Como Fazer: Usar OTR em Linux

O que é OTR?

OTR (‘Off-the-record’ ‘sem registro’) é um protocolo que permite pessoas ter conversas confidenciais utilizando ferramentas de mensagem que já conhecem. OTR oferece esta segurança através de:

  • criptografar os bate-papos

  • oferecer forma de assegurar que a pessoa com qual está conversando é de fato aquela pessoa

  • não permitir gravar registro no servidor nem outro acesso as conversas

Não deve ser confundido com o “Off the record” da Google, que simplesmente desabilita o registro do bate-papo, e não inclui criptografia ou capacidade de verificação.

Há varia maneiras de utilizar OTR (sem registro) em Linux. Neste guia, vamos mostrar como usar o programa embutido de OTR para Pidgin. Pidgin é um cliente popular de mensagens instantâneas disponível em várias distribuições de Linux. Pode ser combinado com outros aplicativos embutidos para aumentar os recursos, que normalmente são instalados de forma separado.

O comportamento padrão do cliente de mensagens instantâneas, Pidgin, é de registrar automaticamente as conversas que não sejam OTR, mas tem como desabilitar isto. Contudo, não tem controle da pessoa com quem está batendo o papo—pode estar registrando ou tirando capturas de tela da sua conversa, mesmo se desabilitou o registro do seu lado.

Por que devo usar o Pidgin + OTR?

Quando conversar no bate-papo usando Google Hangouts ou o bate-papo do Facebook nos sites da Google ou Facebook, este bate-papo está criptografado usando HTTPS, que significa que o conteúdo do bate-papo está protegido de haqueadores e outros terceiros enquanto estiver em transito.  Não está protegido, contudo, de Google ou Facebook, que possuem as chaves das conversas e podem entrega-las as autoridades.

Depois de instalar Pidgin, pode entrar usando várias contas ao mesmo tempo.  Por exemplo, pode usar Google Hangouts, Facebook, e XMPP simultaneamente.  Pidgin também permite que faca bate-papo com estas ferramentas sem OTR. Como OTR só funciona se os dois lados estiverem usando, isso quer dizer que mesmo se a outra pessoa não tem instalado, pode conversar usando Pidgin.

Pidgin também permite usar verificação fora-de-banda para certificar que esteja realmente falando com a pessoa que imagina e não está sendo alvo de ataque MITM (‘Man-in-the-Middle’ ou de intermediário oculto). Para cada conversa, há opção que permite usar verificações de chave sua e da pessoa com quem esteja falando. A "verificação de chave " é uma linha de caracteres como "342e 2309 bd20 0912 ff10 6c63 2192 1928,” que se usa para verificar uma chave pública mais extensa.  Troque as verificações por outro meio de comunicação, como DM Twitter ou email, para assegurar que ninguém está interferindo com a conversa.

 

Limitações: Quando devo usar o Pidgin + OTR?

Os tecnólogos tem um termo para descrever quando um programa ou tecnologia possa estar vulnerável a ataque externo: dizem que tem um “superfície de ataque” grande. Pidgin tem um superfície de ataque grande. Eh um programa complexo que não foi projetado com segurança como prioridade máxima.  É quase certo que tem erros, alguns dos quais podem ser usados por governos ou até grandes empresas para invadir computadores que o usam. Usar Pidgin para criptografar suas conversas e uma ótima defesa contra o tipo de fiscalização generalizado que é utilizada para espionar nas conversas de todo mundo na Internet, mas se acreditar que será alvo de ataque especifico de alguém com recursos (como o governo), então deve considerar cuidados mais fortes, como email criptografado com PGP.

Pegar e Instalar o Pidgin e OTR Pidgin

Embora Pidgin e o aplicativo embutido OTR funcionam de forma semelhante em todas as distribuições de Linux, existem algumas diferenças. A maior diferença entre uma distribuição e outra é em como pegar e instalar Pidgin e OTR Pidgin. 

