Como utilizar OTR para Windows

O OTR (Off-the-record) é um protocolo que permite que usuários de programas de mensagens instantâneas ou de ferramentas de chat tenham conversas confidenciais. Neste guia, você aprenderá como utilizar o OTR utilizando o Pidgin, um programa de mensagens instantâneas para PC com Windows.

O que é o OTR? Anchor link

O OTR (Off-the-record) é um protocolo que permite que pessoas tenham conversas confidenciais utilizando a ferramenta de mensagens que já lhes é familiar. O OTR fornece esta segurança por meio de:

  • criptografar os seus chats
  • dar a você uma forma de garantir que a pessoa com quem você está conversando é realmente a pessoa que você acredita ser
  • impossibilitar o servidor de registrar ou mesmo acessar suas conversas

Isso não deve ser confundido com o “Off the record” do Google, que simplesmente desativa o registro do chat e não tem capacidades de verificação e criptografia. Apesar de existirem várias maneiras de utilizar o OTR no Microsoft Windows, acreditamos que a ferramenta mais consistente e fácil de usar é o chat Pidgin com o plug-in pidgin-otr.

O cliente de mensagens instantâneas Pidgin para PC com Windows registra automaticamente as conversas por padrão, porém você tem a possibilidade de desativar essa característica. No entanto, você não tem controle sobre a pessoa com quem está conversando. Ela pode registrar ou fazer capturas de tela da sua conversa, mesmo que esteja com o registro desativado.

Porque devo utilizar o Pidgin com o OTR? Anchor link

Quando você faz um chat utilizando o Google Hangouts ou o chat do Facebook pelos respectivos websites, esse chat é criptografado utilizando o HTTPS, que significa que o conteúdo do seu chat está protegido de hackers e demais terceiros enquanto estiver em trânsito. Porém, ele não está protegido do Google nem do Facebook, que têm as chaves das suas conversas e podem entregá-las às autoridades u utilizá-los para fins de marketing.



Após instalar o Pidgin, você pode fazer login nele utilizando várias contas ao mesmo tempo. Você pode utilizar, por exemplo, o Google Hangouts, o Facebook e o XMPP simultaneamente. O Pidgin permite também chats utilizando essas ferramentas sem o OTR. O OTR só funciona se ambas as pessoas o estiverem utilizando, mas se a outra pessoa não o tem instalado, ainda lhe será possível conversar com ela utilizando o Pidgin.



O Pidgin permite também a verificação fora de banda para garantir que você esteja conversando com a pessoa que você pensa estar e não sendo vítima do ataque de intrusos (do inglês MITM - man-in-the-middle attack). Para cada conversa, há uma opção que lhe mostrará a chave de autenticação digital correspondente para você e para a pessoa com quem está conversando. Uma “chave de autenticação digital” (do inglês “key fingerprint”) é um conjunto de caracteres como "342e 2309 bd20 0912 ff10 6c63 2192 1928”, que é utilizado para verificar uma chave pública mais longa. Troque suas senhas através de outro canal de comunicação, tais como o Twitter DM ou o e-mail, para garantir que ninguém está interferindo em suas conversas.

Limitações: Quando não devo utilizar o Pidgin com o OTR? Anchor link

Os técnicos têm um termo para descrever quando um programa ou tecnologia pode ser vulnerável contra ataques externos: eles dizem que tem uma grande “superfície de ataque”. O Pidgin tem uma grande superfície de ataque. Ele é um programa complexo, que não foi escrito tendo a segurança como uma prioridade. Ele certamente contém bugs, alguns dos quais podem ser utilizados por governos ou mesmo por grandes empresas para invadir computadores. Utilizar o Pidgin para criptografar as suas conversas é uma ótima defesa contra ataques de vigilância não pessoais que são utilizados para espionar as conversas pela Internet de todo mundo. Porém, se você suspeita que pessoalmente seja alvo de um invasor com bons recursos (como um governo), é preciso que considere precauções maiores, como utilizar criptografia PGP de e-mail.

Obtendo o Pidgin Anchor link

Você pode obter o Pidgin para o Windows fazendo o download do instalador a partir da página de download do Pidgin

Clique na guia violeta DOWNLOAD. Não clique no botão “Download Now”, pois você vai preferir selecionar um instalador diferente. Você será levado para a página de download.

