icon Der TorMessenger wurde Ende Oktober 2015 als Beta Version freigeben. Er ist für die anonyme Nutzung mit Tor vorbereitet. Aufgrund technischer Grenzen werden keine Audio- und Video-Chats unterstützt und kein Dateitransfer. Für den Dateitransfer kann man OnionShare nutzen, das Tool ist eine ideale Ergänzung.

Die Installation ist ähnlich einfach, wie beim TorBrowserBundle. Das aktuelle Archiv wird nach dem Download entpackt - fertig. TorMessenger ist eine portable Anwendung, man kann ihn auf einem USB-Stick entpacken und damit auch problemlos in Live-DVDs wie TAILS verwenden. Ein Tor Daemon ist im Paket enthalten und wird automatisch gestartet.

Unter Linux installiert man den TorMessenger mit folgenden Schritten:
  1. Nach dem Download ist das Archiv zu entpacken: > tar -xaf tor-messenger-*
  2. Danach kann man den TorMessenger in das Anwendungs­menü des Desktops in die Programmgruppe "Internet" einfügen, um den Start zu vereinfachen: > tor-messenger/start-tor-messenger.desktop --register-app Alternativ kann man den TorMessenger aus dem Dateimanager oder von der Konsole starten, indem man die Datei "start-tor-messenger.desktop" als Programm aufruft.
  3. Der TorMessenger enthält zur Zeit nur ein englisches Wörterbuch für die Rechtschreib­kontrolle. Man kann die installierten Hunspell-Wörterbücher mit TorMessenger nutzen. Dafür kopiert man die Wörterbücher in das Verzeichnis "dictionaries". > cd tor-messenger
    > cp -rf /usr/share/hunspell/* Messenger/dictionaries/

Jabber Account einrichten

Beim ersten Start escheint der Assitent zum Einrichten eines Accounts. Später kann den Account Verwaltung zum Hinzufügen weiterer Accounts unter "Tools - Accounts" öffnen.
  1. Als erstes wählt man das XMPP-Protokoll:
    TorMessenger1
  2. Im nächsten Schritt gibt man den Usernamen und die Domain ein. Wenn der Account bereit auf dem Server vorhanden ist, deaktiviert man die Option zum Erstellen des Account auf dem Server.
    TorMessenger2
  3. Das Passwort sollte man erst eingeben, wenn man in den Einstellungen ein Master­passwort gesetzt hat. Anderenfalls wird das Passwort unverschlüsselt auf der Festplatte gespeichert, was der GCQH als Risiko ansieht. Also bleibt das Eingabefeld erst einmal leer. Man kann das Passwort später beim Aufbau der Verbindung eingeben.
    TorMessenger3
  4. Ich empfehle ausdrücklich die Jabber/XMPP Server zu nutzen, die eine Tor Hidden Service Adresse anbieten. Damit vermeidet Gefahren durch bösartige Tor Exit Nodes. Die Hidden Service Addr. kann man als "Server" in den XMPP Options eintragen:
    TorMessenger4
  5. Abschließend wird eine Zusammenfassung angezeigt und man kann die Option zum automatischen Verbinden beim Start aktivieren.
    TorMessenger5
  6. Wenn man die Hidden Services der XMPP-Server nutzt, bekommt man beim ersten Aufbau der Verbindung einen Fehler. Die SSL-Zertifikate sind in der Regel nicht für die Hidden Service Adressen mit der Top-Level-Domain *.onion gültig.

    Man muss auf den kleinen Link "Add Exception..." unter der Fehlermeldung klicken und das Zertifikat selbst verifizieren:
    TorMessenger6
  7. Zur Prüfung des SSL-Zertifikates klickt man in dem folgenden Dialog auf den Button "View" und vergleicht den Fingerprint des Zertifikates mit den Daten, die der Betreiber auf der Webseite veröffentlicht hat (Fingerprints für securejabber.me) oder mit den Werten, die das IM-Repository für diesen Server ermittelt hat.

    Wenn der SHA1 bzw. SHA2 Fingerabdruck übereinstimmt, kann man die Ausnahme dauerhaft bestätigen.
    TorMessenger8

OTR-Verschlüsselung

TorMessenger unterstützt OTR für die Ende-zu-Ende Verschlüsselung. Um die OTR-Schlüssel zu verwalten, wählt man den Menüpunkt "Tools - OTR Preferences".
TorMessengera
Ein Klick auf den Button "Preferences" des Add-on "ctypes-otr" öffnet den Dialog zur Verwaltung der OTR-Schlüssel.
TorMessengerc
Als erstes ist ein Schlüssel für den eigenen Account zu erzeugen. Wenn der Schlüssel erzeugt wurde, wird an Stelle des Buttons der Fingerabdruck angezeigt, den man veröffentlichen kann oder den Kommunikationspartnern zur Verifizierung des eigenen Schlüssels über einen unabhägigen, sicheren Kanal zur Verfügung stellen kann.

Um die OTR-Schlüssel der Kommunikationspartner anhand der Fingerprints zu verifizieren, klickt man auf den Button "View". Ohne die Prüfung der Vertrauenswürdigkeit der Schlüssel könnte sich ein Lauscher als man-in-the-middle in die Kommunikation einschleichen. Die Software für diesen Angriff gibt es auch als Open Source, z.B. mod_otr für ejabberd.

SSL/TLS-Verschlüsselung

Die SSL/TLS-Einstellungen des TorMessengers sind etwas lax. Man kann aber besser TLS-Verschlüsselung in den erweiterten Einstellungen erzwingen. Wenn man die Einstellungen unter "Tools - Preferences" öffnet, findet man in der Sektion "Advanced" auf dem Reiter "General" den Button für den "Config Editor".
TorMessenger Config
Dort kann man folgende Werte setzen:
  1. TLS 1.2 erzwingen: security.tls.version.min = 3
  2. Alle Cipher bis auf die als sicher eingestuften Cipher deaktivieren:
    security.ssl3.ecdhe_rsa_aes_128_gcm_sha256  true
    security.ssl3.ecdhe_ecdsa_aes_128_gcm_sha256  true
    security.ssl3.*false
  3. Insecure Renegotiation verbieten:
    security.ssl.require_safe_negotiation  true
    security.ssl.treat_unsafe_negotiation_as_broken  true
  4. OCSP abschalten: security.OCSP.enabled = 0
  5. Strenges Certifikate Pinning erwingen (z.B. für Add-on Updates):
    security.cert_pinning.enforcement_level= 2
TorMessengerc
Wenn mit diesen Einstellungen keine Verbindung zum Jabber-Server mehr möglich ist, dann sollte man sich einen Account auf einem anderen Server erstellen.

Updates des TorMessengers

Der TorMessenger bietet den gleichen Update Mechanismus wie das TorBrowserBundle. Es wird regelmäßig geprüft, ob eine neue Version verfügbar ist, die neue Version wird via Tor herunter geladen und beim nächsten Neustart installiert. Die Einstellungen bleiben dabei erhalten.
Lizenz: Public Domain