No exemplo a seguir, usamos Mint 17, que usa por padrão o Pidgin e oferece o OTR Pidgin no Centro de Software Mint. É quase certo que ambos programas serão disponíveis no repositório de software da sua distribuição de Linux: o Centro de Software Ubuntu para Ubuntu, o PackageKit para Redhat ou Fedora, o comando apt-get para Debian, etc. O pacote para Pidgin normalmente se chama “pidgin”; o pacote para o aplicativo embutido OTR normalmente se chama “pidgin-otr.”

Pidgin pode variar um pouco das capturas de tela a seguir, dependendo de qual gerenciador de janelas de Linux usar.

Para instalar pidgin-otr em mint, Clique o menu Mint e selecione o ícone do Centro de Software Mint.

Uma janela se abre e pede sua senha. Coloque a senha e clique “OK.”

Agora deve abrir a janela principal do Centro de Software.

Encontrara pidgin-otr no Centro de Software após digitar “pidgin” na barra de busca e clique “Enter.”

Clique duas vezes na entrada pidgin-otr para ver mais informação sobre pidgin-otr.

Clique “Instalar." O Centro de Software instalara o pidgin-otr. Quando está se instalando o pidgin-otr, uma barra de carregamento aparecera no fundo da janela do Centro de Software. Ao concluir a instalação, o botão “Instalar” se mudara para um botão “Remover”.

Configurando Pidgin

Clique o menu de Mint, passe o mouse sobre a seleção “Internet”, e clique no “Pidgin Internet Messenger” do menu.

Acrescentando uma conta

Quando Pidgin roda pela primeira vez, vera a janela de boas-vindas dando a opção de acrescentar uma conta. Como ainda não tem conta configurada, clique no botão “Add” (acrescentar).

Ai, vera a janela “Acrescente Conta”. Pidgin pode funcionar com vários sistemas de bate-papo, mas vamos usar o exemplo de XMPP, antigamente chamado Jabber.

Na entrada de Protocolo, selecione a opção “XMPP”.

Na entrada de Nome de Usuário, digite seu nome de usuário XMPP.

Na entrada de Domínio, digite o domínio da sua conta XMPP.

Na entrada de Senha, digite sua senha XMPP.

Marcar a caixa perto da entrada “Lembrar senha” facilitara acesso a sua conta. Esteja ciente que lembrando a senha gravara a senha no computador, que deixara acessível a senha a qualquer pessoa que usa seu computador.  Então terá que digitar sua senha XMPP cada vez que roda Pidgin.

Acrescentando um/a Amigo/a

Agora vai acrescentar alguém para quem bater papo. Clique no menu “Buddies” (Amigos) e selecione “Add Buddy” (Acrescentar Amigo).  A janela aparecera para “Acrescentar Amigo”.

Na janela “Add Window” (Acrescente Amigo) pode digitar o nome de usuário da pessoa com quem quer conversar. O outro usuário não precisa estar no mesmo servidor, mas deve usar o mesmo protocolo, como XMPP .

Na entrada “Buddy's username” (Nome de usuário do Amigo), digite o nome de usuário com nome do domínio. Pareceria um endereço de correio eletrônico.

Na entrada “(Optional) Alias” (Apelido [Opcional]), digite o nome que quiser. Esta puramente opcional, mas pode ser útil se a conta XMPP da pessoa com quem conversa seja difícil de lembrar.

Clique “Adicionar."

Depois de clicar “Adicionar," Boris receberá mensagem pedindo autorização para ser acrescentado. Ao autorizar, ele acrescenta sua conta e você recebera a mesma solicitação. Clique “Autorize."

Configurando o aplicativo embutido OTR

Agora vai configurar o aplicativo embutido OTR para conversar com segurança. Clique no menu “Tools” (Ferramentas) e selecione a opção “Plugins”.

Desça até chegar a opção “Off-the-Record Messaging” e marque a caixa. Então clique na entrada “Off-the-Record Messaging” e clique no botão “Configure Plugin”.

Depois aparecera a janela de configuração “Off-the-Record Messaging”. Observe que diz “No key present” (Nenhuma chave presente). Clique no botão “Generate” (Gerar).

