www.wikidata.de-de.nina.az

Off the Record Messaging OTR deutsch inoffizielle vertrauliche nicht für die öffentlichkeit bestimmte Nachrichtenübermit

Off-the-Record Messaging

Off-the-Record Messaging (OTR, deutsch inoffizielle, vertrauliche, nicht für die Öffentlichkeit bestimmte Nachrichtenübermittlung) ist ein Protokoll zur Nachrichtenverschlüsselung beim Instant Messaging. Es regelt die laufende Aktualisierung und Verwaltung kurzlebiger Sitzungsschlüssel.

Im Gegensatz zur Übertragung verschlüsselter Nachrichten mit OpenPGP (oder in seltenen Fällen auch mittels X.509-Zertifikat) kann man beim Off-the-Record Messaging später nicht mehr feststellen, ob ein bestimmter Schlüssel von einer bestimmten Person genutzt wurde (Prinzip der glaubhaften Abstreitbarkeit, englisch plausible deniability). Dadurch lässt sich nach Beenden der Unterhaltung von niemandem (auch keinem der beiden Kommunikationspartner) beweisen, dass einer der Kommunikationspartner eine bestimmte Aussage gemacht hat.

Umgesetzt wird dieses Prinzip durch kombinierte Verwendung des symmetrischen Kryptoverfahrens Advanced Encryption Standard (AES), des Diffie-Hellman-Schlüsselaustauschs und der kryptographischen Hashfunktion SHA-1. Es stehen eine Programmbibliothek und zahlreiche Instant-Messaging-Programme zur Verfügung, welche das Protokoll entweder direkt oder über Zusatzmodule nutzen können.

Ziele des Projektes Bearbeiten

In den Statuten des Projektes sind die folgenden vier Eckpfeiler definiert:

Technische Umsetzung Bearbeiten

Der folgende Abschnitt stellt vereinfacht die Funktion des OTR-Protokolls in Version 2 dar.

Überblick Bearbeiten

Während ihrer Kommunikation miteinander wählen Alice und Bob private Schlüssel beziehungsweise . Jeweils zwei, zum Beispiel und , werden zur Erzeugung eines gemeinsamen Geheimnisses mittels des Diffie-Hellman-Schlüsselaustauschs verwendet. Aus diesem Geheimnis werden die Schlüssel und berechnet.

dient zur Verschlüsselung jeder Nachricht mittels Advanced Encryption Standard (AES) im Counter Mode. Dadurch wird die symmetrische Blockchiffre AES zur Stromchiffre. Zur anfänglichen Authentifizierung verwenden Alice und Bob digitale Signaturen, wodurch sie sich während der Unterhaltung sicher sein können, mit wem sie kommunizieren. dient zur Authentifizierung einer einzelnen Nachricht mittels der Streuwertfunktion SHA-1 (Secure Hash Algorithm 1), die als Message Authentication Code (MAC) verwendet wird.

Beim Senden von Nachrichten werden neue private Schlüssel beziehungsweise und die dazugehörigen AES- und MAC-Schlüssel erzeugt. Die nicht mehr verwendeten privaten Schlüssel werden gelöscht, damit Alice nicht mehr mit ihren Nachrichten in Verbindung gebracht werden kann. Dies führt aber auch dazu, dass Alice nachträglich weder ihre eigenen noch die Nachrichten von Bob lesen kann. Zudem werden nicht mehr verwendete MAC-Schlüssel veröffentlicht, so dass jede andere Person die Nachrichten von Alice hätte signieren können.

Für den Diffie-Hellman-Schlüsselaustausch werden eine 1536-Bit-Primzahl und eine Primitivwurzel modulo mit benötigt. Alle Exponentiationen erfolgen dann modulo dieser Primzahl.

Initialisierung Bearbeiten

Zu Beginn eines Gesprächs müssen initiale Schlüssel ausgetauscht werden und die Authentizität der Gesprächsteilnehmer überprüft werden, das heißt Alice und Bob müssen sich jeweils sicher sein, mit wem sie kommunizieren. Dies verhindert, dass Alice beispielsweise anstatt mit Bob mit der Angreiferin Eve einen Schlüsselaustausch durchführt. Der ganze Vorgang wird Authenticated Key Exchange (AKE) genannt und mit dem SIGMA-Protokoll umgesetzt:

  1. Alice und Bob wählen private Schlüssel respektive (min. 320 Bit lang), tauschen die dazugehörigen öffentlichen Schlüssel beziehungsweise aus und erhalten durch das Diffie-Hellman-Verfahren ein gemeinsames Geheimnis .
  2. Mittels kann nun ein sicherer Kanal geschaffen werden, über den sich jeder Kommunikationsteilnehmer mit Hilfe einer digitalen Signatur gegenüber dem anderen authentifiziert. Derzeit unterstützt OTR nur den Digital Signature Algorithm.

Zwischendurch wird die Verbindung möglichst immer mit AES verschlüsselt und einzelne Nachrichten mittels SHA-256-HMAC authentifiziert.

Senden einer Nachricht Bearbeiten

Angenommen, Alice möchte an Bob die Nachricht schicken. Sie führt dabei folgende Schritte aus:

  1. Alice wählt ihren letzten von Bob empfangenen Diffie-Hellman-Schlüssel . Dabei gilt der Schlüssel von Bob als empfangen, wenn dieser für eine Nachricht verwendet hat, die Alice empfangen hat oder zuvor mittels AKE (siehe Abschnitt zuvor) ausgetauscht wurde, was offensichtlich nur im Fall sein kann.
  2. Falls Alices neuester Diffie-Hellman-Schlüssel ist, erzeugt sie zufällig einen neuen Schlüssel von mindestens 320 Bit Länge.
  3. Sei der letzte empfangene Diffie-Hellman-Schlüssel von Bob. Als empfangen gilt hier der Schlüssel wieder, wenn Bob diesen der letzten Nachricht beigefügt hat (siehe weiter unten) oder er mittels AKE ausgetauscht wurde.
  4. Das gemeinsame Diffie-Hellman-Geheimnis kann nun (modulo ) als berechnet werden.
  5. Berechne den AES-Schlüssel , wobei die ersten 128 Bit des SHA-1-Hashwerts von bezeichnet. wurde zuvor in ein bestimmtes Datenformat gebracht und um ein Byte erweitert.
  6. Berechne den MAC-Schlüssel als den 160-Bit-SHA-1-Hashwert von .
  7. Für den später verwendeten Counter Mode wird ein Zähler benötigt, der so gewählt wird, dass das Tripel während des gesamten Nachrichtenaustauschs mit Bob nie doppelt vorkommt.
  8. Die Nachricht wird nun mithilfe des AES-Algorithmus im Counter Mode verschlüsselt. Als Schlüssel dienen dazu und der eben gewählte Zähler . Die so verschlüsselte Nachricht heiße .
  9. Die verschlüsselte Nachricht , , und einige kryptographisch unwichtige Teile wie die Versionsnummer des Protokolls werden zu zusammengefasst und davon der Message Authentication Code unter Verwendung des Schlüssels berechnet. Hierbei bezeichne den Keyed-Hash Message Authentication Code (HMAC) unter Verwendung der Hashfunktion SHA-1 und des Schlüssels .
  10. und alle nicht mehr verwendeten MAC-Schlüssel werden an Bob über einen unsicheren Kanal geschickt.

