imported>Peter Gröbner: Änderung 257770311 von LionK03 rückgängig gemacht; wer die ersten 128 Bit des SHA-1-Hashwerts versteht, weiß m. E. auch, was ein Datenformat ist.

2025-07-10T10:00:15Z

Änderung 257770311 von LionK03 rückgängig gemacht; wer die ersten 128 Bit des SHA-1-Hashwerts versteht, weiß m. E. auch, was ein Datenformat ist.

Neue Seite

'''Off-the-Record Messaging''' ('''OTR''', {{deS|inoffizielle, vertrauliche, nicht für die Öffentlichkeit bestimmte Nachrichtenübermittlung}}) ist ein [[Netzwerkprotokoll|Protokoll]] zur Nachrichtenverschlüsselung beim [[Instant Messaging]]. Es regelt die laufende Aktualisierung und Verwaltung kurzlebiger Sitzungsschlüssel.

Im Gegensatz zur Übertragung [[Verschlüsselung|verschlüsselter]] Nachrichten mit [[OpenPGP]] (oder in seltenen Fällen auch mittels [[X.509]]-Zertifikat) kann man beim Off-the-Record Messaging später nicht mehr feststellen, ob ein bestimmter [[Schlüssel (Kryptologie)|Schlüssel]] von einer bestimmten Person genutzt wurde (Prinzip der [[Glaubhafte Abstreitbarkeit|glaubhaften Abstreitbarkeit]], englisch ''plausible deniability''). Dadurch lässt sich nach Beenden der Unterhaltung von niemandem (auch keinem der beiden Kommunikationspartner) beweisen, dass einer der Kommunikationspartner eine bestimmte Aussage gemacht hat.

Umgesetzt wird dieses Prinzip durch kombinierte Verwendung des [[Symmetrisches Kryptosystem|symmetrischen Kryptoverfahrens]] [[Advanced Encryption Standard]] (AES), des [[Diffie-Hellman-Schlüsselaustausch]]s und der [[Kryptologische Hashfunktion|kryptographischen Hashfunktion]] [[Secure Hash Algorithm|SHA-1]]. Es stehen eine [[Programmbibliothek]] und zahlreiche Instant-Messaging-Programme zur Verfügung, welche das Protokoll entweder direkt oder über Zusatzmodule nutzen können.

== Ziele des Projektes ==
In den Statuten des Projektes sind die folgenden vier Eckpfeiler definiert:
; Verschlüsselung ''(Encryption)'': Niemand kann die Nachrichten mitlesen.
; Beglaubigung ''(Authentication)'': Man kann sich sicher sein, dass der Empfänger derjenige ist, für den man ihn hält.
; Abstreitbarkeit ''(Deniability)'': Verschlüsselte Nachrichten enthalten keine [[elektronische Signatur]]. Es ist also möglich, dass jemand Nachrichten ''nach'' einer Konversation so fälscht, dass sie von einem selbst zu stammen scheinen. ''Während'' eines Gespräches kann der Empfänger aber gewiss sein, dass die empfangenen Nachrichten authentisch und unverändert sind.
; Folgenlosigkeit ''([[Perfect Forward Secrecy]])'': Wenn der (langlebige) private Schlüssel einem Dritten in die Hände fällt, hat dies keine Auswirkung auf die Kompromittierung bisher getätigter Gespräche: Die Gespräche können damit nicht nachträglich entschlüsselt werden.

== Technische Umsetzung ==
Der folgende Abschnitt stellt vereinfacht die Funktion des OTR-[[Kommunikationsprotokoll|Protokolls]] in Version 2<ref name="OTR2" /> dar.

=== Überblick ===
Während ihrer Kommunikation miteinander wählen [[Alice und Bob]] [[Geheimer Schlüssel|private Schlüssel]] <math>x_1, x_2, \ldots</math> beziehungsweise <math>y_1, y_2, \ldots</math>. Jeweils zwei, zum Beispiel <math>x_i</math> und <math>y_j</math>, werden zur Erzeugung eines gemeinsamen Geheimnisses <math>s</math> mittels des [[Diffie-Hellman-Schlüsselaustausch]]s verwendet. Aus diesem Geheimnis <math>s</math> werden die Schlüssel <math>K_{\text{AES}}</math> und <math>K_{\text{MAC}}</math> berechnet.

<math>K_{\text{AES}}</math> dient zur Verschlüsselung jeder Nachricht mittels [[Advanced Encryption Standard]] (AES) im [[Counter Mode]]. Dadurch wird die [[Symmetrisches Kryptosystem|symmetrische]] [[Blockchiffre]] AES zur [[Stromchiffre]].
Zur anfänglichen [[Authentifizierung]] verwenden Alice und Bob [[digitale Signatur]]en, wodurch sie sich während der Unterhaltung sicher sein können, mit wem sie kommunizieren. <math>K_{\text{MAC}}</math> dient zur Authentifizierung einer einzelnen Nachricht mittels der [[Streuwertfunktion]] SHA-1 ([[Secure Hash Algorithm]] 1), die als [[Message Authentication Code]] (MAC) verwendet wird.

