Der Jabber Client Pidgin für Windows kann mit Tor Onion Router genutzt werden. Pidgin für Linux muss man selbst compilieren, um die libjingle zu entfernen, die in allen Linux Distributionen standardmäßig enthalten ist (siehe unten).

Proxy Einstellungen und Verbindungsserver konfigurieren

An dieser Stelle werden nur die speziellen Anpassungen der Proxy Konfiguration für Pidgin beschrieben. Pidgin kann eine zentrale Proxy Konfiguration für alle Accounts verwalten oder individuelle Proxy Konfigurationen für jeden Account einzeln. Um den Tor Daemon vom TorBrowserBundle als Anonymisierunsgdienst zu verwenden, wählt man in der Proxy Konfiguration den Proxy-Typ "Tor/Privatsphäre", als Host "127.0.0.1" und als Port "9150".
Pidgin mit Tor
Um Probleme mit bösartigen Tor Exit Nodes zu vermeiden, empfehlen wir die Nutzung von Jabber Servern, die als Tor Hidden Service erreichbar sind. Die Hidden Service Adresse kann man als "Verbindungsserver" auf dem Reiter "Erweitert" konfigurieren:
Pidgin mit Tor Hidden Service
Beim ersten Aufbau einer verschlüsselten Verbindung bekommt man in der Regel eine Warnung angezeigt, dass das SSL-Zertifikate nicht für die Hidden Service Adresse ausgestellt wurde. Man muss den Fingerprint des Zertifikates anhand der Daten prüfen, die der Betreiber auf der Webseite veröffentlicht hat und das Zertifikat für diesen Server dauerhaft akzeptieren.

Tor-safe Pidgin für Linux selbst bauen 

Pidgin für Linux erfüllt nur die ersten beiden Anforderungen. Die libjingle ist in allen Distributionen leider standardmäßig enthalten und kann nicht deaktiviert werden. Um Pidgin mit Tor zu nutzen, muss man sich selbst eine sichere Version ohne libjingle bauen. Für Linux Nutzer ist das ein kleines Full-Text-Adventure.
  1. Bevor man mit dem Compilieren beginnt, müssen die Entwicklerpakete für Gtk2, GtkSpell, libXML, libidn, die Mozilla Bibliothek NSS3, OTR und GnuPG installiert werden. Unter Debian und Ubuntu installiert man das alles mit: > sudo aptitude install g++ intltool libgtk2.0-dev libgtkspell-dev libxml2-dev libnss3-dev libidn11-dev libdbus-glib-1-dev libotr5-dev libgpgme11-dev Optional kann man das Hardening aktivieren, um die selbst erstellten Binaries besser gegen Angriffe zu härten. Es ist das Paket "hardening-wrapper" zu installieren und vor dem üblichen Dreisatz zum Compilieren das Hardening durch Setzen einer Shell­variable zu aktivieren. Der Wrapper kümmert sich dann um die optimale Nutzung der Hardening Funktionen des Compilers und Linkers: > sudo aptitude install hardening-wrapper
    > export DEB_BUILD_HARDENING=1
    Debian "wheezy" ist aufgrund der schwachen Crypto nicht mehr geeignet. Ein Update auf Debian 8 ist dringend empfohlen.
  2. Wenn man SILC als verschlüsselte Alternative zu IRC nutzen möchte, dann müssen libsodium und silc-toolkit vor der Installation von Pidgin installiert werden. Nach dem Download und dem Entpacken der beiden Source Archive werden die Bibliotheken mit dem üblichen Dreisatz installiert: > cd libsodium-1.0.2
    > ./configure
    > make
    > sudo make install

    > cd silc-toolkit
    > ./configure
    > make
    > sudo make install
  3. Den Source Code von Pidgin kann man von der Webseite pidgin.im herunter laden. Nach dem Entpacken des Archives kann man eine sichere Version mit reduziertem Funktionsumfang mit folgenden Befehlen bauen: > cd pidgin-2.10.11

    > ./configure --disable-screensaver --disable-gstreamer --disable-vv --disable-meanwhile --disable-nm --disable-perl --disable-tcl --disable-avahi --enable-nss=yes --enable-gnutls=no --with-system-ssl-certs=/etc/ssl/certs

    > make
    > sudo make install
  4. Das OTR Plug-in und das OpenPGP Plug-in für die Ende-zu-Ende Verschlüsselung der Kommunikation sind nicht standardmäßig in Pidgin enthalten. Man muss diese Plug-ins selbst nachinstallieren. Nach dem Download und Entpacken des Source Codes installiert man die Plug-ins wieder mit dem üblichen Dreisatz: > cd pidgin-otr-4.0.1
    > ./configure
    > make
    > sudo make install

    > cd pidgin-gpg-0.9
    > ./configure
    > make
    > sudo make install
  5. Nach der Installation kann man Pidgin starten, die Plug-in Verwaltung öffnen, das Plug-in für die Konfiguration der NSS3 Verschlüsselung aktivieren.

    Die IETF empfiehlt, ausschließlich TLS 1.2 zu nutzen und stuft nur Cipher mit Forward Secrecy und AES-GCM als sicher ein: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    Alle anderen Cipher sollte man deaktivieren, um TLS Downgrade Angriffe zu verhindern.
    Unsichere SSL Cipher deaktivieren
Lizenz: Public Domain