Empfangen einer Nachricht Bearbeiten

Bob empfängt die weiter oben erzeugten Daten von Alice und führt folgende Schritte durch:

  1. Bob hat entweder bereits durch eine alte Nachricht von Alice oder per AKE erhalten. Dadurch kann er dasselbe Diffie-Hellman-Geheimnis durch berechnen, wobei und die in enthaltenen Indizes bezeichnen.
  2. Ebenso kann er wie Alice und berechnen.
  3. Mithilfe von berechnet er und vergleicht den erhaltenen Wert mit dem von Alice übermittelten. Dadurch ist die Authentizität der Nachricht geprüft und gegen einen Mittelsmannangriff geschützt.
  4. Mithilfe von und , welches in dem durch Alice versandten enthalten ist, entschlüsselt er die Nachricht mit dem AES-Algorithmus in Counter Mode und erhält zurück. Dies funktioniert, da AES symmetrisch ist, also zum Ver- und Entschlüsseln denselben Schlüssel verwendet.

Überprüfung der Ziele Bearbeiten

Ein weiteres Sicherheitskonzept ist die Fälschbarkeit. Durch die zur Verschlüsselung verwendete Stromchiffre (AES im Counter Mode), bei der der Klartext einfach mit einem XOR verknüpft wird, um den Geheimtext zu erhalten, kann bei erfolgreichem Erraten eines Teils des Klartexts der Angreifer den Geheimtext so modifizieren, dass dieser Teil sich zu einem beliebigen Text entschlüsselt. Dies verringert nicht die Sicherheit, da Bob sich durch das Signieren der Nachricht mit dem MAC-Schlüssel sicher sein kann, dass die verfälschte Nachricht nicht von Alice stammt. Im Nachhinein kann aber der Angreifer diese Nachricht signieren, da der zugehörige MAC-Schlüssel veröffentlicht wurde. So wird erschwert, dass Alice durch den Inhalt einer Nachricht mit ihr in Verbindung gebracht werden kann, da nachträglich die Nachricht für jeden signierbar und beschränkt modifizierbar ist.

Kryptoanalyse Bearbeiten

Eine computergestützte Kryptoanalyse des Protokolls in der Version 2 wurde von der Stanford University durchgeführt, wobei mehrere Schwachstellen entdeckt wurden: Durch einen Mittelsmannangriff ist es möglich, auf eine ältere Version des Protokolls (zum Beispiel Version 1) zu wechseln, um so deren Schwachstellen auszunutzen. Weiterhin ist die Abstreitbarkeit im starken Sinne, das heißt, dass jeder eine Nachricht hätte signieren können, bei einem Angreifer mit vollständiger Kontrolle über das Netzwerk nicht mehr gegeben. Dieser kann die veröffentlichten MAC-Schlüssel durch zufällige Daten ersetzen, wodurch es anderen nicht mehr möglich ist, mit diesen Schlüsseln Nachrichten gültig zu signieren. Zudem haben die Autoren einen Angriff bei der Authentifizierung im AKE gefunden, der jedoch entdeckt werden kann und keine weitreichenden Folgen nach sich zieht.

Verfügbarkeit Bearbeiten

Referenzimplementierung Bearbeiten

libotr
Basisdaten

Entwickler Das OTR-Team
Aktuelle Version 4.1.1
(9. März 2016)
Betriebssystem Windows, Linux, xBSD, macOS
Programmiersprache Java (java-otr) bzw. C (libotr)
Kategorie Verschlüsselung
Lizenz LGPL/GPL (Freie Software)
deutschsprachig ja
otr.cypherpunks.ca

Als Referenzimplementierung des Protokolls steht von den beiden Entwicklern, Ian Goldberg und Nikita Borisov, eine Programmbibliothek namens libotr zur Verfügung. Sie ist als freie Software auch im Quelltext veröffentlicht und unter den Bedingungen der GNU Lesser General Public License (LGPL) lizenziert. Mit der Bibliothek wird ein Toolkit zum Fälschen von Nachrichten geliefert. Die Entwickler stellen auch ein Plugin für Pidgin zur Verfügung. Letztere unterstehen beide den Bedingungen der GNU General Public License (GPL).

Native Unterstützung Bearbeiten

Die folgenden Clients unterstützen Off-the-Record Messaging nativ. Das schließt ein, dass man mit ihnen OTR mit allen implementierten Instant-Messaging-Protokollen verwenden kann (zum Beispiel OSCAR, XMPP, MSN und YIM). Eine weitere Liste mit Programmen findet sich auf der Website der Entwickler.