Beim Senden von Nachrichten werden neue private Schlüssel <math>x_{i+1}</math> beziehungsweise <math>y_{j+1}</math> und die dazugehörigen AES- und MAC-Schlüssel erzeugt. Die nicht mehr verwendeten privaten Schlüssel werden gelöscht, damit Alice nicht mehr mit ihren Nachrichten in Verbindung gebracht werden kann. Dies führt aber auch dazu, dass Alice nachträglich weder ihre eigenen noch die Nachrichten von Bob lesen kann. Zudem werden nicht mehr verwendete MAC-Schlüssel veröffentlicht, so dass jede andere Person die Nachrichten von Alice hätte signieren können.

Für den Diffie-Hellman-Schlüsselaustausch werden eine 1536-Bit-[[Primzahl]] <math>p</math> und eine [[Primitivwurzel]] <math>g</math> [[modulo]] <math>p</math> mit <math>2 \le g \le p-2</math> benötigt. Alle Exponentiationen erfolgen dann modulo dieser Primzahl.

=== Initialisierung ===
Zu Beginn eines Gesprächs müssen initiale Schlüssel ausgetauscht werden und die Authentizität der Gesprächsteilnehmer überprüft werden, das heißt Alice und Bob müssen sich jeweils sicher sein, mit wem sie kommunizieren. Dies verhindert, dass Alice beispielsweise anstatt mit Bob mit der Angreiferin [[Alice und Bob|Eve]] einen Schlüsselaustausch durchführt. Der ganze Vorgang wird ''Authenticated Key Exchange (AKE)'' genannt und mit dem SIGMA-Protokoll<ref name="OTR2" /> umgesetzt:
# Alice und Bob wählen private Schlüssel <math>x_1</math> respektive <math>y_1</math> (min. 320 [[Bit]] lang), tauschen die dazugehörigen [[Öffentlicher Schlüssel|öffentlichen Schlüssel]] <math>g^{x_1}</math> beziehungsweise <math>g^{y_1}</math> aus und erhalten durch das [[Diffie-Hellman-Verfahren]] ein gemeinsames Geheimnis <math>s = \left ( g^{x_1} \right )^{y_1} = \left ( g^{y_1} \right )^{x_1} = g^{x_1 \cdot y_1}</math>.
# Mittels <math>s</math> kann nun ein sicherer Kanal geschaffen werden, über den sich jeder Kommunikationsteilnehmer mit Hilfe einer digitalen Signatur gegenüber dem anderen authentifiziert. Derzeit unterstützt OTR nur den [[Digital Signature Algorithm]].
Zwischendurch wird die Verbindung möglichst immer mit AES verschlüsselt und einzelne Nachrichten mittels [[SHA-2|SHA-256]]-[[Keyed-Hash Message Authentication Code|HMAC]] authentifiziert.

=== Senden einer Nachricht ===
Angenommen, Alice möchte an Bob die Nachricht <math>M</math> schicken. Sie führt dabei folgende Schritte aus:
# Alice wählt ihren letzten von Bob empfangenen Diffie-Hellman-Schlüssel <math>x_i</math>. Dabei gilt der Schlüssel von Bob als empfangen, wenn dieser <math>g^{x_i}</math> für eine Nachricht verwendet hat, die Alice empfangen hat oder <math>g^{x_i}</math> zuvor mittels AKE (siehe Abschnitt zuvor) ausgetauscht wurde, was offensichtlich nur im Fall <math>i=1</math> sein kann.
# Falls <math>x_i</math> Alices neuester Diffie-Hellman-Schlüssel ist, erzeugt sie zufällig einen neuen Schlüssel <math>x_{i+1}</math> von mindestens 320 Bit Länge.
# Sei <math>g^{y_j}</math> der letzte empfangene Diffie-Hellman-Schlüssel von Bob. Als empfangen gilt hier der Schlüssel wieder, wenn Bob diesen der letzten Nachricht beigefügt hat (siehe weiter unten) oder er mittels AKE ausgetauscht wurde.
# Das gemeinsame Diffie-Hellman-Geheimnis kann nun (modulo <math>p</math>) als <math>s := \left ( g^{y_j} \right )^{x_i}</math> berechnet werden.
# Berechne den AES-Schlüssel <math>K_{\text{AES}} := H(s)</math>, wobei <math>H(s)</math> die ersten 128 Bit des SHA-1-Hashwerts von <math>s</math> bezeichnet. <math>s</math> wurde zuvor in ein bestimmtes Datenformat gebracht und um ein [[Byte]] erweitert.
# Berechne den MAC-Schlüssel <math>K_{\text{MAC}}</math> als den 160-Bit-SHA-1-Hashwert von <math>K_{\text{AES}}</math>.
# Für den später verwendeten Counter Mode wird ein Zähler <math>c</math> benötigt, der so gewählt wird, dass das [[Tupel|Tripel]] <math>(i,j,c)</math> während des gesamten Nachrichtenaustauschs mit Bob nie doppelt vorkommt.
# Die Nachricht <math>M</math> wird nun mithilfe des AES-Algorithmus im Counter Mode verschlüsselt. Als Schlüssel dienen dazu <math>K_{\text{AES}}</math> und der eben gewählte Zähler <math>c</math>. Die so verschlüsselte Nachricht heiße <math>N</math>.
# Die verschlüsselte Nachricht <math>N</math>, <math>i, j, c</math>, <math>g^{x_{i+1}}</math> und einige kryptographisch unwichtige Teile wie die Versionsnummer des Protokolls werden zu <math>T</math> zusammengefasst und davon der Message Authentication Code <math>MAC_{K_{\text{MAC}}}(T)</math> unter Verwendung des Schlüssels <math>K_{\text{MAC}}</math> berechnet. Hierbei bezeichne <math>MAC_{K_{\text{MAC}}}</math> den [[Keyed-Hash Message Authentication Code]] (HMAC) unter Verwendung der Hashfunktion SHA-1 und des Schlüssels <math>K_{\text{MAC}}</math>.
# <math>T, MAC_{K_{\text{MAC}}}(T)</math> und alle nicht mehr verwendeten MAC-Schlüssel werden an Bob über einen unsicheren Kanal geschickt.

