Hur (och varför) att använda OTR för privata direktmeddelanden
OTR står för "utanför posten". Det är ett sätt att få krypterade privata snabbmeddelandekonferenser online. Den använder end-to-end-kryptering så att din nätoperatör, regering och till och med snabbmeddelandeservice själv inte kan se innehållet i dina meddelanden.
Det här är inte så svårt att installera, även om båda måste använda rätt programvara och gå igenom en snabb installationsprocess innan dina konversationer kommer att krypteras.
Hur OTR fungerar
Liksom all programvara är OTR inte perfekt. Eventuell sårbarhet i libpurple - det bibliotek som används i både Pidgin och Adium - eller en sårbarhet i OTR-plugin-modulen kan göra det möjligt för en angripare att kompromissa din säkra session. Om NSA verkligen ville snoopa på dig, är det möjligt att de redan har ett sätt att bryta OTR.
Men OTR har fler användningsområden än att bara dölja dina konversationer från NSA. Det ger ytterligare ett lager av kryptering och autentisering över AIM, Google Talk, ICQ, Yahoo! Messenger, MSN Messenger eller något annat protokoll Pidgin eller Adium support. Detta döljer vad du pratar om från den snabbmeddelandeservice du använder, din Internetleverantör, din lokala nätoperatör och - i teorin - övervakningsorgan övervakar din internetanvändning.
OTR ger också autentisering, så du har viss garanti för att du pratar med den verkliga personen. Även om deras konto skulle äventyras och någon annan försökte prata med dig med deras skärmnamn, skulle du se ett fel eftersom krypteringsinformationen inte skulle matcha.
Medan OTR förmodligen inte är perfekt kan det lägga till ytterligare sekretess om du behöver prata om känsliga saker online.
Ställ in OTR
OTR är en plug-in för Pidgin instant messenger. För att kunna använda det måste du installera Pidgin och Pidgin-OTR-plugin-modulen. Båda är tillgängliga för Windows och borde vara i din Linux-distributionens mjukvaruarkiv. Mac OS X-användare måste istället använda Adium.
Efter installationen startar du Pidgin och ställer in dina konton om du inte redan har det. Gå till Verktyg> Plugins-menyn och aktivera Plugin-inspelning utan inspelning.
Klicka på knappen Konfigurera plugin för att visa dess alternativ. Välj det konto du vill chatta privat med och klicka på Generera-knappen för att skapa en privat nyckel för det specifika kontot. Den här nyckeln används för att kryptera dina meddelanden.
Du måste generera nycklar separat för varje konto om du vill använda OTR med flera konton.
Om personen du vill prata med inte har OTR-inställd än, måste de gå igenom den här processen på egen dator för att ställa in programvaran och skapa en privat nyckel.
Inleda en privat konversation
Öppna sedan ett konversationsfönster med personen du vill prata med. Du får se en OTR-knapp som säger "Ej privat" om en konversation inte är säkrad med OTR. Klicka på knappen och välj Start privat konversation för att börja.
Nu ser du ett meddelande som säger att sessionen är säkrad med kryptering, men att din kompis inte har verifierats. Om det inte fungerar fungerar din kompis troligtvis inte OTR och konfigureras korrekt.
Godkänn din kompis
Du vill nu verifiera eller verifiera din kompis. För att starta processen, klicka på knappen OTR igen och välj Godkänn kompis.
Välj Fråga och svar, Delad hemlighet eller Manuell fingeravtrycksverifiering. Tanken här är att du verifierar personen du har kopplat till är faktiskt din kompis och inte en bedragare. Till exempel kan du träffas personligen före tid och välja en hemlig fras som du använder senare eller ställa en fråga bara de skulle veta.
Din kompis kommer att se autentiseringsprompten och måste svara med det exakta meddelandet du skrev. Det är skiftlägeskänsligt.
När autentisering är klar kommer statusen för din konversation att ändras från obekräftat till privat.
Kända nyckel fingeravtryck
OTR-plug-in kommer nu att komma ihåg din kompis nyckelfingeravtryck. Nästa gång du ansluter till den kompisen kommer den att kontrollera att de använder samma nyckel och automatiskt verifierar dem. Om någon annan kompromissar sitt konto och försöker ansluta till ett annat nyckelfingeravtryck, vet du om det.
Gör framtida samtal privata
Plug-in bör nu automatiskt inleda ett säkert samtal med din kompis varje gång du pratar med dem.
Observera att det första meddelandet som skickats och mottogs i varje konversation skickas okrypterat! Det säkra samtalet startas först efter att meddelandet har skickats. Av denna anledning är det en bra idé att starta konversationer med en snabb hälsning som "Hej". Börja inte en konversation med något känsligt, som "Låt oss protestera på [plats]" eller genom att avslöja en känslig affärshemlighet.
OTR är förmodligen inte nödvändigt för de allra flesta samtal, men det ger lite extra integritet när du behöver prata om något känsligt. Det borde fungera bra nog, men vi borde antagligen anta att det finns säkerhetshål någonstans i Pidgin eller OTR-plugin som intelligensbyråer skulle kunna dra nytta av, precis som det finns i alla delar av programvaran.
Självklart kommer alltid OTR att vara mer privat än att prata i tydlig text! (Om inte NSA börjar betala mer uppmärksamhet åt dig när de ser att du använder krypteringsprogram, vilket också är en möjlighet.)