Fester Bestandteil Bearbeiten

  • Adium (macOS)
  • BitlBee (plattformunabhängig), ab Version 3.0 (optional einstellbar zur Kompilierzeit)
  • ChatSecure (iOS)
  • climm (Linux/Unix) unterstützt es direkt seit 0.5.4
  • IM+ (Android/iOS)
  • Jitsi (früher SIP Communicator) (plattformunabhängig)
  • LoquiIM (Firefox OS)
  • MCabber (Linux, mehrere BSD-Derivate, OS X) unterstützt OTR direkt seit 0.9.4
  • Phonix Viewer (plattformunabhängig), ein Betrachter für das Spiel Second Life, unterstützt OTR-Diskussionen innerhalb des Spiels
  • qutIM (plattformunabhängig) seit 0.3.1
  • Rocket.Chat (plattformunabhängig)
  • SecuXabber (Android) unterstützt OTR nativ (Beta)
  • Spark (plattformunabhängig)
  • Xabber (Android) unterstützt OTR nativ seit 0.9.27 (nur XMPP)

Plugin Bearbeiten

  • Gajim (plattformunabhängig) hat ab Version 0.15 ein Plugin
  • Irssi (plattformunabhängig) hat ein Plugin
  • Kopete (Linux/Unix) hat ein (ab Version 0.50.80/KDE 4.1 offizielles) Plugin
  • Miranda IM (Windows) hat ein Plugin
  • Miranda NG (Windows) hat ein Plugin
  • Mozilla Thunderbird ab Version 68 mit der OTR Bibliothek
  • Pidgin (plattformunabhängig) hat ein offizielles Plugin
  • Psi (plattformunabhängig) hat ein inoffizielles Plugin, in Psi+ kann dieses (unter Linux) nativ verwendet werden
  • Vacuum IM (Linux/Windows)
  • WeeChat (plattformunabhängig) hat ein Plugin
  • XChat (plattformunabhängig) hat ein Plugin

Proxy Bearbeiten

Zunächst wurde auch ein Proxy entwickelt, der die Nutzung mit dem OSCAR-Protokoll (AIM/ICQ) ermöglichen sollte, auch wenn der Chatclient selbst OTR nicht unterstützt. Die Software wird seit 2005 nicht mehr weiterentwickelt und der Hersteller rät von der Benutzung ab.

Geschichte Bearbeiten

OTR wurde von Nikita Borisov, Ian Avrum Goldberg und Eric A. Brewer 2004 beim „Workshop on Privacy in the Electronic Society“ (WPES) als Verbesserung gegenüber dem OpenPGP- und dem S/MIME-System vorgestellt. Am 21. November 2004 wurde die erste Version 0.8.0 der Referenzimplementierung veröffentlicht. 2005 wurde von Mario Di Raimondo, Rosario Gennaro und Hugo Krawczyk eine Analyse vorgestellt, die auf mehrere Schwachstellen aufmerksam machte und Korrekturen dazu vorschlug, darunter insbesondere eine Sicherheitslücke beim Schlüsselaustausch. Daraufhin wurde 2005 Version 2 des OTR-Protokolls veröffentlicht, die eine Variation der vorgeschlagenen Modifikation umsetzt, die zusätzlich die öffentlichen Schlüssel verbirgt. Zusätzlich wurde für Chatsysteme mit begrenzter Nachrichtengröße die Möglichkeit zur Fragmentierung von OTR-Nachrichten eingeführt und eine einfachere Überprüfungsmöglichkeit gegen Mittelsmannangriffe ohne den Abgleich von Schlüsselprüfsummen implementiert. Dabei kann über das Sozialistische-Millionäre-Protokoll das Wissen um ein beliebiges gemeinsames Geheimnis genutzt werden, bei welchem auch eine relativ niedrige Entropie tolerierbar ist. 2012 wurde Version 3 des Protokolls veröffentlicht. Als Maßnahme gegen fortwährenden Neuaufbau einer Sitzung mit mehreren konkurrierenden Chat-Clients, die gleichzeitig auf dieselbe Benutzeradresse angemeldet sind, wurde in Version 3 eine genauere Kennung der Sender- und Empfänger-Client-Instanz eingeführt. Außerdem wird ein zusätzlicher Schlüssel ausgehandelt, der für einen weiteren Datenkanal genutzt werden kann.

Zur Unterstützung mehrerer Gesprächsteilnehmer wurden mehrere Systeme vorgeschlagen. Ein 2007 von Jiang Bian, Remzi Seker und Umit Topaloglu vorgeschlagenes Verfahren nutzte das System eines Teilnehmers als „virtuellen Server“. Das 2009 veröffentlichte Verfahren „Multi-party Off-the-Record Messaging“ (mpOTR) kam ohne zentrale Organisationsinstanz aus und wurde von Ian Goldberg et al. in Cryptocat eingeführt. 2013 wurde in TextSecure das Axolotl-Protokoll eingeführt, das auf OTR Messaging und dem Silent Circle Instant Messaging Protocol (SCIMP) basiert. Es brachte als zentrales Zusatzmerkmal die Unterstützung asynchroner Kommunikation („Offline-Nachrichten“), sowie außerdem bessere Resilienz bei gestörter Nachrichtenreihenfolge und simplere Unterstützung mehrerer Gesprächsteilnehmer. Das 2015 in Conversations eingeführte OMEMO integriert Axolotl in das Instant-Messaging-Protokoll XMPP („Jabber“) und ermöglicht nunmehr auch Dateiübertragungen abzusichern. Es wurde im Herbst 2015 bei der XMPP Standards Foundation zur Standardisierung eingereicht.

Socialist-Millionaires'-Protokoll Bearbeiten

Das Socialist-Millionaires'-Protokoll (SMP) ermöglicht, den sonst out of band stattfindenden Vergleich der Fingerprints der öffentlichen Schlüssel durch ein shared Secret zu ersetzen.

Weitere Einsatzbereiche Bearbeiten

  • Apple iCloud-Schlüsselbund benutzt das OTR-Protokoll zur Datenübertragung von User-ID und Passwörtern von Apple-Gerät zu Apple-Gerät.