Não clique no botão “Download Now”, pois queremos selecionar um arquivo instalador diferente. O instalador padrão do Pidgin é pequeno, pois não contém todas as informações e arquivos de download para você. Algumas vezes ele falha, portanto você terá uma experiência melhor com o "offline installer” (instalador off-line), que contém todo o material de instalação necessário. Clique no link “offline installer". Você será levado a uma nova página chamada “Sourceforge” e, depois de alguns segundos, um pequeno pop-up lhe perguntará se quer salvar um arquivo.

Observe que, enquanto a página de download do Pidgin utiliza "HTTPS" e é, portanto, relativamente segura contra adulteração, o Sourceforge, que é o site utilizado para fazer download da versão para Windows do Pidgin, utiliza o "HTTP" sem criptografia e, portanto, não oferece nenhuma proteção. Isso significa que o software do qual fizer download poderia estar adulterado antes de você fazer seu download.

Este risco viria principalmente de qualquer pessoa com acesso à infraestrutura local da Internet tentando vigiá-lo (por exemplo, um provedor de hot-spot malicioso), ou de um governo planejando distribuir um software comprometido para muitos usuários. A extensão HTTPS Everywhere pode reescrever as URLs de download do Sourceforge para HTTPS, e portanto, é recomendado que você instale previamente o HTTPS Everywhere antes de fazer download de qualquer outro software. Adicionalmente, na nossa experiência, frequentemente o Sourceforge tem nas suas páginas de download anúncios de página inteira que podem confundir as pessoas para instalar algo que não querem. Você pode instalar um bloqueador de anúncios antes de qualquer outro software para evitar esses anúncios que confundem. Lembre-se de pensar no seu modelo de ameaça antes de fazer download de arquivos a partir de sites sem proteção.

Muitos navegadores solicitarão que você confirme se deseja fazer download deste arquivo. O Internet Explorer 11 mostra uma barra na parte inferior da janela do navegador com uma borda laranja.

Seja qual for o navegador, é melhor salvar o arquivo primeiro antes de prosseguir, portanto, clique no botão "Salvar". Por padrão, a maioria dos navegadores salva esses arquivos na pasta “Downloads”.

Obtendo o OTR Anchor link

Você pode obter o otr-pidgin, um plug-in do Pidgin, fazendo download do instalador na página de download do OTR.

Clique na guia “Downloads” para ir para a seção “Downloads” da página. Clique no link “Win32 installer for pidgin” (instalador Win32 para o pidgin).

Muitos navegadores solicitarão que você confirme se deseja fazer download deste arquivo. O Internet Explorer 11 mostra uma barra na parte inferior da janela do navegador com uma borda laranja.

Seja qual for o navegador, é melhor salvar o arquivo primeiro antes de prosseguir, portanto, clique no botão "Salvar". Por padrão, a maioria dos navegadores salva esses arquivos na pasta “Downloads”.

Depois de fazer download do Pidgin e do pidgin-otr, você deverá ter dois novos arquivos na sua pasta “Downloads”:

Instalando o Pidgin Anchor link

Mantenha a janela do Windows Explorer aberta e clique duas vezes em pidgin-2.10.9-offline.exe. O nome do arquivo usado neste módulo podem não necessariamente coincidir com o que você vê em seu próprio computador. Você será questionado se deseja permitir a instalação deste programa. Clique no botão “Sim”.

Uma pequena janela pedindo que você selecione um idioma se abrirá. Clique no botão “OK”.

Uma janela com uma visão geral do processo de instalação se abrirá. Clique no botão “Próximo”.

Você terá agora uma visão geral da licença. Clique no botão “Próximo”.

Então, você verá os diferentes componentes que serão instalados. Não altere as configurações. Clique no botão “Próximo”.

Você verá agora onde o Pidgin será instalado. Não altere essas informações. Clique no botão “Próximo”.

Você verá agora uma janela com um texto rolando até que apareça “Installation Complete”. Clique no botão “Próximo”.

Por fim, você verá a última janela do instalador do Pidgin. Clique no botão “Finalizar”.

Instalando o pidgin-otr Anchor link

Volte para a janela do Windows Explorer e abra-o clicando duas vezes sobre o arquivo pidgin-otr-4.0.0-1.exe. Você será questionado se quer permitir a instalação deste programa. Clique no botão “Sim”.

