Hva er off-the-record messaging (OTR)?

[ware_item id=33][/ware_item]

For journalister er evnen til å beskytte en kilde avgjørende for å kunne kommunisere med verdifulle mennesker. For kilder er innsatsen enda høyere: deres sikkerhet og frihet er avhengig av at de ikke blir identifisert som kilden til en historie.


Bare åpenbaringen om at noen i et selskap eller en statlig organisasjon snakket med en reporter kan være like ødeleggende som innholdet i selve samtalen..

Tenk deg dette: Etter å ha mottatt en anonym tip-off, bryter en stor nyhetspublikasjon en historie om et stort oljeselskap som dekker opp en ulykke. Dagen etter historien går i stykker, får selskapet vite at en ansatt nylig har utvekslet kryptert informasjon med noen fra nyhetsselskapet. Selskapet avfyrer umiddelbart lekkasjen, avslutter karrieren, og truer lekkasjen med et stort fett søksmål.

Off-the-record kommunikasjon er med på å forhindre at disse scenariene utspiller seg.

"Off-the-record" (OTR) som et begrep i journalistikk refererer til informasjon fra kilder som offisielt ikke eksisterer, eller samtaler som "ikke skjedde." Denne informasjonen kan, men trenger ikke, komme fra kjente kilder til journalisten, i form av alt fra en anonym tip-off til informasjon fra en lang pålitelig kilde.

Selv om mange respektable nyhetsorganisasjoner har en policy om ikke å publisere informasjon som er delt fra posten, kan denne informasjonen fortsatt spille en kritisk rolle i å peke journalister i riktig retning, eller hjelpe journalister med å finne siterbare kilder med samme informasjon.

La oss se på OTR-meldinger og hvordan det fungerer.

OTR bruker fremtidig hemmelighold

La oss først se på Pretty Good Privacy (PGP), som går foran OTR med over 10 år for å forstå funksjonene i OTR. PGP er krypteringsprogramvare der avsender og mottaker oppretter et par krypteringsnøkler som de bruker for å kryptere meldinger og data. Det er populært for e-post og filoverføring, og lar brukerne også signere data med en statisk offentlig nøkkel for å bevise deres autentisitet. Denne nøkkelen blir ofte publisert på eierens nettsted eller i kataloger, og kan brukes i lang tid av eieren.

Selv om krypteringsprogramvare som PGP er effektiv til å holde innholdet i kommuniserte data hemmelig, har det noen få ulemper når det gjelder å holde kontakten med kildene dine. Hvis krypteringsnøkkelen din er eksponert, kan en angriper dekryptere alle tidligere samtaler hvis de har avlyttet og spilt inn de krypterte meldingene.

OTR beskytter meldingene dine mot å bli dekryptert ved å praktisere "perfekt fremtidig hemmelighold."

Fremover hemmelighold betyr at du har hemmelighold i dag selv om nøkkelen din blir kompromittert i fremtiden. OTR gir fremoverhemmelighet ved å bruke en annen tast for hver økt, som ikke lagres etter at økten er over.

Ulempen med å ha forskjellige nøkler for hver økt er at du ikke kan hente historikken din uten å logge den inn i klar tekst, noe som kan kompromittere deg senere. Videre er det ingen måte å vite om den andre parten logger deg, men du ville ikke ha avslørt din identitet eller verdifulle informasjon for dem hvis du ikke stolte på dem til å begynne med, ikke sant?

OTR gir avviselig autentisering og kryptering

Avvisbar autentisering

I PGP kan du bruke den statiske tasten til å signere alle slags data eller tekst. Denne signaturen autentiserer deg uten tvil og viser at du har opprettet eller godkjent visse meldinger. Men siden denne signaturen er synlig for enhver observatør, kan den avsløre identiteten til de to kommuniserende partene.

OTR-praksis fornekter autentisering. Dette betyr at det er umulig for en avlytters bare å fortelle fra de krypterte meldingene hvem som kommuniserer med hvem. Bare deltakerne får informasjon om hverandres identitet i form av et fingeravtrykk.

For å bekrefte hverandres identitet og sikre at ingen utfører et menneske-i-midten-angrep, kan du publisere fingeravtrykkene dine eller bytte dem gjennom en alternativ kanal, for eksempel personlig eller i sosiale medier-profiler. Denne fingeravtrykkutvekslingen er en viktig funksjon som gjør OTR betydelig mer anonym enn PGP.

Avvisbar kryptering

På samme måte som autentisering, lar PGP en observatør eller avlyttersjakt se hvilken privat nøkkel som låser opp en kryptert fil. Selv om angriperen ikke kan få tak i denne private nøkkelen, vet de hvem som har den og kan legge press på et offer eller mistenkt for en forbrytelse for å dekryptere filen.

I OTR er det umulig å se hvem som har nøkkelen til en kryptert samtale. Dessuten er det mulig at nøkkelen ble ødelagt umiddelbart etter at samtalen fant sted. Dette kalles avviselig kryptering.

Selv om både fornektelig autentisering og kryptering kan være sikrende eller til og med viktig i noen sammenhenger, er det andre måter å koble sammen nøklene til to parter til deres virkelige identitet, for eksempel gjennom chat-kanaler, kontoer og IP-adresser som brukes i en samtale..