Então, aparece uma janelinha e será gerada a chave. Ao concluir, clique “OK.”

Então vera a informação nova: uma linha de 40-caracteres dividida em 5 grupos de oito caracteres. Esta é a sua chave OTR. Escreva-a para guardá-la. Clique no botão “Close” (fechar).

Agora clique o botão “Close” na janela Plugins.

Conversar com segurança

Agora pode conversar com Boris. Os dois podem enviar mensagens um para o outro. Contudo, a nossa conversa ainda não está segura. Mesmo se conectar através do servidor XMPP, é possível que a conexão entre você e Boris não esteja segura de espionagem. Se olhar a janela do bate-papo, veja que diz “Not private” em vermelho no inferior direito. Clique no botão “Not private”.

Abrira o menu; selecione “Start private conversation” (Iniciar conversa particular).

Veja que o botão agora diz “Unverified” (Não verificado) em amarelo. Embora a conversa seja criptografado, pode ter alguém interceptando sua conversa e ouvindo (no que é chamado ataque “alguém no meio”). Para garantir segurança completa da conversa, você deve verificar se a pessoa do outro lado da conversa criptografada seja de fato seu amigo. Para fazer isso, clique no botão “Unverified”.

Abrira o menu, selecione “Authenticate buddy” (Autenticar amigo)

Abrira uma janela. Perguntara “Como que autenticar seu amigo?”

Tem três opções:

Segredo compartilhado

Segredo compartilhado é uma linha de texto que você e a pessoa com quem quer conversar já concordaram usar. Quando possível, compartilhe este segredo pessoalmente, nunca troca esta informação por meios inseguros como email ou Skype.

Você e o amigo tem que digitar o mesmo texto. Clique “Authenticate."

A verificação do segredo compartilhado é útil se você e o amigo já combinaram a conversar no futuro mas não criaram verificações de OTR no computador que esteja usando.

Verificação manual

Verificação manual é útil se já recebeu a verificação do amigo e agora estão se conectando através do pidgin. Não será útil se seu amigo trocou de computador ou teve que criar outra verificação.

Se a verificação que recebeu e a verificação na tela são iguais, selecione “I have” (Tenho) e clique o botão “Authenticate”.

Pergunta e resposta

Verificação por pergunta e resposta é útil se conhecer seu amigo mas não criou segredo compartilhado nem trocou de verificações. Este método é útil para criar uma verificação com base em algo que os dois conhecem, como evento ou lembrança compartilhado.

Digite a pergunta que quer fazer. Não deixe muito fácil que alguém pode adivinhar, mas não deixe impossível. Um exemplo de uma boa pergunta seria “Onde fomos para jantar em Florianópolis?” Um exemplo de pergunta ruim seria “Da para comprar macas em Tóquio?”

Letra maiúscula importa, então talvez coloque em parêntese (por exemplo: use letra maiúscula, ou caixa baixo)

Digite a pergunta e responder e depois clique “Authenticate."

Abrira uma janela para seu amigo com a pergunta e pedindo a resposta.

Uma vez que o amigo conclui o processo de verificação, abrira uma janela informando que foi bem-sucedida a verificação.

O amigo também deve verificar a sua conta para que ambos tenham certeza que a comunicação está segura. Assim que deve aparecer para Akiko e Boris. Veja os ícones verdes “Private” no inferior direito da janela de bate-papo.

Trabalhando com outros softwares

Os mecanismos de verificação devem funcionar com diferentes softwares de bate-papo, como Jitsi, Pidgin, Adium, e Kopete. Você precisa usar o mesmo software de bate-papo via XMPP e OTR, mas as vezes há erros no software. Adium, um software de bate-papo para OS X, tem erro em usar verificação Pergunta e Resposta. Se não conseguir verificar pessoas usando a verificação Pergunta e Resposta, veja se estejam usando Adium e ver se pode usar outro método de verificação.

 

Last updated: 
2015-07-15
JavaScript license information