Verschlüsselte Chats und Instant Messaging in Kombination mit Anonymisierungs­diensten wie Tor sind auch für potente Geheimdienste wie die NSA ein Alptraum. Es gibt keine Metadaten, starke Verschlüsselung wie OTR kann noch nicht gebrochen werden und eine Zuordnung von Traffic zu IP-Adressen wird durch die Anonymisierungsdienste verhindert.

Um Jabber/XMPP mit Tor Onion Router anonym zu verwenden, muss der Client folgende Anforderungen erfüllen:
  1. Es muss ein SOCKS5 Proxy mit Remote DNS Resolving (ohne DNS-Leaks) konfigurierbar sein, um die Datenverkehr durch den Anonymisierungs­dienst Tor zu schicken. Die Einstellungen für den Proxy sind:
    Type Host Port
    TorBrowserBundle    SOCKS5    127.0.0.1    9150
    Tor (stand alone)    SOCKS5    127.0.0.1    9050
  2. Die Tor Hidden Service Adresse des Jabber Servers muss als "Verbindungsserver" konfigurierbar sein. Wenn Tor Onion Router genutzt wird, empfehlen wir ausdrücklich die Jabber/XMPP Server, die eine Tor Hidden Service Adresse anbieten. Damit vermeidet Gefahren durch bösartige Tor Exit Nodes.
  3. Audio- und Video-Chats mit der libjingle dürfen nicht verfügbar bzw. müssen deaktivierbar sein. Audio- und Video-Chats sind nicht via Anonymisierungs­dienst möglich. Bei Einladung zu einem Video-Chat versucht das integrierte Interactive Connectivity Establishment (ICE) der libjingle automatisch, eine Verbindung mit oder ohne Proxy herzustellen, das ist kein Bug sondern ein Feature der ICE Spezifikation. Der User kann damit deanonymisiert werden.
  4. Weitere XMPP Erweiterungen wie z.B. Jingle Dateitransfer können von einem Angreifer unter Umständen auch zur Deanonymisierung genutzt werden. Außerdem ist die Ende-zu-Ende Verschlüsselung für XMPP Erweiterungen wie Gruppenchats oder Dateitransfer in der Regel nicht oder nur eingeschränkt möglich. Idealerweise sollte ein Tor-freundlicher Jabber Client diese unsicheren Features nicht unterstützen.
Der TorMessenger wurde Ende Oktober 2015 als Beta Version freigeben. Er ist für die anonyme Nutzung mit Tor Onion Router optimal vorbereitet.

TorChat und Ricochet verfolgen ein anderes Konzept und basieren nicht auf dem XMPP Protokoll. Diese Instant Messaging Clients arbeiten serverlos und nutzen die Technik der Tor Hidden Services.
Lizenz: Public Domain