Che cos’è la messaggistica off-the-record (OTR)?

[ware_item id=33][/ware_item]

Per i giornalisti, la capacità di proteggere una fonte è fondamentale per comunicare con successo con persone di valore. Per le fonti, la posta in gioco è ancora più alta: la loro sicurezza e libertà dipendono dal fatto di non essere identificati come la fonte di una storia.


La semplice rivelazione che qualcuno all'interno di una corporazione o organizzazione governativa ha parlato con un giornalista può essere tanto dannosa quanto il contenuto della conversazione stessa.

Immagina questo: dopo aver ricevuto una soffiata anonima, un'importante pubblicazione di notizie interrompe la storia di una grande compagnia petrolifera che copre un incidente. Il giorno dopo la fine della storia, la società apprende che un dipendente ha recentemente scambiato informazioni crittografate con qualcuno della società di stampa. La società lancia immediatamente la perdita, ponendo fine alla loro carriera e minaccia la perdita con una causa legale grossa.

Le comunicazioni off-the-record aiutano a prevenire che questi scenari si svolgano.

"Off-the-record" (OTR) come termine nel giornalismo si riferisce alle informazioni provenienti da fonti che ufficialmente non esistono o alle conversazioni che "non sono avvenute". Queste informazioni possono ma non devono provenire da fonti note al giornalista, prendendo la forma di qualsiasi cosa, da una soffiata anonima a informazioni da una fonte fidata da lungo tempo.

Mentre molte rispettabili organizzazioni giornalistiche hanno una politica di non pubblicare informazioni condivise dal registro, queste informazioni possono ancora svolgere un ruolo critico nel puntare i giornalisti nella giusta direzione, o aiutare i giornalisti a trovare fonti citabili con le stesse informazioni.

Diamo un'occhiata alla messaggistica OTR e al suo funzionamento.

OTR utilizza la segretezza diretta

Per comprendere le funzionalità di OTR, diamo prima un'occhiata a Pretty Good Privacy (PGP), che precede OTR di oltre 10 anni. PGP è un software di crittografia in cui il mittente e il destinatario creano una coppia di chiavi di crittografia che utilizzano per crittografare messaggi e dati. È popolare per e-mail e trasferimenti di file e consente inoltre agli utenti di firmare i dati con una chiave pubblica statica per dimostrare la loro autenticità. Questa chiave è spesso pubblicizzata sul sito Web del proprietario o nelle directory e può essere utilizzata a lungo dal suo proprietario.

Sebbene un software di crittografia come PGP sia efficace nel mantenere segreti i contenuti dei dati comunicati, presenta alcuni inconvenienti quando si tratta di rimanere in contatto con le proprie fonti. Se viene esposta la chiave di crittografia, un utente malintenzionato può decrittografare tutte le conversazioni precedenti se ha intercettato e registrato i messaggi crittografati.

OTR protegge i tuoi messaggi dall'essere decifrati praticando il "perfetto segreto in avanti".

Segretezza diretta significa che oggi hai segretezza anche se la tua chiave viene compromessa in futuro. OTR fornisce segretezza anticipata utilizzando una chiave diversa per ogni sessione, che non viene memorizzata al termine della sessione.

L'aspetto negativo di avere chiavi diverse per ogni sessione è che non è possibile recuperare la cronologia senza registrarla in testo chiaro, il che potrebbe comprometterti in seguito. Inoltre, non c'è modo di sapere se l'altra parte ti sta registrando, ma non avresti rivelato loro la tua identità o informazioni preziose se non ti fossi fidato di loro per cominciare, giusto?

OTR fornisce autenticazione e crittografia negabili

Autenticazione negabile

In PGP è possibile utilizzare la chiave statica per firmare qualsiasi tipo di dati o testo. Questa firma ti autentica senza dubbio e mostra che hai creato o approvato determinati messaggi. Ma poiché questa firma è visibile a qualsiasi osservatore, può rivelare le identità delle due parti comunicanti.

Pratiche OTR autenticazione negabile. Ciò significa che è impossibile per un intercettatore distinguere esclusivamente dai messaggi crittografati chi sta comunicando con chi. Solo i partecipanti ottengono informazioni sulle reciproche identità sotto forma di un'impronta digitale.

Per verificare l'identità reciproca e assicurarsi che nessuno stia eseguendo un attacco man-in-the-middle, puoi pubblicizzare le tue impronte digitali o scambiarle attraverso un canale alternativo, ad esempio di persona o sui tuoi profili di social media. Questo scambio di impronte digitali è una caratteristica importante che rende OTR significativamente più anonimo di PGP.

Crittografia negabile

Analogamente all'autenticazione, PGP consente a un osservatore o intercettatore di vedere quale chiave privata sblocca un file crittografato. Anche se l'attaccante non può ottenere questa chiave privata, sa chi la possiede e può fare pressione su una vittima o sospetta di un crimine di decrittografare il file.

In OTR, è impossibile vedere chi detiene la chiave di una conversazione crittografata. Inoltre, è possibile che la chiave sia stata distrutta immediatamente dopo la conversazione. Questo è chiamato crittografia negabile.