=== Empfangen einer Nachricht ===
Bob empfängt die weiter oben erzeugten Daten von Alice und führt folgende Schritte durch:
# Bob hat entweder <math>g^{x_i}</math> bereits durch eine alte Nachricht von Alice oder per AKE erhalten. Dadurch kann er dasselbe Diffie-Hellman-Geheimnis durch <math>s := \left ( g^{x_i} \right )^{y_j} = g^{x_i \cdot y_j} = \left ( g^{y_j} \right )^{x_i}</math> berechnen, wobei <math>i</math> und <math>j</math> die in <math>T</math> enthaltenen Indizes bezeichnen.
# Ebenso kann er wie Alice <math>K_{\text{AES}}</math> und <math>K_{\text{MAC}}</math> berechnen.
# Mithilfe von <math>K_{\text{MAC}}</math> berechnet er <math>MAC_{K_{\text{MAC}}}(T)</math> und vergleicht den erhaltenen Wert mit dem von Alice übermittelten. Dadurch ist die [[Authentizität]] der Nachricht geprüft und gegen einen [[Mittelsmannangriff]] geschützt.
# Mithilfe von <math>K_{\text{AES}}</math> und <math>c</math>, welches in dem durch Alice versandten <math>T</math> enthalten ist, entschlüsselt er die Nachricht <math>N</math> mit dem AES-Algorithmus in Counter Mode und erhält <math>M</math> zurück. Dies funktioniert, da AES symmetrisch ist, also zum Ver- und Entschlüsseln denselben Schlüssel <math>(K_{\text{AES}},c)</math> verwendet.

=== Überprüfung der Ziele ===
; Verschlüsselung ''(Encryption)'': Das verwendete Kryptosystem AES wurde eingehenden [[Kryptoanalyse|kryptoanalytischen]] Prüfungen unterzogen und gilt als praktisch berechnungssicher.
; Beglaubigung ''(Authentication)'': Mittels AKE und digitalen Signaturen kann sich Bob (auch zu einem späteren Zeitpunkt) sicher sein, dass Alice den öffentlichen Schlüssel <math>g^{x_1}</math> gewählt hat. Da mithilfe dieses Schlüssels die nächste Nachricht und damit auch der nächste Schlüssel <math>g^{x_2}</math> signiert wird, kann sich Bob auch bei allen darauf folgenden Nachrichten der Identität seines Gesprächspartners sicher sein.
; Abstreitbarkeit ''(Deniability)'': Alice verwendet ihre digitale Signatur nur zu Beginn des Gesprächs. Alle nachfolgenden Nachrichten werden mit den MAC-Schlüsseln <math>K_{\text{MAC}}</math> signiert. Da zum Erzeugen der MAC-Schlüssel das gemeinsame Geheimnis <math>s</math> benötigt wird, kann sich Bob sicher sein, dass Alice die Nachricht signiert hat. Jedoch kann er dies niemand anderem beweisen, da genauso er die Nachricht hätte signieren können. Hinzu kommt, dass durch die Veröffentlichung nicht mehr verwendeter MAC-Schlüssel niemand mehr die Authentizität der Nachrichten überprüfen kann, da jeder sie hätte signieren können. Nur Bob kann sich sicher sein, dass Alice die Nachricht geschickt hat, da zum Zeitpunkt des Empfangs nur sie beide den dazugehörigen MAC-Schlüssel kennen. Durch die Verwendung einer digitalen Signatur zum Beginn des Gesprächs kann jedoch niemand abstreiten, ''dass'' ein Gespräch stattgefunden hat.
; Folgenlosigkeit ''([[Perfect Forward Secrecy]])'': Verliert Alice ihren langlebigen privaten Schlüssel, so kann daraus keiner der kurzlebigen privaten Schlüssel <math>x_1, x_2, \ldots</math> hergeleitet werden, da diese nie veröffentlicht und kurz nach ihrer Verwendung gelöscht wurden. Da nur diese kurzlebigen privaten Schlüssel zum Verschlüsseln und Signieren der Nachrichten verwendet wurden, ist trotz des Verlusts des langlebigen privaten Schlüssels das Gespräch nicht kompromittiert worden.