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. Off-the-Record Messaging Protocol version 2 (englisch)
  2. Joseph Bonneau, Andrew Morrison: Finite-State Security Analysis of OTR Version 2. (PDF (105 kB)) Stanford University, abgerufen am 13. Juli 2011 (englisch).
  3. ChatSecure-Website
  4. IM+ bei Google Play
  5. github.com
  6. mcabber-Changelog, siehe Abschnitt „mcabber (0.9.4)“ (englisch)
  7. Phonix Viewer, OSS
  8. qutIM 0.3.1 Changelog auf Facebook
  9. Rocket.Chat Channel Actions, englisch
  10. SecuXabber im Google Play Store (englisch)
  11. Spark Changelog
  12. Xabber im Google Play Store, englisch
  13. Gajim OTR, englisch
  14. Irssi OTR, englisch
  15. (Memento vom 1. März 2012 im Internet Archive), englisch
  16. MirOTR, Miranda NG Wiki
  17. thunderbird.net
  18. Thunderbird:OTR – MozillaWiki. 22. Mai 2019, abgerufen am 20. Juli 2019.
  19. Pidgin OTR Plugin, englisch
  20. (Memento vom 26. März 2009 im Internet Archive), englisch
  21. Website der Psi-Entwicklerversion Psi+, englisch
  22. Plugin-Sammlung für Vacuum IM
  23. weechat-otr, englisch
  24. (Memento des Originals vom 27. Februar 2016 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/xchat.org, englisch
  25. Nikita Borisov, Ian Avrum Goldberg, Eric A. Brewer: Off-the-record communication, or, why not to use PGP. In: Association for Computing Machinery (Hrsg.): WPES ’04: Proceedings of the 2004 ACM workshop on Privacy in the electronic society. ACM Press, New York Oktober 2004, S. 77–84 (cypherpunks.ca [PDF]).
  26. Mario Di Raimondo, Rosario Gennaro, Hugo Krawczyk: Secure off-the-record messaging. In: Association for Computing Machinery (Hrsg.): Proceedings of the 2005 ACM workshop on Privacy in the electronic society. 2005, S. 81–89 (unict.it [PDF]).
  27. Jiang Bian, Remzi Seker, Umit Topaloglu: Off-the-Record Instant Messaging for Group Conversation. In: IEEE (Hrsg.): IEEE International Conference on Information Reuse and Integration. 2007 ( [PDF; 117 kB; abgerufen am 1. September 2021]).
  28. Chris Alexander, Ian Avrum Goldberg: Improved User Authentication in Off-The-Record Messaging. In: Association for Computing Machinery (Hrsg.): Proceedings of the 2007 ACM workshop on Privacy in electronic society. New York Oktober 2007, S. 41–47, doi:10.1145/1314333.1314340 (cypherpunks.ca [PDF]).
  29. otr.cypherpunks.ca
  30. Ian Avrum Goldberg, Berkant Ustaoğlu, Matthew D. Van Gundy, Hao Chen: Multi-party off-the-record messaging. In: Association for Computing Machinery (Hrsg.): Proceedings of the 16th ACM Computer and Communications Security Conference. 2009, S. 358–368, doi:10.1145/1653662.1653705 (cypherpunks.ca [PDF]).
  31. Nik Unger, Sergej Dechand, Joseph Bonneau, Sascha Fahl, Henning Perl, Ian Avrum Goldberg, Matthew Smith: SoK: Secure Messaging. In: IEEE Computer Society’s Technical Committee on Security and Privacy (Hrsg.): Proceedings of the 2015 IEEE Symposium on Security and Privacy. 2015, S. 232–249 (ieee-security.org [PDF]).
  32. Andreas Straub: (Nicht mehr online verfügbar.) In: Website der XMPP Standards Foundation. 25. Oktober 2015, archiviert vom Original am 29. Januar 2016; abgerufen am 4. Januar 2016 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/xmpp.org
  33. Daniel Gultsch: OMEMO Encrypted Jingle File Transfer. In: Website der XMPP Standards Foundation. 2. September 2015, abgerufen am 4. Januar 2016 (englisch).
  34. heide.de/... – iCloud-Schlüsselbund: Schwachstelle ermöglichte Fremdzugriff auf Passwörter. 4. August 2017, abgerufen am 5. August 2017.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Off the Record Messaging OTR deutsch inoffizielle vertrauliche nicht fur die Offentlichkeit bestimmte Nachrichtenubermittlung ist ein Protokoll zur Nachrichtenverschlusselung beim Instant Messaging Es regelt die laufende Aktualisierung und Verwaltung kurzlebiger Sitzungsschlussel Im Gegensatz zur Ubertragung verschlusselter Nachrichten mit OpenPGP oder in seltenen Fallen auch mittels X 509 Zertifikat kann man beim Off the Record Messaging spater nicht mehr feststellen ob ein bestimmter Schlussel von einer bestimmten Person genutzt wurde Prinzip der glaubhaften Abstreitbarkeit englisch plausible deniability Dadurch lasst sich nach Beenden der Unterhaltung von niemandem auch keinem der beiden Kommunikationspartner beweisen dass einer der Kommunikationspartner eine bestimmte Aussage gemacht hat Umgesetzt wird dieses Prinzip durch kombinierte Verwendung des symmetrischen Kryptoverfahrens Advanced Encryption Standard AES des Diffie Hellman Schlusselaustauschs und der kryptographischen Hashfunktion SHA 1 Es stehen eine Programmbibliothek und zahlreiche Instant Messaging Programme zur Verfugung welche das Protokoll entweder direkt oder uber Zusatzmodule nutzen konnen Inhaltsverzeichnis 1 Ziele des Projektes 2 Technische Umsetzung 2 1 Uberblick 2 2 Initialisierung 2 3 Senden einer Nachricht 2 4 Empfangen einer Nachricht 2 5 Uberprufung der Ziele 2 6 Kryptoanalyse 3 Verfugbarkeit 3 1 Referenzimplementierung 3 2 Native Unterstutzung 3 2 1 Fester Bestandteil 3 2 2 Plugin 3 3 Proxy 4 Geschichte 5 Socialist Millionaires Protokoll 6 Weitere Einsatzbereiche 7 Weblinks 8 EinzelnachweiseZiele des Projektes BearbeitenIn den Statuten des Projektes sind die folgenden vier Eckpfeiler definiert Verschlusselung Encryption Niemand kann die Nachrichten mitlesen Beglaubigung Authentication Man kann sich sicher sein dass der Empfanger derjenige