Mentre l'autenticazione e la crittografia negabili possono essere sicure o addirittura importanti in alcuni contesti, ci sono altri modi per collegare le chiavi di due parti alle loro identità reali, come attraverso i canali di chat, gli account e gli indirizzi IP utilizzati in una conversazione.

Continua a leggere per scoprire come salvaguardare il tuo anonimato quando usi la comunicazione OTR.

Requisiti di base per OTR

In teoria, l'utilizzo di OTR è simile a PGP, ma non devi preoccuparti di creare, pubblicare e condividere manualmente le chiavi o preoccuparti delle loro date di scadenza. Ecco i passaggi di base per l'utilizzo di OTR.

  1. Installa il software OTR. Poiché OTR è limitato alle chat, viene fornito in bundle con una varietà di software di chat, in particolare Pidgin (Windows, Linux), Adium (Mac OS X), Chat Secure (iOS, Android) e Tor Messenger (multipiattaforma, ancora in beta).
  2. Configurare un account di chat compatibile con questi client di messaggistica. L'account deve almeno supportare protocolli come jabber / xmpp, un sistema aperto e decentralizzato che funziona in modo simile alla posta elettronica. La maggior parte degli account Gmail o Google Apps funzionano anche come account jabber, senza costi aggiuntivi. Ci sono anche molti servizi che ti consentono di registrare un account Jabber liberamente e in modo anonimo.
  3. Aggiungi i tuoi contatti come "amici" per chattare con loro. Inserisci il loro indirizzo jabber, che è simile o identico al loro indirizzo e-mail.
  4. Per avviare un messaggio OTR, fai clic su "avvia conversazione privata" o fai clic sul simbolo di un lucchetto, a seconda del software che stai utilizzando.
  5. Per verificare l'identità del tuo amico, condividi le tue impronte digitali tra loro. Puoi vedere l'impronta digitale facendo clic su "verifica manuale" nella finestra della chat. Se hai già stabilito un canale crittografato verificato, puoi verificarlo a vicenda. Puoi anche elencare la tua impronta digitale sul tuo sito Web o sui social media.

Come mantenere l'anonimato su OTR

Sebbene lo stesso protocollo OTR sia piuttosto sorprendente nel proteggere la tua privacy e l'anonimato, è meno potente se usi un canale che può essere ricollegato alla tua vera identità. Avere la negabilità crittografica è grande in teoria, ma vanifica lo scopo se stai comunicando attraverso il tuo account Google Apps di lavoro, dove il tuo datore di lavoro, Google e presumibilmente il governo può vedere chi stai messaggiando. Spesso è sufficiente per trarre conclusioni sulle identità della tua fonte e dei tuoi collaboratori.

Ecco come rimanere anonimi quando usi OTR.

Passaggio 1: utilizzare più account

Il primo passo per migliorare la tua privacy è usare più account ed essere consapevole di chi aggiungi su quale account. Puoi andare fino alla creazione di un nuovo account per ciascuno dei tuoi contatti. Per eludere l'analisi di correlazione di quando e da dove si accede, è possibile registrare questi account su vari server e servizi.

Passaggio 2: connettersi a OTR tramite VPN o Tor

Il secondo passo è connettersi sempre a questi account di chat tramite una VPN o anche Tor, specialmente quando ti stai registrando. Effettuare l'accesso una sola volta dall'indirizzo IP di casa o del lavoro è sufficiente per comprometterti.

Passaggio 3: verificare l'identità del destinatario

L'ultimo passo è il più faticoso: verificare l'identità del destinatario. Ciò è particolarmente importante per garantire che nessuna terza parte intercetti lo scambio nel mezzo, sostituendo le chiavi OTR del tuo contatto con le loro. La tua connessione ti sembrerà sicura e crittografata, ma in realtà potrebbe non esserlo fino a quando non avrai verificato le chiavi.

Per verificare in modo affidabile l'identità del destinatario, è buona norma trasmettere l'impronta digitale attraverso un canale attendibile come biglietto da visita, sito Web o account di social media. (È possibile trovare l'impronta digitale in "Impostazioni" o "Verifica manualmente".)

Come rimanere anonimi durante la condivisione di file

Mentre il protocollo jabber e molti client teoricamente consentono la condivisione di file o allegati, raramente funziona e non utilizza la crittografia.

Per condividere file, ExpressVPN consiglia Onionshare, un servizio di condivisione di file P2P creato tramite Tor. In questo modo nessuna delle parti può identificare facilmente l'altro tramite il proprio indirizzo IP e il file viene crittografato in transito.

Come con qualsiasi download, tieni presente che i file possono contenere codice dannoso che potrebbe deanonimarti. La soluzione migliore è disconnettersi da Internet prima di aprire i file o aprire i file all'interno di una macchina virtuale.

Fai attenzione a fare clic su qualsiasi tipo di collegamento, in particolare quelli abbreviati, poiché potrebbero contenere codici di monitoraggio che ti rendono identificabile con l'altra parte. Se devi aprire collegamenti sospetti, aprili solo all'interno del browser Tor.

Fai clic qui per informazioni su come configurare un account Jabber anonimo con crittografia OTR.

Foto di presentazione: Scott Griessel / Dollar Photo Club

Che cos'è la messaggistica off-the-record (OTR)?
admin Author
Sorry! The Author has not filled his profile.