Uma janela com uma visão geral do processo de instalação se abrirá. Clique no botão “Próximo”.

Você terá agora uma visão geral da licença. Clique no botão “I Agree” (“Concordo”).

Você verá onde o pidgin-otr será instalado. Não altere estas informações. Clique no botão “Instalar”.

Por fim, você verá a última janela do instalador do pidgin-otr. Clique no botão “Finalizar”.

Configurando o Pidgin Anchor link

Vá para o menu Start, clique no ícone Windows, e selecione Pidgin a partir do menu.

Adicionando uma conta Anchor link

Quando iniciar o Pidgin pela primeira vez, você verá esta janela de boas-vindas com a opção de adicionar uma conta. Como você ainda não tem uma conta configurada, clique no botão “Add” (“Adicionar”)

Você verá, então, a janela de “Add Account” (“Adicionar Conta”). O Pidgin pode funcionar com muitos sistemas de chats, mas nos concentraremos no XMPP, anteriormente conhecido como Jabber.



No campo Protocol (Protocolo), selecione a opção “XMPP”.



No campo Username (Nome de Usuário) digite o seu nome de usuário do XMPP



No campo Domain (Domínio), digite o domínio da sua conta do XMPP.



No campo Password (Senha) digite a sua senha do XMPP

Marcar a caixa de verificação “Remember password” (Lembrar senha) lhe permitirá acessar facilmente a sua conta. Esteja ciente de que, clicando em “Remember password” ("Lembrar senha"), sua senha será salva no computador, tornando-a acessível a qualquer um que possa eventualmente acessar o seu computador. Deixe esta caixa desmarcada, se isso for para você uma preocupação. Você precisará, então, digitar a senha da sua conta do XMPP toda vez que iniciar o Pidgin.

Adicionando um amigo Anchor link

Agora, você vai querer adicionar alguém para conversar. Clique o menu “Buddies” (“Amigos”) e selecione “Add Buddy” (“Adicionar Amigo”). Uma janela para “Add Buddy” (“Adicionar Amigo”) se abrirá.

Digite nesta janela o nome de usuário da pessoa com quem você quer conversar. Este outro usuário não precisa estar no mesmo servidor, mas precisa utilizar o mesmo protocolo, tal como o XMPP.



Digite o nome de usuário do seu amigo com o nome de domínio no campo do “Buddy's username” (“Nome de usuário do amigo”). Este nome de usuário se parecerá com um endereço de e-mail.



Você pode digitar um nome de sua escolha, como um apelido para o seu amigo, no campo “(Optional) Alias” (“Apelido (opcional)”). Isso é totalmente opcional, mas pode ajudá-lo, caso a conta XMPP de uma pessoa com quem você está conversando seja difícil de lembrar.



Clique no botão “Add” (“Adicionar”).

Assim que clicar no botão “Add”, seu amigo Boris receberá uma mensagem perguntando se autoriza que a adicioná-lo. Assim que o Boris autorizar, ele o adiciona à sua conta e você receberá a mesma solicitação. Clique no botão “Authorize” (“Autorizo”).

Configurando o Plug-in OTR Anchor link

Você configurará agora o plug-in do OTR para poder conversar com segurança. Clique no menu “Tools” (“Ferramentas”) e selecione a opção “Plugins” (“Plug-ins”).

Role para a opção “Off-the-Record Messaging” (“Mensagens sem registro”), e marque a caixa. Clique no campo “Off-the-Record Messaging” (“Mensagens sem registro”) e clique no botão “Configure Plugin” (“Configurar Plug-in”).

Você verá agora a janela de configuração de “Off-the-Record Messaging” (“Mensagens sem registro”). Note que ela diz “No key present” (“Chave ausente”). Clique no botão “Generate” (“Gerar”).

Agora, uma pequena janela se abrirá e gerará uma chave. Quando ela for gerada, clique no botão “OK”.

Você verá uma nova informação: um conjunto de 40 caracteres ou texto, seccionado em cinco grupos de oito caracteres. Este é a sua autenticação digital do OTR. Clique no botão “Close” (“Fechar”).

Clique agora no botão “Close” (“Fechar”) na janela Plug-ins.