Ein weiteres Sicherheitskonzept ist die ''Fälschbarkeit''. Durch die zur Verschlüsselung verwendete [[Stromchiffre]] (AES im Counter Mode), bei der der [[Klartext (Kryptographie)|Klartext]] einfach mit einem [[Kontravalenz|XOR]] verknüpft wird, um den [[Geheimtext]] zu erhalten, kann bei erfolgreichem Erraten eines Teils des Klartexts der Angreifer den Geheimtext so modifizieren, dass dieser Teil sich zu einem beliebigen Text entschlüsselt. Dies verringert nicht die Sicherheit, da Bob sich durch das Signieren der Nachricht mit dem MAC-Schlüssel sicher sein kann, dass die verfälschte Nachricht nicht von Alice stammt. Im Nachhinein kann aber der Angreifer diese Nachricht signieren, da der zugehörige MAC-Schlüssel veröffentlicht wurde. So wird erschwert, dass Alice durch den Inhalt einer Nachricht mit ihr in Verbindung gebracht werden kann, da nachträglich die Nachricht für jeden signierbar und beschränkt modifizierbar ist.

=== Kryptoanalyse ===
Eine computergestützte [[Kryptoanalyse]] des Protokolls in der Version 2 wurde von der [[Stanford University]] durchgeführt,<ref name="Analysis" /> wobei mehrere Schwachstellen entdeckt wurden: Durch einen [[Mittelsmannangriff]] ist es möglich, auf eine ältere Version des Protokolls (zum Beispiel Version 1) zu wechseln, um so deren Schwachstellen auszunutzen. Weiterhin ist die Abstreitbarkeit im starken Sinne, das heißt, dass jeder eine Nachricht hätte signieren können, bei einem Angreifer mit vollständiger Kontrolle über das Netzwerk nicht mehr gegeben. Dieser kann die veröffentlichten MAC-Schlüssel durch zufällige Daten ersetzen, wodurch es anderen nicht mehr möglich ist, mit diesen Schlüsseln Nachrichten gültig zu signieren.
Zudem haben die Autoren einen Angriff bei der Authentifizierung im AKE gefunden, der jedoch entdeckt werden kann und keine weitreichenden Folgen nach sich zieht.

== Verfügbarkeit ==
=== Referenzimplementierung ===
{{Infobox Software
|Name= libotr
|Hersteller= [https://otr.cypherpunks.ca/people.php Das OTR-Team]
|AktuelleVersion= 4.1.1
|AktuelleVersionFreigabeDatum= 9. März 2016
|Betriebssystem= [[Microsoft Windows|Windows]], [[Linux]], x[[Berkeley Software Distribution|BSD]], [[macOS]]
|Kategorie= Verschlüsselung
|Lizenz= [[GNU Lesser General Public License|LGPL]]/[[GNU General Public License|GPL]] ([[Freie Software]])
|Deutsch= ja
|Programmiersprache = Java (java-otr) bzw. C (libotr)
|Website= [https://otr.cypherpunks.ca/ otr.cypherpunks.ca]
}}
Als [[Referenzimplementierung]] des Protokolls steht von den beiden Entwicklern, Ian Goldberg und Nikita Borisov, eine [[Programmbibliothek]] namens libotr zur Verfügung. Sie ist als [[freie Software]] auch im [[Quelltext]] veröffentlicht und unter den Bedingungen der [[GNU Lesser General Public License]] (LGPL) lizenziert. Mit der Bibliothek wird ein Toolkit zum Fälschen von Nachrichten geliefert. Die Entwickler stellen auch ein Plugin für [[Pidgin (Instant Messenger)|Pidgin]] zur Verfügung. Letztere unterstehen beide den Bedingungen der [[GNU General Public License]] (GPL).

=== Native Unterstützung ===
Die folgenden [[Client]]s unterstützen Off-the-Record Messaging nativ. Das schließt ein, dass man mit ihnen OTR mit allen implementierten Instant-Messaging-Protokollen verwenden kann (zum Beispiel [[OSCAR (Protokoll)|OSCAR]], [[Extensible Messaging and Presence Protocol|XMPP]], [[Windows Live Messenger|MSN]] und [[Yahoo Messenger|YIM]]). Eine weitere Liste mit Programmen findet sich auf der Website der Entwickler.