ist fur den man ihn halt Abstreitbarkeit Deniability Verschlusselte Nachrichten enthalten keine elektronische Signatur Es ist also moglich dass jemand Nachrichten nach einer Konversation so falscht dass sie von einem selbst zu stammen scheinen Wahrend eines Gespraches kann der Empfanger aber gewiss sein dass die empfangenen Nachrichten authentisch und unverandert sind Folgenlosigkeit Perfect Forward Secrecy Wenn der langlebige private Schlussel einem Dritten in die Hande fallt hat dies keine Auswirkung auf die Kompromittierung bisher getatigter Gesprache Die Gesprache konnen damit nicht nachtraglich entschlusselt werden Technische Umsetzung BearbeitenDer folgende Abschnitt stellt vereinfacht die Funktion des OTR Protokolls in Version 2 1 dar Uberblick Bearbeiten Wahrend ihrer Kommunikation miteinander wahlen Alice und Bob private Schlussel x 1 x 2 displaystyle x 1 x 2 ldots nbsp beziehungsweise y 1 y 2 displaystyle y 1 y 2 ldots nbsp Jeweils zwei zum Beispiel x i displaystyle x i nbsp und y j displaystyle y j nbsp werden zur Erzeugung eines gemeinsamen Geheimnisses s displaystyle s nbsp mittels des Diffie Hellman Schlusselaustauschs verwendet Aus diesem Geheimnis s displaystyle s nbsp werden die Schlussel K AES displaystyle K text AES nbsp und K MAC displaystyle K text MAC nbsp berechnet K AES displaystyle K text AES nbsp dient zur Verschlusselung jeder Nachricht mittels Advanced Encryption Standard AES im Counter Mode Dadurch wird die symmetrische Blockchiffre AES zur Stromchiffre Zur anfanglichen Authentifizierung verwenden Alice und Bob digitale Signaturen wodurch sie sich wahrend der Unterhaltung sicher sein konnen mit wem sie kommunizieren K MAC displaystyle K text MAC nbsp dient zur Authentifizierung einer einzelnen Nachricht mittels der Streuwertfunktion SHA 1 Secure Hash Algorithm 1 die als Message Authentication Code MAC verwendet wird Beim Senden von Nachrichten werden neue private Schlussel x i 1 displaystyle x i 1 nbsp beziehungsweise y j 1 displaystyle y j 1 nbsp und die dazugehorigen AES und MAC Schlussel erzeugt Die nicht mehr verwendeten privaten Schlussel werden geloscht damit Alice nicht mehr mit ihren Nachrichten in Verbindung gebracht werden kann Dies fuhrt aber auch dazu dass Alice nachtraglich weder ihre eigenen noch die Nachrichten von Bob lesen kann Zudem werden nicht mehr verwendete MAC Schlussel veroffentlicht so dass jede andere Person die Nachrichten von Alice hatte signieren konnen Fur den Diffie Hellman Schlusselaustausch werden eine 1536 Bit Primzahl p displaystyle p nbsp und eine Primitivwurzel g displaystyle g nbsp modulo p displaystyle p nbsp mit 2 g p 2 displaystyle 2 leq g leq p 2 nbsp benotigt Alle Exponentiationen erfolgen dann modulo dieser Primzahl Initialisierung Bearbeiten Zu Beginn eines Gesprachs mussen initiale Schlussel ausgetauscht werden und die Authentizitat der Gesprachsteilnehmer uberpruft werden das heisst Alice und Bob mussen sich jeweils sicher sein mit wem sie kommunizieren Dies verhindert dass Alice beispielsweise anstatt mit Bob mit der Angreiferin Eve einen Schlusselaustausch durchfuhrt Der ganze Vorgang wird Authenticated Key Exchange AKE genannt und mit dem SIGMA Protokoll 1 umgesetzt Alice und Bob wahlen private Schlussel x 1 displaystyle x 1 nbsp respektive y 1 displaystyle y 1 nbsp min 320 Bit lang tauschen die dazugehorigen offentlichen Schlussel g x 1 displaystyle g x 1 nbsp beziehungsweise g y 1 displaystyle g y 1 nbsp aus und erhalten durch das Diffie Hellman Verfahren ein gemeinsames Geheimnis s g x 1 y 1 g y 1 x 1 g x 1 y 1 displaystyle s left g x 1 right y 1 left g y 1 right x 1 g x 1 cdot y 1 nbsp Mittels s displaystyle s nbsp kann nun ein sicherer Kanal geschaffen werden uber den sich jeder Kommunikationsteilnehmer mit Hilfe einer digitalen Signatur gegenuber dem anderen authentifiziert Derzeit unterstutzt OTR nur den Digital Signature Algorithm Zwischendurch wird die Verbindung moglichst immer mit AES verschlusselt und einzelne Nachrichten mittels SHA 256 HMAC authentifiziert Senden einer Nachricht Bearbeiten Angenommen Alice mochte an Bob die Nachricht M displaystyle M nbsp schicken Sie fuhrt dabei folgende Schritte aus Alice wahlt ihren letzten von Bob empfangenen Diffie Hellman Schlussel x i displaystyle x i nbsp Dabei gilt der Schlussel von Bob als empfangen wenn dieser g x i displaystyle g x i nbsp fur eine Nachricht verwendet hat die Alice empfangen hat oder g x i displaystyle g x i nbsp zuvor mittels AKE siehe Abschnitt zuvor ausgetauscht wurde was offensichtlich nur im Fall i 1 displaystyle i 1 nbsp sein kann Falls x i displaystyle x i nbsp Alices neuester Diffie Hellman Schlussel ist erzeugt sie zufallig einen neuen Schlussel x i 1 displaystyle x i 1 nbsp von mindestens 320 Bit Lange Sei g y j displaystyle g y j nbsp der letzte empfangene Diffie Hellman Schlussel von Bob Als empfangen gilt hier der Schlussel wieder wenn Bob diesen der letzten Nachricht beigefugt hat siehe weiter unten oder er mittels AKE ausgetauscht wurde Das gemeinsame Diffie Hellman Geheimnis kann nun modulo p displaystyle p nbsp als s g y j x i displaystyle s left g y j right x i nbsp berechnet werden Berechne den AES Schlussel K AES H s displaystyle K text AES H s nbsp wobei H s displaystyle H s nbsp die ersten 128 Bit des SHA 1 Hashwerts von s displaystyle s nbsp bezeichnet s displaystyle s nbsp wurde zuvor in ein bestimmtes Datenformat gebracht und um ein Byte erweitert Berechne den