijn volledige adres in voordat je op toevoegen klikt. Als je contactpersoon de volgende keer online is, krijgt deze een autorisatieverzoek van je. Om een gesprek te beginnen dubbelklik je op de buddy/contactpersoon in de lijst. Daarna klik je OTR → ‘start privégesprek’ in het chatvenster.

Adium: in Adium, ga naar Contact in de bovenste toolbar → voeg contact toe. Bij ‘Contact type’ – aangenomen dat je contactpersoon ook Jabber gebruikt – selecteer je XMPP/Jabber, je voegt het volledige adres in bij ‘Jabber ID’ en je klikt op toevoegen.

Authentificatie/verificatie van een contactpersoon
Bij voorkeur gebruik je fingerprint-verificatie en als je de contactpersoon goed genoeg kent, kun je elkaar ook een vraag stellen waarop alleen de andere persoon het antwoord weet.

Authentificatie in Pidgin

Als je je contactpersoon nog niet hebt geauthentificeerd, dubbelklik op zijn adres om een chatvenster met het te openen. Ga naar OTR in het chatvenster en klik op ‘Buddy authentificeren. Je kunt op de volgende manieren authentificeren:

  • vraag en antwoord, een goede, gepersonaliseerde methode
  • een gedeeld geheim (dit moet van tevoren zijn geregeld via een ander communicatiemiddel, dus dit is minder goed bruikbaar)
  • handmatige fingerprint-verificatie, een bruikbare, sterke methode en de enige methode waarmee Adium- en Pidgin-gebruikers elkaar kunnen authentificeren

Selecteer ‘Handmatige fingerprint-verificatie’ als de methode die je wilt gebruiken en je zie de fingerprint van je contactpersoon. Controleer of de fingerprint in orde is, selecteer vervolgens ‘Ik heb geverifieerd dat dit inderdaad de juiste fingerprint is’ en klik op authentificeren.

Authentificatie in Adium

Als je je contactpersoon nog niet hebt geauthentificeerd, dubbelklik op zijn adres om een chatvenster met hem te openen (ook als de contactpersoon offline lijkt; de zichtbaarheid van de contactpersoon blijft offline en ‘niet-geautoriseerd’ totdat je hem hebt geverifieerd). Klik op het icoontje met het slotje en selecteer ‘Initiate Encrypted OTR chat’. Het slotje moet nu dichtgaan. Met het chatvenster open, ga je naar de bovenste toolbar in Adium, klik op Contact → Encryptie → Verifieer. Nu krijg je de fingerprint van de contactpersoon te zien.

Het checken van fingerprints
Je moet elkaars fingerprints bij voorkeur via een ander communicatiemiddel verifiëren dan via IM. Bijvoorbeeld via e-mail of telefoon. Als je geen veilige methode hebt om dat te doen, kan een gezamenlijke vriend of derde partij een deels gewijzigde versie van je fingerprint doorsturen naar je contactpersoon (e.g. 0—A7-0 D—706-D 2—65–1 –3D-9C2 0-57B—1), en omgekeerd naar jou. Nu kun je beide de getoonde fingerprint vergelijken met de print die de tussenpersoon stuurde. Door een deel van de fingerprint te wijzigen kan een man-in-the-middle-attack (MITM-aanval) worden voorkomen.

Je eigen fingerprint opzoeken
Adium-gebruikers kunnen hun fingerprint vinden via → voorkeuren → geavanceerd (de horizontale tab) → Encryptie (tab in de linkerkolom). Pidgin-gebruikers kunnen hun fingerprint vinden door een chatvenster te openen met een contactpersoon, vervolgens te klikken op het kleine buddy-icoontje (rechts van OTR) → Re/Authenticate buddy → handmatige fingerprint-verificatie’.

Let op: sta Adium en/of Pidgin niet toe om je Jabber-wachtwoord automatisch te laten onthouden, omdat deze dan misschien niet veilig wordt opgeslagen. Je moet je Jabber-wachtwoord steeds handmatig invullen elke keer als je inlogt.