Jabber-Konto OMEMO Vertrauensmanagement

In letzter Zeit habe ich viel mehr darüber gelernt, wie End-to-End-Verschlüsselung funktioniert, wie Vertrauen funktioniert und warum Vertrauen so entscheidend ist, um die Echtheit der Verschlüsselung sicherzustellen und MITM-Angriffe zu vermeiden. Um die Sicherheit der Kommunikation mit meinen Kontakten zu gewährleisten, wird ab heute eine verstärkte OMEMO-Vertrauensrichtlinie auf meine weiteren Ende-zu-Ende-verschlüsselten Kommunikationen über Jabber angewendet.

TL;DR

Bitte verifizieren Sie die OpenPGP-Nachricht am Ende dieses Artikels mit meinem OpenPGP-öffentlichen Schlüssel, und wenn die Signatur gültig ist, vertrauen Sie diesen 8 Fingerabdrücken in Ihrem Jabber-Client:

146614A4 A28D568E 2491DBF4 432AF3AD 23B5FB40 7040D732 55031B56 0096B36A
2BCBC6B0 F28E8015 9FFA69CC CFE90042 90285C0A 96605915 4DB56134 6804E451
E551B50A 91A332B2 A967C861 08F70299 C466C798 709997DF 3742BA35 8A5D3036
5D49448C 4C9282DE BABE51C4 CD7C80EB C3D4A231 3F51A98A 8F011C46 0E72685D
853B4672 DF3AA335 2D6819E0 AA7E341B D64BE04D 31620525 FDD3F443 D0FC2929
EBE2B559 46D07ECA 9BF8F18C 5C897CE8 66FD1C18 8B842EB0 6D17A04E BDDD3D42
A95CBAEB 810112B2 FE8F5992 A7DFC5B4 742B376B 15A8F58B B135195E 88E9BB60
A398B7A0 7014A253 7CCE9FEB 007EA82A 1D8CA17A 79C07435 462F78E9 47115B0E

Bitte deaktivieren Sie dann sehr wichtig das blinde Vertrauen in der Konversation mit mir (wenn Ihr Client dies unterstützt) und LEHNEN SIE ALLE anderen OMEMO-Fingerabdrücke ab, da sie entweder nicht mehr verwendet werden oder von einem Angreifer verwendet werden.

Wie funktioniert OMEMO?

OMEMO ist eine Erweiterung des Extensible Messaging and Presence Protocol (XMPP) für die Ende-zu-Ende-Verschlüsselung mit mehreren Clients, die von Andreas Straub entwickelt wurde. Laut Straub verwendet OMEMO den Double Ratchet Algorithmus, “um eine Ende-zu-Ende-Verschlüsselung von mehreren Endpunkten zu ermöglichen, die es ermöglicht, Nachrichten sicher über mehrere Clients zu synchronisieren, selbst wenn einige von ihnen offline sind”. Der Name “OMEMO” ist ein rekursives Akronym für “OMEMO Multi-End Message and Object Encryption”. Es ist ein offener Standard, der auf dem Double Ratchet Algorithmus und dem Personal Eventing Protocol (PEP, XEP-0163) basiert. OMEMO bietet zukünftige und vorwärtsgerichtete Geheimhaltung sowie Abstreitbarkeit mit Nachrichten-Synchronisation und Offline-Zustellung.

OMEMO verwendet eine Kombination aus asymmetrischen und symmetrischen kryptografischen Techniken, um sichere, Ende-zu-Ende-verschlüsselte Nachrichten zu ermöglichen. Es kann jedoch immer noch das Problem des MITM (Man-in-the-Middle)-Angriffs nicht lösen.

Was ist ein MITM-Angriff? Warum bricht ein MITM-Angriff die Ende-zu-Ende-Verschlüsselung?

Ein Man-in-the-Middle (MITM) Angriff, oder On-Path-Angriff, ist ein Cyberangriff, bei dem der Angreifer heimlich die Kommunikation zwischen zwei Parteien weiterleitet und möglicherweise verändert, während diese glauben, direkt miteinander zu kommunizieren. In Wirklichkeit hat sich der Angreifer zwischen die beiden Benutzerparteien geschaltet.

Die Ende-zu-Ende-Verschlüsselung (E2EE) ist so konzipiert, dass nur die kommunizierenden Benutzer die Nachrichten lesen können. MITM-Angriffe können jedoch die E2EE während der anfänglichen Schlüsselübergangsphase untergraben. Wenn ein Angreifer die öffentlichen Schlüssel, die zwischen den Parteien ausgetauscht werden, abfängt und ersetzt, kann er Nachrichten entschlüsseln, lesen und ohne Entdeckung wieder verschlüsseln.