==== Fester Bestandteil ====
* [[Adium]] ([[macOS]])
* [[BitlBee]] (plattformunabhängig), ab Version 3.0 (optional einstellbar zur Kompilierzeit)
* [[ChatSecure]] ([[iOS (Betriebssystem)|iOS]])<ref name="ChatSecure" />
* [[climm]] ([[Linux]]/[[Unix]]) unterstützt es direkt seit 0.5.4
* [[IM+]] (Android/iOS)<ref name="IM+" />
* [[Jitsi]] (früher SIP Communicator) ([[Plattformunabhängigkeit|plattformunabhängig]])
* [[LoquiIM]] ([[Firefox OS]])<ref name="loqui" />
* MCabber (Linux, mehrere [[Berkeley Software Distribution|BSD]]-[[Abspaltung (Softwareentwicklung)|Derivate]], OS X) unterstützt OTR direkt seit 0.9.4<ref name="MCabber" />
* monocles chat<ref>{{Internetquelle |url=https://play.google.com/store/apps/details?id=eu.monocles.chat |titel=monocles chat, ethical pioneer – Apps bei Google Play |sprache=de |abruf=2024-10-01}}</ref>, unterstützt seit 2022
* [[Phonix Viewer]]<ref name="PhonixViewer" /> (plattformunabhängig), ein Betrachter für das Spiel [[Second Life]], unterstützt OTR-Diskussionen innerhalb des Spiels
* [[qutIM]] (plattformunabhängig) seit 0.3.1<ref name="qutIM" />
* [[Rocket.Chat]] (plattformunabhängig)<ref name="Rocket" />
* [[SecuXabber]] ([[Android (Betriebssystem)|Android]]) unterstützt OTR nativ (Beta)<ref name="SecuXabber" />
* [[Spark (Instant Messenger)|Spark]] (plattformunabhängig)<ref name="Spark" />
* [[Xabber]] (Android) unterstützt OTR nativ seit 0.9.27 (nur XMPP)<ref name="Xabber" />

==== Plugin ====
* [[Gajim]] (plattformunabhängig) hat ab Version 0.15 ein Plugin<ref name="Gajim" />
* [[Irssi]] (plattformunabhängig) hat ein Plugin<ref name="Irssi" />
* [[Kopete]] ([[Linux]]/[[Unix]]) hat ein (ab Version 0.50.80/KDE 4.1 offizielles) Plugin
* [[Miranda IM]] ([[Microsoft Windows|Windows]]) hat ein Plugin<ref name="Miranda" />
* [[Miranda NG]] (Windows) hat ein Plugin<ref name="miranda-ng" />
* [[Mozilla Thunderbird]] ab Version 68<ref>[https://www.thunderbird.net/en-US/thunderbird/68.0beta/releasenotes/ thunderbird.net]</ref> mit der OTR Bibliothek<ref>{{Internetquelle |url=https://wiki.mozilla.org/Thunderbird:OTR |titel=Thunderbird:OTR – MozillaWiki |datum=2019-05-22 |abruf=2019-07-20}}</ref>
* [[Pidgin (Instant Messenger)|Pidgin]] ([[Plattformunabhängigkeit|plattformunabhängig]]) hat ein offizielles Plugin<ref name="Pidgin" />
* [[Psi (Instant Messenger)|Psi]] (plattformunabhängig) hat ein inoffizielles Plugin,<ref name="Psi" /> in Psi+<ref name="Psi+" /> kann dieses (unter Linux) nativ verwendet werden
* [[Vacuum IM]] (Linux/Windows)<ref name="Vacuum" />
* [[WeeChat]] (plattformunabhängig) hat ein Plugin<ref name="WeeChat" />
* [[XChat]] (plattformunabhängig) hat ein Plugin<ref name="XChat" />

=== Proxy ===
Zunächst wurde auch ein Proxy entwickelt, der die Nutzung mit dem [[OSCAR (Protokoll)|OSCAR-Protokoll]] (AIM/ICQ) ermöglichen sollte, auch wenn der Chatclient selbst OTR nicht unterstützt. Die Software wird seit 2005 nicht mehr weiterentwickelt und der Hersteller rät von der Benutzung ab.

