Team Blog

Was ist OTR?

Sichere Kommunikation mit OTR. Das ist mit JP-Communications einmalig.

OTR heisst “Off the record”. Stellt euch ein Gespräch in einem abgeschlossenen Raum vor. Ihr unterhaltet euch mit jemandem, niemand kann mithören, und auch später kann selbst euer Gesprächspartner behaupten, ihr hättet so und so gesagt - ihr könnt trotzdem sagen, nein, ihr habt was anderes gesagt. Aussage gegen Aussage, das Gespräch bleibt juristisch völlig unverwertbar. Auch abgehört werden kann es nicht. Das eben heisst “Off The Record”.

Die Grundprinzipien von OTR dabei sind:

  • Verschlüsselung - das Gespräch kann nur von den beiden Teilnehmern gelesen werden
  • Beglaubigung - man weiß sicher, dass man mit dem spricht, mit dem man auch sprechen wollte.
  • Abstreitbarkeit - hinterher kann niemand, auch nicht der Gesprächspartner, sicher nachweisen, was tatsächlich geredet wurde
  • Folgenlosigkeit - auch wenn man seinen Schlüssel verliert, ändert sich an den ersten drei Prinzipien nichts.



    OTR steht für wie nun jetzt bekannt für “Off-the-Record” und ist ein Verschlüsselungsverfahren für Direktnachrichten, oder direkte Videokonferenzen das für jedes damit verschlüsselte Gespräch folgende vier Eigenschaften garantiert:

  • Vertraulichkeit: Niemand außer den Teilnehmern kann ein Gespräch mitlesen.
  • Authentizität: Wenn Teilnehmer ihre OTR-Schlüssel einmal abgeglichen haben (das geht mit dem Handy in 10 Sekunden), wissen sie garantiert, dass sie mit der richtigen Person kommunizieren.
  • Perfekte Vorwärtsverschlüsselung (engl. “perfect forward secrecy”): Selbst wenn ein Angreifer den Schlüssel einer Person erbeutet (etwa das Handy stiehlt oder Schadsoftware auf dem Computer installiert), kann er die vergangenen Gespräche dieser Person nicht nachträglich entschlüsseln (Das hilft natürlich nur, wenn man nicht Protokolle seiner Chats im Klartext auf dem Handy speichert!).

    Damit hat eine Konversation über OTR genau die gleichen Eigenschaften wie ein unüberwachtes persönliches Gespräch zwischen zwei Personen. Insbesondere durch die beiden letzten Eigenschaften geht OTR über konventionelle Verschlüsselung (etwa mit PGP) hinaus und ist daher im Zweifelsfall vorzuziehen. Zudem kommt hinzu, dass die Benutzung von OTR viel einfacher ist als die von PGP, da der Austausch und die Einrichtung von Verschlüsselung ohne Zutun des Benutzers funktioniert. Janotta und Partner bietet Ihnen die Möglichkeit auf neue Art auch Emails und Daten über OTR auszutauschen. Das ist mit JP-Communications einmalig.

    Geschichte zu OTR

    Auf Wikipedia finden Sie auch etwas über die Geschichte zu OTR Verschlüsselung



    OTR wurde von Nikita Borisov, Ian Avrum Goldberg und Eric A. Brewer 2004 beim „Workshop on Privacy in the Electronic Society“ (WPES) als Verbesserung gegenüber dem OpenPGP- und dem S/MIME-System vorgestellt. Am 21. November 2004 wurde die erste Version 0.8.0 der Referenzimplementierung veröffentlicht. 2005 wurde von Mario Di Raimondo, Rosario Gennaro und Hugo Krawczyk eine Analyse vorgestellt, die auf mehrere Schwachstellen aufmerksam machte und Korrekturen dazu vorschlug, darunter insbesondere eine Sicherheitslücke beim Schlüsselaustausch.Daraufhin wurde 2005 Version 2 des OTR-Protokolls veröffentlicht, die eine Variation der vorgeschlagenen Modifikation umsetzt, die zusätzlich die öffentlichen Schlüssel verbirgt. Zusätzlich wurde für Chatsysteme mit begrenzter Nachrichtengröße die Möglichkeit zur Fragmentierung von OTR-Nachrichten eingeführt und eine einfachere Überprüfungsmöglichkeit gegen Mittelsmannangriffe ohne den Abgleich von Schlüsselprüfsummen implementiert. Dabei kann über das Sozialistische-Millionäre-Protokoll das Wissen um ein beliebiges gemeinsames Geheimnis genutzt werden, bei welchem auch eine relativ niedrige Entropie tolerierbar ist.2012 wurde Version 3 des Protokolls veröffentlicht. Als Maßnahme gegen fortwährenden Neuaufbau einer Sitzung mit mehreren konkurrierenden Chat-Clients, die gleichzeitig auf dieselbe Benutzeradresse angemeldet sind, wurde in Version 3 eine genauere Kennung der Sender- und Empfänger-Client-Instanz eingeführt. Außerdem wird ein zusätzlicher Schlüssel ausgehandelt, der für einen weiteren Datenkanal genutzt werden kann.

    Zur Unterstützung mehrerer Gesprächsteilnehmer wurden mehrere Systeme vorgeschlagen. Ein 2007 von Jiang Bian, Remzi Seker und Umit Topaloglu vorgeschlagenes Verfahren nutzte das System eines Teilnehmers als „virtuellen Server“. Das 2009 veröffentlichte Verfahren „Multi-party Off-the-Record Messaging“ (mpOTR) kam ohne zentrale Organisationsinstanz aus und wurde von Ian Goldberg et al. in Cryptocat eingeführt.2013 wurde in TextSecure das Axolotl-Protokoll eingeführt, das auf OTR Messaging und dem Silent Circle Instant Messaging Protocol (SCIMP) basiert. Es brachte als zentrales Zusatzmerkmal die Unterstützung asynchroner Kommunikation („Offline-Nachrichten“), sowie außerdem bessere Resilienz bei gestörter Nachrichtenreihenfolge und simplere Unterstützung mehrerer Gesprächsteilnehmer. Das 2015 in Conversations eingeführte OMEMO integriert Axolotl in das Instant-Messaging-Protokoll XMPP („Jabber“) und ermöglicht nunmehr auch Dateiübertragungen abzusichern. Es wurde im Herbst 2015 bei der XMPP Standards Foundation zur Standardisierung eingereicht.



  • Cybersicherheit von Experten

    Janotta und Partner ist ein deutsches Fachberatungs- und Durchführungsunternehmen für zuverlässige IT-Sicherheit. Seit nunmehr 17 Jahren ist unsere Geschichte ein Spiegel der Arbeit von Menschen verschiedenster Tätigkeiten, Aufgaben und Kompetenzen unter anderem auch im Open Source Bereich. Mit dem stetigen Wandel in einer der Innovationsbranchen unserer Zeit, sind wir durch unsere Zielstrebigkeit und unseren Ehrgeiz gewachsen und sind heute ein Unternehmen das in die Zukunft geht. Die Werte, eines ehemals als Familienbetrieb gegründeten Unternehmens, mit hoher Wertschätzung und Dienstleistungsbereitschaft fordern den engen Dialog mit unseren Kunden – Unternehmen, Behörden und Organisationen.

    Unsere Kunden kommen aus Deutschland, Österreich und der Schweiz.