Vad är off-the-record meddelanden (OTR)?

[ware_item id=33][/ware_item]

För journalister är förmågan att skydda en källa avgörande för att framgångsrikt kan kommunicera med värdefulla människor. För källor är insatserna ännu högre: deras säkerhet och frihet beror på att de inte identifieras som källan till en berättelse.


Den bara uppenbarelsen att någon i ett företag eller en statlig organisation pratat med en reporter kan vara lika skadligt som innehållet i själva konversationen.

Föreställ dig detta: Efter att ha fått en anonym tip-off bryter en stor nyhetspublikation en historia om ett stort oljeföretag som täcker en olycka. Dagen efter att historien går sönder får företaget veta att en anställd nyligen utbytte krypterad information med någon från nyhetsföretaget. Företaget avfyrar omedelbart läckan, slutar deras karriär och hotar läckan med en stor fet process.

Off-the-record kommunikation hjälper till att förhindra att dessa scenarier utvecklas.

"Off-the-record" (OTR) som en term i journalistik hänvisar till information från källor som officiellt inte finns, eller samtal som "inte har hänt." Denna information kan men behöver inte komma från kända källor till journalisten, i form av allt från en anonym tip-off till information från en länge betrodd källa.

Även om många respektabla nyhetsorganisationer har en policy att inte publicera information delad utanför posten, kan denna information fortfarande spela en avgörande roll för att peka journalister i rätt riktning eller hjälpa journalister att hitta citerande källor med samma information.

Låt oss titta på OTR-meddelanden och hur det fungerar.

OTR använder framtida sekretess

För att förstå funktionerna i OTR, låt oss först titta på Pretty Good Privacy (PGP), som föregår OTR med över 10 år. PGP är krypteringsprogramvara där avsändaren och mottagaren skapar ett par krypteringsnycklar som de använder för att kryptera meddelanden och data. Det är populärt för e-postmeddelanden och filöverföringar och gör det också möjligt för användare att underteckna data med en statisk nyckel för att bevisa deras äkthet. Denna nyckel publiceras ofta på ägarens webbplats eller i kataloger och kan användas under lång tid av dess ägare.

Även om krypteringsprogramvara som PGP är effektiv för att hålla innehållet i kommunicerad data hemligt, har det några nackdelar när det gäller att hålla kontakten med dina källor. Om din krypteringsnyckel är exponerad kan en angripare dekryptera alla dina tidigare konversationer om de har avlyssnat och spelat in de krypterade meddelandena.

OTR skyddar dina meddelanden från att dekrypteras genom att utöva "perfekt framåtriktad hemlighet."

Framåt sekretess betyder att du har hemlighet idag även om din nyckel komprometteras i framtiden. OTR ger framåtriktat sekretess genom att använda en annan nyckel för varje session, som inte lagras efter att sessionen är över.

Nackdelen med att ha olika nycklar för varje session är att du inte kan hämta historiken utan att logga in den i klar text, vilket kan äventyra dig senare. Dessutom finns det inget sätt att veta om den andra parten loggar in dig, men du skulle inte ha avslöjat din identitet eller värdefulla information för dem om du inte litade på dem till att börja med, rätt?

OTR tillhandahåller avvisbar autentisering och kryptering

Nekbar autentisering

I PGP kan du använda den statiska nyckeln för att underteckna alla typer av data eller text. Denna signatur autentiserar dig utan tvekan och visar att du har skapat eller godkänt vissa meddelanden. Men eftersom denna signatur är synlig för alla observatörer, kan den avslöja identiteten hos de två kommunicerande parterna.

OTR-praxis avvisbar autentisering. Det betyder att det är omöjligt för en avlyssning att berätta enbart från de krypterade meddelandena vem som kommunicerar med vem. Endast deltagarna får information om varandras identitet i form av ett fingeravtryck.

För att verifiera varandras identitet och se till att ingen utför en man-i-mitt-attack kan du publicera dina fingeravtryck eller utbyta dem via en alternativ kanal, till exempel personligen eller i dina sociala medieprofiler. Detta fingeravtrycksutbyte är en viktig funktion som gör OTR betydligt mer anonym än PGP.

Nekbar kryptering

På samma sätt som autentisering tillåter PGP en observatör eller en avlyssning att se vilken privat nyckel som låser upp en krypterad fil. Även om angriparen inte kan få tag på den här privata nyckeln, vet de vem som har den och kan sätta press på ett offer eller misstänkt för ett brott för att dekryptera filen.

I OTR är det omöjligt att se vem som har nyckeln till en krypterad konversation. Dessutom är det möjligt att nyckeln förstördes omedelbart efter samtalet ägde rum. Det här kallas avvisbar kryptering.

Även om både avvisande autentisering och kryptering kan vara säkra eller till och med viktiga i vissa sammanhang, finns det andra sätt att koppla tillbaka parternas nycklar till deras verkliga identiteter, till exempel via chattkanaler, konton och IP-adresser som används i en konversation.