== Geschichte ==
OTR wurde von Nikita Borisov, Ian Avrum Goldberg und Eric A. Brewer 2004 beim „Workshop on Privacy in the Electronic Society“ (WPES) als Verbesserung gegenüber dem OpenPGP- und dem S/MIME-System vorgestellt.<ref name="OTR" />
Am 21. November 2004 wurde die erste Version 0.8.0 der Referenzimplementierung veröffentlicht.
2005 wurde von Mario Di Raimondo, Rosario Gennaro und Hugo Krawczyk eine Analyse vorgestellt, die auf mehrere Schwachstellen aufmerksam machte und Korrekturen dazu vorschlug, darunter insbesondere eine Sicherheitslücke beim Schlüsselaustausch.<ref name="Secure OTR" /> Daraufhin wurde 2005 Version 2 des OTR-Protokolls veröffentlicht, die eine Variation der vorgeschlagenen Modifikation umsetzt, die zusätzlich die öffentlichen Schlüssel verbirgt.<ref name="BianSekerTopaloglu" /> Zusätzlich wurde für Chatsysteme mit begrenzter Nachrichtengröße die Möglichkeit zur Fragmentierung von OTR-Nachrichten eingeführt und eine einfachere Überprüfungsmöglichkeit gegen Mittelsmannangriffe ohne den Abgleich von Schlüsselprüfsummen implementiert. Dabei kann über das [[Yaos Millionärsproblem|Sozialistische-Millionäre-Protokoll]] das Wissen um ein beliebiges gemeinsames Geheimnis genutzt werden, bei welchem auch eine relativ niedrige [[Entropie (Informationstheorie)|Entropie]] tolerierbar ist.<ref name="WPES'07" />
2012 wurde Version 3 des Protokolls veröffentlicht. Als Maßnahme gegen fortwährenden Neuaufbau einer Sitzung mit mehreren konkurrierenden Chat-Clients, die gleichzeitig auf dieselbe Benutzeradresse angemeldet sind, wurde in Version 3 eine genauere Kennung der Sender- und Empfänger-Client-Instanz eingeführt. Außerdem wird ein zusätzlicher Schlüssel ausgehandelt, der für einen weiteren Datenkanal genutzt werden kann.<ref name="v3" />

Zur Unterstützung mehrerer Gesprächsteilnehmer wurden mehrere Systeme vorgeschlagen. Ein 2007 von Jiang Bian, Remzi Seker und Umit Topaloglu vorgeschlagenes Verfahren nutzte das System eines Teilnehmers als „virtuellen Server“. Das 2009 veröffentlichte Verfahren „Multi-party Off-the-Record Messaging“ (mpOTR) kam ohne zentrale Organisationsinstanz aus und wurde von Ian Goldberg et al. in [[Cryptocat]] eingeführt.<ref name="mpOTR" />
2013 wurde in [[TextSecure]] das [[Axolotl-Protokoll]] eingeführt, das auf OTR Messaging und dem [[Silent Circle Instant Messaging Protocol]] (SCIMP) basiert. Es brachte als zentrales Zusatzmerkmal die Unterstützung asynchroner Kommunikation („Offline-Nachrichten“), sowie außerdem bessere Resilienz bei gestörter Nachrichtenreihenfolge und simplere Unterstützung mehrerer Gesprächsteilnehmer.<ref name="SoK" />
Das 2015 in [[Conversations (Instant Messenger)|Conversations]] eingeführte [[OMEMO]] integriert Axolotl in das Instant-Messaging-Protokoll [[Extensible Messaging and Presence Protocol|XMPP]] („Jabber“) und ermöglicht nunmehr auch Dateiübertragungen abzusichern. Es wurde im Herbst 2015 bei der [[XMPP Standards Foundation]] zur Standardisierung eingereicht.<ref name="OMEMO-XEP" /><ref name="OMEMO-Jingle" />

== Socialist-Millionaires'-Protokoll ==
Das [[Socialist-Millionaires'-Protokoll]] (SMP) ermöglicht, den sonst [[out of band]] stattfindenden Vergleich der Fingerprints der [[Öffentlicher Schlüssel|öffentlichen Schlüssel]] durch ein [[shared Secret]] zu ersetzen.

== Weitere Einsatzbereiche ==
* '''Apple [[iCloud|iCloud-Schlüsselbund]]''' benutzt das OTR-Protokoll zur Datenübertragung von User-ID und Passwörtern von Apple-Gerät zu Apple-Gerät.<ref>[https://www.heise.de/mac-and-i/meldung/iCloud-Schluesselbund-Schwachstelle-ermoeglichte-Fremdzugriff-auf-Passwoerter-3793462.html heide.de/...] – iCloud-Schlüsselbund: Schwachstelle ermöglichte Fremdzugriff auf Passwörter. 4. August 2017, abgerufen am 5. August 2017.</ref>