MAC Schlussel K MAC displaystyle K text MAC nbsp als den 160 Bit SHA 1 Hashwert von K AES displaystyle K text AES nbsp Fur den spater verwendeten Counter Mode wird ein Zahler c displaystyle c nbsp benotigt der so gewahlt wird dass das Tripel i j c displaystyle i j c nbsp wahrend des gesamten Nachrichtenaustauschs mit Bob nie doppelt vorkommt Die Nachricht M displaystyle M nbsp wird nun mithilfe des AES Algorithmus im Counter Mode verschlusselt Als Schlussel dienen dazu K AES displaystyle K text AES nbsp und der eben gewahlte Zahler c displaystyle c nbsp Die so verschlusselte Nachricht heisse N displaystyle N nbsp Die verschlusselte Nachricht N displaystyle N nbsp i j c displaystyle i j c nbsp g x i 1 displaystyle g x i 1 nbsp und einige kryptographisch unwichtige Teile wie die Versionsnummer des Protokolls werden zu T displaystyle T nbsp zusammengefasst und davon der Message Authentication Code M A C K MAC T displaystyle MAC K text MAC T nbsp unter Verwendung des Schlussels K MAC displaystyle K text MAC nbsp berechnet Hierbei bezeichne M A C K MAC displaystyle MAC K text MAC nbsp den Keyed Hash Message Authentication Code HMAC unter Verwendung der Hashfunktion SHA 1 und des Schlussels K MAC displaystyle K text MAC nbsp T M A C K MAC T displaystyle T MAC K text MAC T nbsp und alle nicht mehr verwendeten MAC Schlussel werden an Bob uber einen unsicheren Kanal geschickt Empfangen einer Nachricht Bearbeiten Bob empfangt die weiter oben erzeugten Daten von Alice und fuhrt folgende Schritte durch Bob hat entweder g x i displaystyle g x i nbsp bereits durch eine alte Nachricht von Alice oder per AKE erhalten Dadurch kann er dasselbe Diffie Hellman Geheimnis durch s g x i y j g x i y j g y j x i displaystyle s left g x i right y j g x i cdot y j left g y j right x i nbsp berechnen wobei i displaystyle i nbsp und j displaystyle j nbsp die in T displaystyle T nbsp enthaltenen Indizes bezeichnen Ebenso kann er wie Alice K AES displaystyle K text AES nbsp und K MAC displaystyle K text MAC nbsp berechnen Mithilfe von K MAC displaystyle K text MAC nbsp berechnet er M A C K MAC T displaystyle MAC K text MAC T nbsp und vergleicht den erhaltenen Wert mit dem von Alice ubermittelten Dadurch ist die Authentizitat der Nachricht gepruft und gegen einen Mittelsmannangriff geschutzt Mithilfe von K AES displaystyle K text AES nbsp und c displaystyle c nbsp welches in dem durch Alice versandten T displaystyle T nbsp enthalten ist entschlusselt er die Nachricht N displaystyle N nbsp mit dem AES Algorithmus in Counter Mode und erhalt M displaystyle M nbsp zuruck Dies funktioniert da AES symmetrisch ist also zum Ver und Entschlusseln denselben Schlussel K AES c displaystyle K text AES c nbsp verwendet Uberprufung der Ziele Bearbeiten Verschlusselung Encryption Das verwendete Kryptosystem AES wurde eingehenden kryptoanalytischen Prufungen unterzogen und gilt als praktisch berechnungssicher Beglaubigung Authentication Mittels AKE und digitalen Signaturen kann sich Bob auch zu einem spateren Zeitpunkt sicher sein dass Alice den offentlichen Schlussel g x 1 displaystyle g x 1 nbsp gewahlt hat Da mithilfe dieses Schlussels die nachste Nachricht und damit auch der nachste Schlussel g x 2 displaystyle g x 2 nbsp signiert wird kann sich Bob auch bei allen darauf folgenden Nachrichten der Identitat seines Gesprachspartners sicher sein Abstreitbarkeit Deniability Alice verwendet ihre digitale Signatur nur zu Beginn des Gesprachs Alle nachfolgenden Nachrichten werden mit den MAC Schlusseln K MAC displaystyle K text MAC nbsp signiert Da zum Erzeugen der MAC Schlussel das gemeinsame Geheimnis s displaystyle s nbsp benotigt wird kann sich Bob sicher sein dass Alice die Nachricht signiert hat Jedoch kann er dies niemand anderem beweisen da genauso er die Nachricht hatte signieren konnen Hinzu kommt dass durch die Veroffentlichung nicht mehr verwendeter MAC Schlussel niemand mehr die Authentizitat der Nachrichten uberprufen kann da jeder sie hatte signieren konnen Nur Bob kann sich sicher sein dass Alice die Nachricht geschickt hat da zum Zeitpunkt des Empfangs nur sie beide den dazugehorigen MAC Schlussel kennen Durch die Verwendung einer digitalen Signatur zum Beginn des Gesprachs kann jedoch niemand abstreiten dass ein Gesprach stattgefunden hat Folgenlosigkeit Perfect Forward Secrecy Verliert Alice ihren langlebigen privaten Schlussel so kann daraus keiner der kurzlebigen privaten Schlussel x 1 x 2 displaystyle x 1 x 2 ldots nbsp hergeleitet werden da diese nie veroffentlicht und kurz nach ihrer Verwendung geloscht wurden Da nur diese kurzlebigen privaten Schlussel zum Verschlusseln und Signieren der Nachrichten verwendet wurden ist trotz des Verlusts des langlebigen privaten Schlussels das Gesprach nicht kompromittiert worden Ein weiteres Sicherheitskonzept ist die Falschbarkeit Durch die zur Verschlusselung verwendete Stromchiffre AES im Counter Mode bei der der Klartext einfach mit einem XOR verknupft wird um den Geheimtext zu erhalten kann bei erfolgreichem Erraten eines Teils des Klartexts der Angreifer den Geheimtext so modifizieren dass dieser Teil sich zu einem beliebigen Text entschlusselt Dies verringert nicht die Sicherheit da Bob sich durch das Signieren der Nachricht mit dem MAC Schlussel sicher sein kann dass die verfalschte Nachricht nicht von Alice stammt Im Nachhinein kann aber der Angreifer diese Nachricht signieren da der zugehorige MAC Schlussel veroffentlicht