TorChat ist ein Instant-Messaging Client mit einem genialen Konzept. Jeder Account ist ein Tor Hidden Service. Die Kommunikation erfolgt direkt zwischen den Beteiligten, es gibt keinen Serverdienst wie bei Jabber (XMPP) oder anderen Instant-Messaging Varianten. Die Verschlüsselung wird durch Tor sichergestellt. Außerdem kann ein externer Beobachter nicht erkennen, welche Art der Kommunikation abläuft.
Installation
Die
Projektwebseite stellt Installationspakete für Windows und Debian basierte Linux Distributionen zum Download bereit. Außerdem kann man die Sourcen nutzen.
- Windows: Das ZIP-Archiv ist nach dem Download zu entpacken - fertig. Ein Doppelklick auf die Datei "torchat.exe" im Verzeichnis "bin" startet alles Nötige. Zur Vereinfachung des Starts kann man eine Verknüpfung erstellen und auf den Desktop ziehen.
- Debian jessie und Ubuntu Derivate: TorChat ist in Repositories enthalten. Man kann es mit dem bevorzugten Paketmanager installieren:
> sudo apt-get install torchat
- Sourcen: Für alle Nicht-Debian Linuxe und UNIXe kann man das Source-Paket nutzen. Auch dafür benötigt man Tor Onion Router, Python-2.x sowie WxGTK für Python. Nach der Installation der benötigten Software und dem Entpacken der Sourcen startet man TorChat in dem src-Verzeichnis mit:
> python torchat.py
Verwendung
Beim Start von TorChat wird eine Instanz von Tor mit den passenden Parametern gestartet. Ein Account wird automatisch erstellt, wenn noch nicht vorhanden. Dann dauert es 15-20min bis der Account im Tor Netzwerk bekannt ist.
Die Bedienung ist einfach. Man klickt mit der rechten Maustaste in das Hauptfenster und fügt eine TorChat-ID hinzu. Wenn das Symbol farbig dargestellt wird, kann man eine Nachricht schreiben oder eine Datei senden. Farblos dargestellt Accounts sind nicht online.
Wenn man auf einen Link im Chat-Fenster klickt, dann wird der Standard-Browser geöffnet! Wer die empfangenen Links mit dem TorBrowser oder JonDoBrowser öffnen will, um die Seite anonym aufzurufen, der sollte den Link kopieren und in der URL-Zeile des anonymen Browsers einfügen. Den Link mit der Maus markieren und per
Copy & Paste übernehmen.
WICHTIG: TorChat ist immer über den Menüpunkt
"Beenden" zu schließen. Nur dann wird auch die gestartete Instanz von Tor sauber beendet.
Eine TorChat-ID ist eine kryptische Tor Hidden Service Adresse ohne die Endung
.onion
wie zum Beispiel "
hvv2ltdjdey5jrwp".
Security Hinweis
Eine
Security Analyse (PDF, 2015, Universität Tallin) zeigt einige Schwächen in TorChat auf:
- Denial-of-Service Angriffe auf einen bekannten Account sind möglich
- verstecktes Monitoring der Online-Zeiten eines bekannten Account ist möglich
- durch die Verwendung eines kryptografisch schwachen Zufallsgenerators ist es einem Angreifer möglich, die Identität der Kommunikationspartners eines bekannten Accounts bei der Kontaktaufnahme zu übernehmen und im Namen dieser Identitäten Nachrichten zu senden sowie Dateitransfers einzuleiten.
Die Analyse kommt zu dem Schluss, das TorChat nur unter der Bedingung sicher verwendet werden kann, wenn die TorChat-ID dem Angreifer nicht bekannt ist.
Die eigene TorChat-ID ist also geheim zu halten und nur ausgewählten Personen zur Verfügung zu stellen.