Läs vidare för att ta reda på hur du skyddar din anonymitet när du använder OTR-kommunikation.

Grundläggande krav för OTR

I teorin är att använda OTR liknar PGP, men du behöver inte oroa dig för att manuellt skapa, publicera och dela nycklar eller oroa dig för deras utgångsdatum. Här är de grundläggande stegen för att använda OTR.

  1. Installera OTR-programvaran. Eftersom OTR är begränsat till chattar, kommer det tillsammans med en mängd chattprogramvara, särskilt Pidgin (Windows, Linux), Adium (Mac OS X), Chat Secure (iOS, Android) och Tor Messenger (tvärplattform, fortfarande i beta).
  2. Ställ in ett chat-konto som är kompatibelt med dessa messenger-klienter. Kontot måste åtminstone stödja protokoll som jabber / xmpp, ett öppet och decentraliserat system som fungerar på samma sätt som e-post. De flesta Gmail- eller Google Apps-konton fungerar också som jabber-konton - utan extra kostnad. Det finns också många tjänster som låter dig registrera ett jabberkonto fritt och anonymt.
  3. Lägg till dina kontakter som "kompisar" för att chatta med dem. Ange deras jabber-adress, som ser ut som eller är identisk med deras e-postadress.
  4. För att initiera ett OTR-meddelande, klicka på 'starta privat konversation' eller klicka på en låssymbol, beroende på vilken programvara du använder.
  5. För att verifiera din kompis identitet, dela ditt fingeravtryck med varandra. Du kan se ditt fingeravtryck genom att klicka på 'manuell verifiering' i ditt chattfönster. Om du redan har skapat en verifierad krypterad kanal kan du verifiera varandra genom det. Du kan också lista ditt fingeravtryck på din webbplats eller sociala medier.

Hur man upprätthåller anonymitet på OTR

Även om själva OTR-protokollet är ganska fantastiskt när det gäller att skydda din integritet och anonymitet, är det mindre kraftfullt om du använder en kanal som kan kopplas tillbaka till din verkliga identitet. Att ha kryptografisk avvikbarhet är bra i teorin, men det besegrar syftet om du kommunicerar via ditt arbete Google Apps-konto, där din arbetsgivare, Google och förmodligen regeringen kan se vem du skickar meddelanden. Ofta räcker det för dem att dra slutsatser om identiteten på din källa och kollaboratörer.

Så här förblir du anonym när du använder OTR.

Steg 1: Använd flera konton

Det första steget för att förbättra din integritet är att använda flera konton och vara medveten om vem du lägger till på vilket konto. Du kan gå så långt som att skapa ett nytt konto för var och en av dina kontakter. För att undvika korrelationsanalys av när och var du loggar in från kan du registrera dessa konton på olika servrar och tjänster.

Steg 2: Anslut till OTR via VPN eller Tor

Det andra steget är att alltid ansluta till dessa chattkonton via ett VPN eller till och med Tor, särskilt när du registrerar dig. Att logga in bara en gång från ditt hem- eller arbets-IP-adress räcker för att äventyra dig.

Steg 3: Kontrollera mottagarens identitet

Det sista steget är det mest tröttsamma steget: att verifiera mottagarens identitet. Detta är särskilt viktigt för att se till att ingen tredje part fångar utbytet i mitten och ersätter dina kontakts OTR-nycklar för deras. Din anslutning kommer att vara säker och krypterad för dig, men kanske faktiskt inte förrän du har verifierat nycklarna.

För att verifiera din mottagares identitet pålitligt är en bra praxis att sända ditt fingeravtryck via en pålitlig kanal som ditt visitkort, webbplats eller sociala mediekonto. (Du kan hitta ditt fingeravtryck under "inställningar" eller "manuellt verifiera".)

Hur man förblir anonym när man delar filer

Medan jabber-protokollet och många klienter teoretiskt möjliggör delning av filer eller bilagor, fungerar det sällan och använder inte kryptering.

För att dela filer rekommenderar ExpressVPN Onionshare, en P2P-fildelningstjänst byggd genom Tor. På så sätt kan ingen av parterna enkelt identifiera den andra genom sin IP-adress, och filen är krypterad i transit.

Som med alla nedladdningar, var medveten om att filer kan innehålla skadlig kod som kan deanonymisera dig. Det bästa sättet är att koppla från internet innan du öppnar filerna eller öppna filerna i en virtuell maskin.

Var försiktig med att klicka på alla typer av länkar, särskilt förkortade, eftersom de kan innehålla spårningskoder som gör dig identifierbar för den andra parten. Om du måste öppna misstänkta länkar, öppna dem bara i Tor-webbläsaren.

Klicka här för att lära dig hur du ställer in ett anonymt Jabber-konto med OTR-kryptering.

Bild: Scott Griessel / Dollar Photo Club

Vad är off-the-record meddelanden (OTR)?
admin Author
Sorry! The Author has not filled his profile.