wurde So wird erschwert dass Alice durch den Inhalt einer Nachricht mit ihr in Verbindung gebracht werden kann da nachtraglich die Nachricht fur jeden signierbar und beschrankt modifizierbar ist Kryptoanalyse Bearbeiten Eine computergestutzte Kryptoanalyse des Protokolls in der Version 2 wurde von der Stanford University durchgefuhrt 2 wobei mehrere Schwachstellen entdeckt wurden Durch einen Mittelsmannangriff ist es moglich auf eine altere Version des Protokolls zum Beispiel Version 1 zu wechseln um so deren Schwachstellen auszunutzen Weiterhin ist die Abstreitbarkeit im starken Sinne das heisst dass jeder eine Nachricht hatte signieren konnen bei einem Angreifer mit vollstandiger Kontrolle uber das Netzwerk nicht mehr gegeben Dieser kann die veroffentlichten MAC Schlussel durch zufallige Daten ersetzen wodurch es anderen nicht mehr moglich ist mit diesen Schlusseln Nachrichten gultig zu signieren Zudem haben die Autoren einen Angriff bei der Authentifizierung im AKE gefunden der jedoch entdeckt werden kann und keine weitreichenden Folgen nach sich zieht Verfugbarkeit BearbeitenReferenzimplementierung Bearbeiten libotrBasisdatenEntwickler Das OTR TeamAktuelle Version 4 1 1 9 Marz 2016 Betriebssystem Windows Linux xBSD macOSProgrammiersprache Java java otr bzw C libotr Kategorie VerschlusselungLizenz LGPL GPL Freie Software deutschsprachig jaotr cypherpunks caAls Referenzimplementierung des Protokolls steht von den beiden Entwicklern Ian Goldberg und Nikita Borisov eine Programmbibliothek namens libotr zur Verfugung Sie ist als freie Software auch im Quelltext veroffentlicht und unter den Bedingungen der GNU Lesser General Public License LGPL lizenziert Mit der Bibliothek wird ein Toolkit zum Falschen von Nachrichten geliefert Die Entwickler stellen auch ein Plugin fur Pidgin zur Verfugung Letztere unterstehen beide den Bedingungen der GNU General Public License GPL Native Unterstutzung Bearbeiten Die folgenden Clients unterstutzen Off the Record Messaging nativ Das schliesst ein dass man mit ihnen OTR mit allen implementierten Instant Messaging Protokollen verwenden kann zum Beispiel OSCAR XMPP MSN und YIM Eine weitere Liste mit Programmen findet sich auf der Website der Entwickler Fester Bestandteil Bearbeiten Adium macOS BitlBee plattformunabhangig ab Version 3 0 optional einstellbar zur Kompilierzeit ChatSecure iOS 3 climm Linux Unix unterstutzt es direkt seit 0 5 4 IM Android iOS 4 Jitsi fruher SIP Communicator plattformunabhangig LoquiIM Firefox OS 5 MCabber Linux mehrere BSD Derivate OS X unterstutzt OTR direkt seit 0 9 4 6 Phonix Viewer 7 plattformunabhangig ein Betrachter fur das Spiel Second Life unterstutzt OTR Diskussionen innerhalb des Spiels qutIM plattformunabhangig seit 0 3 1 8 Rocket Chat plattformunabhangig 9 SecuXabber Android unterstutzt OTR nativ Beta 10 Spark plattformunabhangig 11 Xabber Android unterstutzt OTR nativ seit 0 9 27 nur XMPP 12 Plugin Bearbeiten Gajim plattformunabhangig hat ab Version 0 15 ein Plugin 13 Irssi plattformunabhangig hat ein Plugin 14 Kopete Linux Unix hat ein ab Version 0 50 80 KDE 4 1 offizielles Plugin Miranda IM Windows hat ein Plugin 15 Miranda NG Windows hat ein Plugin 16 Mozilla Thunderbird ab Version 68 17 mit der OTR Bibliothek 18 Pidgin plattformunabhangig hat ein offizielles Plugin 19 Psi plattformunabhangig hat ein inoffizielles Plugin 20 in Psi 21 kann dieses unter Linux nativ verwendet werden Vacuum IM Linux Windows 22 WeeChat plattformunabhangig hat ein Plugin 23 XChat plattformunabhangig hat ein Plugin 24 Proxy Bearbeiten Zunachst wurde auch ein Proxy entwickelt der die Nutzung mit dem OSCAR Protokoll AIM ICQ ermoglichen sollte auch wenn der Chatclient selbst OTR nicht unterstutzt Die Software wird seit 2005 nicht mehr weiterentwickelt und der Hersteller rat von der Benutzung ab Geschichte BearbeitenOTR wurde von Nikita Borisov Ian Avrum Goldberg und Eric A Brewer 2004 beim Workshop on Privacy in the Electronic Society WPES als Verbesserung gegenuber dem OpenPGP und dem S MIME System vorgestellt 25 Am 21 November 2004 wurde die erste Version 0 8 0 der Referenzimplementierung veroffentlicht 2005 wurde von Mario Di Raimondo Rosario Gennaro und Hugo Krawczyk eine Analyse vorgestellt die auf mehrere Schwachstellen aufmerksam machte und Korrekturen dazu vorschlug darunter insbesondere eine Sicherheitslucke beim Schlusselaustausch 26 Daraufhin wurde 2005 Version 2 des OTR Protokolls veroffentlicht die eine Variation der vorgeschlagenen Modifikation umsetzt die zusatzlich die offentlichen Schlussel verbirgt 27 Zusatzlich wurde fur Chatsysteme mit begrenzter Nachrichtengrosse die Moglichkeit zur Fragmentierung von OTR Nachrichten eingefuhrt und eine einfachere Uberprufungsmoglichkeit gegen Mittelsmannangriffe ohne den Abgleich von Schlusselprufsummen implementiert Dabei kann uber das Sozialistische Millionare Protokoll das Wissen um ein beliebiges gemeinsames Geheimnis genutzt werden bei welchem auch eine relativ niedrige Entropie tolerierbar ist 28 2012 wurde Version 3 des Protokolls veroffentlicht Als Massnahme gegen fortwahrenden Neuaufbau einer Sitzung mit mehreren konkurrierenden Chat Clients die gleichzeitig auf dieselbe Benutzeradresse angemeldet sind wurde in Version 3 eine genauere Kennung der Sender und Empfanger Client Instanz eingefuhrt Ausserdem wird ein zusatzlicher Schlussel ausgehandelt der fur einen weiteren Datenkanal genutzt werden kann 29 Zur Unterstutzung mehrerer