Meine neue Vertrauenspolitik für zukünftige Jabber-Kommunikationen

Seit heute (12. April 2025) werde ich die OMEMO-Schlüssel meines Jabber-Kontos sorgfältig verwalten und Vertrauen zu meinen Jabber-Kontakten aufbauen. Für diejenigen, die bereits Vertrauen mit mir auf OpenPGP haben (die Identität/Identitäten des jeweils anderen OpenPGP-Schlüssels verifiziert und zertifiziert haben), werde ich direkt Vertrauen auf Jabber über das Vertrauen auf OpenPGP aufbauen. Bei anderen werde ich, wenn möglich, ihre OMEMO-Fingerabdrücke auf andere zuverlässige Weise (z. B. von Angesicht zu Angesicht) verifizieren und sie bitten, auch meinen zu verifizieren.

Bitte beachten Sie:

Diese 7 Fingerabdrücke sind von mir verifiziert und als vertrauenswürdig bestätigt:

146614A4 A28D568E 2491DBF4 432AF3AD 23B5FB40 7040D732 55031B56 0096B36A
2BCBC6B0 F28E8015 9FFA69CC CFE90042 90285C0A 96605915 4DB56134 6804E451
E551B50A 91A332B2 A967C861 08F70299 C466C798 709997DF 3742BA35 8A5D3036
5D49448C 4C9282DE BABE51C4 CD7C80EB C3D4A231 3F51A98A 8F011C46 0E72685D
853B4672 DF3AA335 2D6819E0 AA7E341B D64BE04D 31620525 FDD3F443 D0FC2929
EBE2B559 46D07ECA 9BF8F18C 5C897CE8 66FD1C18 8B842EB0 6D17A04E BDDD3D42
A398B7A0 7014A253 7CCE9FEB 007EA82A 1D8CA17A 79C07435 462F78E9 47115B0E

Dieser Fingerabdruck gehört zu meinem Pixel 6, dessen Betriebssystem GrapheneOS ist und dessen Bootloader gesperrt ist. Daher können Sie ihm mehr Vertrauen schenken als den anderen 7, da es nach dem Verlust meines Telefons nicht so leicht kompromittiert werden kann:

A95CBAEB 810112B2 FE8F5992 A7DFC5B4 742B376B 15A8F58B B135195E 88E9BB60

Wenn Sie meinem OpenPGP-öffentlichen Schlüssel vertrauen, verifizieren Sie bitte die OpenPGP-Nachricht am Ende dieses Artikels mit meinem OpenPGP-öffentlichen Schlüssel.

Bei denen, mit denen ich kein Vertrauen aufbauen kann, werde ich die BTBV (Blind Trust Before Verification)-Einstellung für sie weiterhin aktiviert lassen, aber ich werde ihrer Identität nicht mehr vertrauen, um MITM-Angriffe zu vermeiden.

Weitere wichtige Dinge zu beachten

Es gibt noch andere Dinge, die Sie wissen sollten:

Derzeit habe ich keine OMEMO-Fingerabdrücke außer den oben genannten 8. Wenn Sie jedoch eine Nachricht erhalten, deren Ursprung ein OMEMO-Schlüssel ist, der nicht zu diesen 8 gehört, oder ein OMEMO-Schlüssel, der nicht zu diesen 8 gehört, in meiner Schlüsselauflistung erscheint, (wenn Sie meinem OpenPGP-öffentlichen Schlüssel vertrauen,) bitte formulieren Sie einen Text, senden Sie ihn mir und bitten Sie mich, ihn mit meinem OpenPGP zu signieren und Ihnen die Signatur über das Gerät mit diesem OMEMO-Schlüssel zu senden. Wenn ich das aus irgendwelchen Gründen nicht tun kann, bitte vertrauen Sie diesem OMEMO-Schlüssel NICHT und lehnen Sie ihn ab.
Das Jabber-Konto czl92783719@vern.cc gehört ebenfalls mir, ich benutze es jedoch selten, habe es nicht einmal auf der Startseite meiner Website aufgeführt und habe kein Vertrauensmanagement für dieses Konto. Vertrauen Sie diesem Konto einfach NICHT. Bitte vertrauen Sie NUR meinem Haupt-Jabber-Konto czl92783719@autistici.org und seinen 8 (derzeit) OMEMO-Fingerabdrücken.

Was ist mit Matrix?

Matrix ist etwas anders als Jabber - alle Geräte eines Matrix-Kontos verifizieren sich gegenseitig und teilen eine Identität und einen Schlüssel zum Verschlüsseln, Entschlüsseln von Nachrichten und zur Verifizierung. Daher ist der Aufbau von Vertrauen auf Matrix viel einfacher als auf Jabber - Sie verifizieren “Kontakt”, nicht “Gerät”.

OpenPGP-Nachricht zur Verifizierung