Les videre for å finne ut hvordan du kan ivareta din anonymitet når du bruker OTR-kommunikasjon.

Grunnleggende krav for OTR

I teorien er bruk av OTR lik PGP, men du trenger ikke å bekymre deg for å opprette, publisere og dele nøkler manuelt eller bekymre deg for utløpsdatoen. Her er de grunnleggende trinnene for bruk av OTR.

  1. Installer OTR-programvaren. Ettersom OTR er begrenset til chats, kommer det med en rekke chatteprogramvare, spesielt Pidgin (Windows, Linux), Adium (Mac OS X), Chat Secure (iOS, Android) og Tor Messenger (kryssplattform, fremdeles i beta).
  2. Sett opp en chat-konto som er kompatibel med disse messenger-klientene. Kontoen må i det minste støtte protokoller som jabber / xmpp, et åpent og desentralisert system som fungerer på samme måte som e-post. De fleste Gmail- eller Google Apps-kontoer fungerer også som jabber-kontoer - uten ekstra kostnad. Det er også mange tjenester som lar deg registrere en jabber-konto fritt og anonymt.
  3. Legg til kontaktene dine som ‘kompiser’ for å chatte med dem. Skriv inn jabber-adressen deres, som ser ut som eller er identisk med e-postadressen deres.
  4. For å starte en OTR-melding, klikk på "start privat samtale" eller klikk på et låsesymbol, avhengig av programvaren du bruker.
  5. For å bekrefte kompisens identitet, del fingeravtrykket med hverandre. Du kan se fingeravtrykket ditt ved å klikke på ‘manuell bekreftelse’ i chatvinduet. Hvis du allerede har opprettet en bekreftet kryptert kanal, kan du bekrefte hverandre gjennom det. Du kan også liste fingeravtrykket ditt på nettstedet ditt eller sosiale medier.

Hvordan opprettholde anonymitet på OTR

Selv om OTR-protokollen i seg selv er ganske fantastisk når det gjelder å beskytte personvernet og anonymiteten, er den mindre kraftig hvis du bruker en kanal som kan kobles tilbake til din virkelige identitet. Å ha kryptografisk denierbarhet er teoretisk bra, men det beseirer formålet hvis du kommuniserer gjennom Google Apps-kontoen din, der arbeidsgiveren din, Google, og antagelig regjeringen kan se hvem du melder. Ofte er det tilstrekkelig for dem å trekke konklusjoner om identiteten til kilden din og samarbeidspartnerne.

Slik holder du deg anonym når du bruker OTR.

Trinn 1: Bruk flere kontoer

Det første trinnet for å forbedre personvernet ditt er å bruke flere kontoer og være bevisst hvem du legger til på hvilken konto. Du kan gå så langt som å opprette en ny konto for hver av kontaktene dine. For å unngå korrelasjonsanalyse av når og hvor du logger deg på fra, kan du registrere disse kontoene på forskjellige servere og tjenester.

Trinn 2: Koble til OTR via VPN eller Tor

Det andre trinnet er å alltid koble til disse chatkontoer gjennom en VPN eller til og med Tor, spesielt når du registrerer deg. Det er nok å logge inn én gang hjemmefra eller arbeids IP-adresse for å gå på akkord med deg.

Trinn 3: Bekreft mottakerens identitet

Det siste trinnet er det mest slitsomme: å bekrefte identiteten til mottakeren. Dette er spesielt viktig for å sikre at ingen tredjepart fanger utvekslingen i midten, og erstatter OTR-nøklene for kontakten din for sine. Forbindelsen din vil se sikker og kryptert ut for deg, men faktisk er det kanskje ikke før du bekrefter nøklene.

For å verifisere mottakerens identitet pålitelig, er en god praksis å kringkaste fingeravtrykket ditt via en pålitelig kanal som visittkort, nettsted eller sosiale mediekonto. (Du kan finne fingeravtrykket ditt under "innstillinger" eller "manuelt bekrefte".)

Slik holder du deg anonym når du deler filer

Mens jabber-protokollen og mange klienter teoretisk sett tillater deling av filer eller vedlegg, fungerer den sjelden og bruker ikke kryptering.

For å dele filer, anbefaler ExpressVPN Onionshare, en P2P-fildelingstjeneste bygd gjennom Tor. På den måten kan ingen av partene identifisere den andre enkelt gjennom sin IP-adresse, og filen er kryptert under transport.

Som med alle nedlastinger, må du være oppmerksom på at filer kan inneholde ondsinnet kode som kan deanonymisere deg. Det beste alternativet ditt er å koble fra internett før du åpner filene, eller å åpne filene inne i en virtuell maskin.

Vær forsiktig med å klikke på alle slags koblinger, spesielt forkortede, fordi de kan inneholde sporingskoder som gjør deg identifiserbar for den andre parten. Hvis du må åpne mistenkelige koblinger, må du bare åpne dem i Tor-nettleseren.

Klikk her for å lære hvordan du konfigurerer en anonym Jabber-konto med OTR-kryptering.

Utvalgt bilde: Scott Griessel / Dollar Photo Club

Hva er off-the-record messaging (OTR)?
admin Author
Sorry! The Author has not filled his profile.