Gesprachsteilnehmer wurden mehrere Systeme vorgeschlagen Ein 2007 von Jiang Bian Remzi Seker und Umit Topaloglu vorgeschlagenes Verfahren nutzte das System eines Teilnehmers als virtuellen Server Das 2009 veroffentlichte Verfahren Multi party Off the Record Messaging mpOTR kam ohne zentrale Organisationsinstanz aus und wurde von Ian Goldberg et al in Cryptocat eingefuhrt 30 2013 wurde in TextSecure das Axolotl Protokoll eingefuhrt das auf OTR Messaging und dem Silent Circle Instant Messaging Protocol SCIMP basiert Es brachte als zentrales Zusatzmerkmal die Unterstutzung asynchroner Kommunikation Offline Nachrichten sowie ausserdem bessere Resilienz bei gestorter Nachrichtenreihenfolge und simplere Unterstutzung mehrerer Gesprachsteilnehmer 31 Das 2015 in Conversations eingefuhrte OMEMO integriert Axolotl in das Instant Messaging Protokoll XMPP Jabber und ermoglicht nunmehr auch Dateiubertragungen abzusichern Es wurde im Herbst 2015 bei der XMPP Standards Foundation zur Standardisierung eingereicht 32 33 Socialist Millionaires Protokoll BearbeitenDas Socialist Millionaires Protokoll SMP ermoglicht den sonst out of band stattfindenden Vergleich der Fingerprints der offentlichen Schlussel durch ein shared Secret zu ersetzen Weitere Einsatzbereiche BearbeitenApple iCloud Schlusselbund benutzt das OTR Protokoll zur Datenubertragung von User ID und Passwortern von Apple Gerat zu Apple Gerat 34 Weblinks BearbeitenProjektseite englisch Off the Record Communication or Why Not To Use PGP PDF 132 kB erste Veroffentlichung des OTR Protokolls von Nikita Borisov Ian Goldberg und Eric Brewer englisch Off the Record Messaging Protocol version 2 englisch Joseph Bonneau Andrew Morrison Finite State Security Analysis of OTR Version 2 PDF 105 kB Stanford University englisch Off the Record Messaging Useful Security and Privacy for IM Video von Ian Goldberg einem der Entwickler englisch verschiedene Formate stehen zur Auswahl T Engel Sichere Nachrichtenubermittelung mit Off the Record Messaging PDF 860 kB Diplomarbeit von an der Technischen Fachhochschule BerlinEinzelnachweise Bearbeiten a b Off the Record Messaging Protocol version 2 englisch Joseph Bonneau Andrew Morrison Finite State Security Analysis of OTR Version 2 PDF 105 kB Stanford University abgerufen am 13 Juli 2011 englisch ChatSecure Website IM bei Google Play github com mcabber Changelog siehe Abschnitt mcabber 0 9 4 englisch Phonix Viewer OSS qutIM 0 3 1 Changelog auf Facebook Rocket Chat Channel Actions englisch SecuXabber im Google Play Store englisch Spark Changelog Xabber im Google Play Store englisch Gajim OTR englisch Irssi OTR englisch Miranda OTR Plugin Memento vom 1 Marz 2012 im Internet Archive englisch MirOTR Miranda NG Wiki thunderbird net Thunderbird OTR MozillaWiki 22 Mai 2019 abgerufen am 20 Juli 2019 Pidgin OTR Plugin englisch Psi Patch und OTR Plugin auf tfh berlin de Memento vom 26 Marz 2009 im Internet Archive englisch Website der Psi Entwicklerversion Psi englisch Plugin Sammlung fur Vacuum IM weechat otr englisch Xchat OTR Memento des Originals vom 27 Februar 2016 im Internet Archive nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot xchat org englisch Nikita Borisov Ian Avrum Goldberg Eric A Brewer Off the record communication or why not to use PGP In Association for Computing Machinery Hrsg WPES 04 Proceedings of the 2004 ACM workshop on Privacy in the electronic society ACM Press New York Oktober 2004 S 77 84 cypherpunks ca PDF Mario Di Raimondo Rosario Gennaro Hugo Krawczyk Secure off the record messaging In Association for Computing Machinery Hrsg Proceedings of the 2005 ACM workshop on Privacy in the electronic society 2005 S 81 89 unict it PDF Jiang Bian Remzi Seker Umit Topaloglu Off the Record Instant Messaging for Group Conversation In IEEE Hrsg IEEE International Conference on Information Reuse and Integration 2007 web archive org PDF 117 kB abgerufen am 1 September 2021 Chris Alexander Ian Avrum Goldberg Improved User Authentication in Off The Record Messaging In Association for Computing Machinery Hrsg Proceedings of the 2007 ACM workshop on Privacy in electronic society New York Oktober 2007 S 41 47 doi 10 1145 1314333 1314340 cypherpunks ca PDF otr cypherpunks ca Ian Avrum Goldberg Berkant Ustaoglu Matthew D Van Gundy Hao Chen Multi party off the record messaging In Association for Computing Machinery Hrsg Proceedings of the 16th ACM Computer and Communications Security Conference 2009 S 358 368 doi 10 1145 1653662 1653705 cypherpunks ca PDF Nik Unger Sergej Dechand Joseph Bonneau Sascha Fahl Henning Perl Ian Avrum Goldberg Matthew Smith SoK Secure Messaging In IEEE Computer Society s Technical Committee on Security and Privacy Hrsg Proceedings of the 2015 IEEE Symposium on Security and Privacy 2015 S 232 249 ieee security org PDF Andreas Straub OMEMO Encryption Nicht mehr online verfugbar In Website der XMPP Standards Foundation 25 Oktober 2015 archiviert vom Original am 29 Januar 2016 abgerufen am 4 Januar 2016 englisch nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot xmpp org Daniel Gultsch OMEMO Encrypted Jingle File Transfer In Website der XMPP Standards Foundation 2 September 2015 abgerufen am 4 Januar 2016 englisch heide de iCloud Schlusselbund Schwachstelle ermoglichte Fremdzugriff auf Passworter 4 August 2017 abgerufen am 5 August 2017 Abgerufen von https de wikipedia org w index php title Off the Record Messaging amp oldid 227925516