== Weblinks ==
* [https://otr.cypherpunks.ca/ Projektseite] (englisch)
** [https://otr.cypherpunks.ca/otr-wpes.pdf Off-the-Record Communication, or, Why Not To Use PGP] (PDF; 132 kB) – erste Veröffentlichung des OTR-Protokolls von Nikita Borisov, Ian Goldberg und Eric Brewer (englisch)
** [https://otr.cypherpunks.ca/Protocol-v2-3.1.0.html Off-the-Record Messaging Protocol version 2] (englisch)
* – Joseph Bonneau, Andrew Morrison: [https://seclab.stanford.edu/pcl/cs259/WWW06/projects/project03/03-Writeup.pdf Finite-State Security Analysis of OTR Version 2] (PDF; 105 kB) Stanford University (englisch)
* [https://csclub.uwaterloo.ca/media/Off-the-Record%20Messaging:%20Useful%20Security%20and%20Privacy%20for%20IM.html Off-the-Record Messaging: Useful Security and Privacy for IM] – Video von Ian Goldberg, einem der Entwickler (englisch, verschiedene Formate stehen zur Auswahl)
* T. Engel: [http://public.beuth-hochschule.de/~s30935/off-the-record-messaging.pdf Sichere Nachrichtenübermittelung mit Off-the-Record Messaging] (PDF; 860 kB) – Diplomarbeit von an der Technischen Fachhochschule Berlin