Conversando com segurança Anchor link

Você pode, agora, conversar com o Boris. Ambos podem enviar e receber mensagens. Porém, ainda não estão conversando com segurança. Mesmo que esteja conectado ao servidor XMPP, é possível que a conexão entre você e o Boris não esteja segura contra interceptação. Se olhar para a janela do chat, notará a inscrição “Not private” (“Sem privacidade”) em vermelho na parte inferior direita. Clique no botão “Not private” (“Sem privacidade”).

Ao abrir um menu, selecione “Authenticate buddy” (“Autenticar amigo”).

Uma janela se abrirá. Você será questionado: “How would you like to authenticate your buddy?” (“Como você gostaria de autenticar o seu amigo?”)



A lista suspensa lhe dará três opções:

Segredo compartilhado Anchor link

Um segredo compartilhado é uma linha de texto que você e a pessoa com quem quer conversar combinaram utilizar anteriormente. Você deve ter compartilhado esse segredo pessoalmente e nunca tê-lo mencionado através de canais inseguros, seja via e-mail ou pelo Skype.



Você e seu amigo precisam digitar esse texto juntos. Clique no botão “Authenticate” (“Autenticar”).

A verificação do segredo compartilhado é útil se você e seu amigo já combinaram conversar no futuro, mas ainda não criaram autenticações digitais OTR no computador que estão utilizando. Isso só funciona se ambos estão usando o Pidgin.

Verificação manual da autenticação digital Anchor link

A verificação da autenticação digital manual é útil se você já recebeu a autenticação digital do seu amigo e, agora, estão se conectando com o Pidgin. Isso não será útil se o seu amigo trocar de computador ou tiver que criar novas digitais.



Se a digital que recebeu combina com a digital da tela, selecione “I have” (“Eu tenho”) e clique no botão “Authenticate” (“Autenticar”).

Perguntas e Respostas Anchor link

A verificação de pergunta e resposta é útil se você conhece seu amigo, mas não estabeleceu um segredo compartilhado nem teve a chance de compartilhar digitais. Este método é útil para fazer a verificação com base em algo que ambos sabem, como um evento compartilhado ou uma recordação. Isso só funciona se ambos estão usando o Pidgin.



Digite a pergunta que quer fazer. Não pergunte algo simples que alguém possa adivinhar facilmente, mas também que não pergunte algo impossível de responder. Um bom exemplo seria “Onde fomos jantar em Minneapolis?” E o exemplo de uma pergunta ruim seria “Você pode comprar maçãs em Tóquio?”

As respostas devem corresponder com exatidão, portanto, tenha isso em mente ao escolher uma resposta para sua pergunta. Maiúsculas e minúsculas fazem diferença, portanto você deve considerar colocar uma observação entre parênteses (como por exemplo: utilize maiúsculas e minúsculas).



Digite a pergunta e a resposta e clique no botão “Authenticate” (“Autenticar”).

O seu amigo terá uma janela aberta com a pergunta exibida solicitando uma resposta. Ele terá que responder e clicar no botão “Authenticate” (“Autenticar”).Ele receberá então uma mensagem informando se a autenticação foi bem-sucedida.

Assim que o seu amigo concluir o procedimento de autenticação, você receberá uma janela informando que a autenticação foi bem-sucedida.

Seu amigo deve também verificar a sua conta e, assim, ambos terão a certeza de que a comunicação é segura. Aqui está como ficaria para a Akiko e o Boris. Note os ícones “Private” (“Privado”) em verde na parte inferior direita da janela do chat.

Trabalhando com outros softwares Anchor link

Os mecanismos para verificar a autenticidade devem funcionar entre diferentes softwares de chat como o Jitsi, o Pidgin, o Adium e o Kopete. Não é necessário que você utilize o mesmo software de chat sobre o XMPP ou o OTR, mas, por vezes, há erros nos softwares. O Adium, um software para o OS X, apresenta um erro ao receber uma verificação de Pergunta e Resposta. Se ocorrerem falhas durante a verificação de Pergunta e Resposta, verifique se eles estão utilizando o Adium e se você pode empregar outro método de verificação.

Last reviewed: 
2015-02-10
A versão em Inglês pode estar mais atualizada.
JavaScript license information