== Einzelnachweise ==
<references>
<ref name="OTR2">
[https://otr.cypherpunks.ca/Protocol-v2-3.1.0.html Off-the-Record Messaging Protocol version 2] (englisch)
</ref>
<ref name="Analysis">
{{Internetquelle
|autor=Joseph Bonneau, Andrew Morrison
|url=https://seclab.stanford.edu/pcl/cs259/WWW06/projects/project03/03-Writeup.pdf
|titel=Finite-State Security Analysis of OTR Version 2
|hrsg=Stanford University
|format=PDF (105 kB)
|sprache=en
|abruf=2011-07-13}}
</ref>
<ref name="MCabber">
[https://lilotux.net/~mikael/mcabber/files/ChangeLog mcabber-Changelog, siehe Abschnitt „mcabber (0.9.4)“] (englisch)
</ref>
<ref name="Xabber">
[https://play.google.com/store/apps/details?id=com.xabber.android Xabber im Google Play Store], englisch
</ref>
<ref name="SecuXabber">
[https://play.google.com/store/apps/details?id=com.secuxabber.androiddev SecuXabber] im Google Play Store (englisch)
</ref>
<ref name="PhonixViewer">
[https://phoenixviewer.com/ Phonix Viewer], OSS
</ref>
<ref name="ChatSecure">
[http://chrisballinger.info/apps/chatsecure/ ChatSecure-Website]
</ref>
<ref name="IM+">
[https://play.google.com/store/apps/details?id=de.shapeservices.impluslite IM+ bei Google Play]
</ref>
<ref name="qutIM">
[https://www.facebook.com/qutim/posts/287716851309272 qutIM 0.3.1 Changelog auf Facebook]
</ref>
<ref name="Spark">
[https://www.igniterealtime.org/builds/spark/docs/latest/changelog.html Spark Changelog]
</ref>
<ref name="Rocket">
[https://rocket.chat/docs/user-guides/channel-actions#otr Rocket.Chat Channel Actions], englisch
</ref>
<ref name="loqui">
[https://github.com/loqui/im github.com]
</ref>
<ref name="Pidgin">
[https://otr.cypherpunks.ca/#downloads Pidgin OTR Plugin], englisch
</ref>
<ref name="Psi">
{{Webarchiv |url=http://public.tfh-berlin.de/~s30935/ |wayback=20090326012606 |text=Psi-Patch und OTR-Plugin auf tfh-berlin.de}}, englisch
</ref>
<ref name="Psi+">
[http://psi-plus.com/ Website der Psi-Entwicklerversion Psi+], englisch
</ref>
<ref name="Miranda">
{{Webarchiv |url=http://addons.miranda-im.org/details.php?action=viewfile&id=4424 |wayback=20120301095042 |text=Miranda OTR Plugin}}, englisch
</ref>
<ref name="miranda-ng">
[http://wiki.miranda-ng.org/index.php?title=Plugin:MirOTR/de MirOTR, Miranda NG Wiki]
</ref>
<ref name="Irssi">
[https://github.com/cryptodotis/irssi-otr Irssi OTR], englisch
</ref>
<ref name="Gajim">
[https://github.com/python-otr/gajim-otr Gajim OTR], englisch
</ref>
<ref name="XChat">
{{Webarchiv |url=http://xchat.org/cgi-bin/search.pl?str=otr&cat=0&Submit=Search |wayback=20160227204902 |text=Xchat OTR |archiv-bot=2019-05-04 20:30:25 InternetArchiveBot}}, englisch
</ref>
<ref name="Vacuum">
[https://code.google.com/p/vacuum-plugins/ Plugin-Sammlung für Vacuum IM]
</ref>
<ref name="WeeChat">
[https://github.com/mmb/weechat-otr weechat-otr], englisch
</ref>
<ref name="Secure OTR">
{{Literatur
|Autor=Mario Di Raimondo, Rosario Gennaro, Hugo Krawczyk
|Hrsg=Association for Computing Machinery
|Titel=Secure off-the-record messaging
|Sammelwerk=Proceedings of the 2005 ACM workshop on Privacy in the electronic society
|Datum=2005
|ISBN=
|Seiten=81–89
|Online=https://www.dmi.unict.it/diraimondo/web/wp-content/uploads/papers/otr.pdf}}
</ref>
<ref name="WPES'07">
{{Literatur
|Autor=Chris Alexander, Ian Avrum Goldberg
|Hrsg=Association for Computing Machinery
|Titel=Improved User Authentication in Off-The-Record Messaging
|Sammelwerk=Proceedings of the 2007 ACM workshop on Privacy in electronic society
|Ort=New York
|Datum=2007-10
|ISBN=
|Seiten=41–47
|Online=https://cypherpunks.ca/~iang/pubs/impauth.pdf
|DOI=10.1145/1314333.1314340}}
</ref>
<ref name="BianSekerTopaloglu">
{{Literatur
|Autor=Jiang Bian, Remzi Seker, Umit Topaloglu
|Hrsg=IEEE
|Titel=Off-the-Record Instant Messaging for Group Conversation
|Sammelwerk=IEEE International Conference on Information Reuse and Integration
|Datum=2007
|ISBN=
|Seiten=
|Online=[https://web.archive.org/web/20160104113710/http://gotr.googlecode.com/svn-history/r12/docs/GOTR-IEEE-IRI07/submission_167.pdf web.archive.org] |Format=PDF |KBytes=117 |Abruf=2021-09-01}}
</ref>
<ref name="OTR">
{{Literatur
|Autor=Nikita Borisov, Ian Avrum Goldberg, Eric A. Brewer
|Hrsg=Association for Computing Machinery
|Titel=Off-the-record communication, or, why not to use PGP
|Sammelwerk=WPES ’04: Proceedings of the 2004 ACM workshop on Privacy in the electronic society
|Verlag=ACM Press
|Ort=New York
|Datum=2004-10
|Seiten=77–84
|Online=https://otr.cypherpunks.ca/otr-wpes.pdf
|Format=PDF
|KBytes=}}
</ref>
<ref name="v3">
[https://otr.cypherpunks.ca/Protocol-v3-4.0.0.html otr.cypherpunks.ca]
</ref>
<ref name="mpOTR">
{{Literatur
|Autor=Ian Avrum Goldberg, Berkant Ustaoğlu, Matthew D. Van Gundy, Hao Chen
|Hrsg=Association for Computing Machinery
|Titel=Multi-party off-the-record messaging
|Sammelwerk=Proceedings of the 16th ACM Computer and Communications Security Conference
|Datum=2009
|Seiten=358–368
|Online=https://cypherpunks.ca/~iang/pubs/mpotr.pdf
|Format=PDF
|KBytes=
|DOI=10.1145/1653662.1653705}}
</ref>
<ref name="SoK">
{{Literatur
|Autor=Nik Unger, Sergej Dechand, Joseph Bonneau, Sascha Fahl, Henning Perl, Ian Avrum Goldberg, Matthew Smith
|Hrsg=IEEE Computer Society’s Technical Committee on Security and Privacy
|Titel=SoK: Secure Messaging
|Sammelwerk=Proceedings of the 2015 IEEE Symposium on Security and Privacy
|Datum=2015
|Seiten=232–249
|Online=http://ieee-security.org/TC/SP2015/papers-archived/6949a232.pdf
|Format=PDF
|KBytes=}}
</ref>
<ref name="OMEMO-XEP">
{{Internetquelle
|autor=Andreas Straub
|url=https://xmpp.org/extensions/inbox/omemo.html
|titel=OMEMO Encryption
|werk=Website der XMPP Standards Foundation
|datum=2015-10-25
|sprache=en
|abruf=2016-01-04
|archiv-url=https://web.archive.org/web/20160129003540/https://xmpp.org/extensions/inbox/omemo.html
|archiv-datum=2016-01-29
|archiv-bot=2018-12-11 10:32:18 InternetArchiveBot
|offline=1}}
</ref>
<ref name="OMEMO-Jingle">
{{Internetquelle
|autor=Daniel Gultsch
|url=https://xmpp.org/extensions/inbox/omemo-filetransfer.html
|titel=OMEMO Encrypted Jingle File Transfer
|werk=Website der XMPP Standards Foundation
|datum=2015-09-02
|sprache=en
|abruf=2016-01-04}}
</ref>
</references>

[[Kategorie:Netzwerkprotokoll auf Anwendungsschicht]]
[[Kategorie:Freie Kryptosoftware]]
[[Kategorie:Freie Instant-Messaging-Software]]

Off-the-Record Messaging - Versionsgeschichte

imported>Peter Gröbner: Änderung 257770311 von LionK03 rückgängig gemacht; wer die ersten 128 Bit des SHA-1-Hashwerts versteht, weiß m. E. auch, was ein Datenformat ist.