Руководство по OTR для Linux

Что такое OTR?

OTR (от англ. Off-the-record) – протокол, который позволяет людям вести конфиденциальные беседы с помощью уже знакомых им инструментов. Вот как OTR повышает уровень безопасности:

  • шифрует ваши чаты,
  • даёт возможность убедиться, что ваш собеседник именно тот, за кого себя выдаёт,
  • не позволяет серверу вести запись вашей беседы или получать к ней доступ иным способом.

Не путайте OTR с функцией Google под названием «Off the record», которая просто выключает запись чата, ничего не шифрует и не позволяет проверять личность собеседника.

Существует несколько вариантов использования OTR на Linux. В этом руководстве мы расскажем вам о том, как использовать плагин OTR для Pidgin. Pidgin – это популярная программа для обмена мгновенными сообщениями. Она доступна для многих дистрибутивов операционной системы Linux. Возможности программы могут быть расширены при помощи плагинов, которые, как правило, устанавливаются дополнительно.

Pidgin, программа для обмена мгновенными сообщениями, по умолчанию записывает чаты, но вы можете отключить запись. При этом у вас нет контроля над собеседником. Он может записывать разговор или делать скриншоты, даже если с вашей стороны запись выключена.

Зачем нужно использовать Pidgin вместе с OTR?

Если вы беседуете с помощью Google Hangouts или Facebook (соответственно, на сайтах Google или Facebook), ваш чат уже шифруется с помощью HTTPS. Иными словами, содержание чата защищено от злоумышленников и любых третьих лиц, пока информация в пути.  Но чат не защищён от Google или Facebook. Компании имеют шифровальные ключи для вашего чата и могут передать их властям или использовать их для маркетинговых целей.

После установки Pidgin вы можете войти в программу, используя несколько учётных записей одновременно (например, Google Hangouts, Facebook и XMPP). Pidgin позволяет общаться с помощью этих инструментов и без OTR. Защита OTR работает, только если оба собеседника используют эту технологию. Таким образом, даже если ваш собеседник не установил OTR, вы всё равно можете общаться с ним с помощью Pidgin.

Pidgin позволяет осуществлять верификацию собеседника по альтернативным каналам, чтобы подтвердить личность собеседника и избежать атаки посредника. Для каждого разговора можно увидеть отпечатки ключей – как вашего, так и собеседника. Отпечаток ключа – строка символов, которая выглядит примерно так: 342e 2309 bd20 0912 FF10 6c63 2192 1928. Отпечаток используется для проверки более длинного открытого ключа. Обменяйтесь вашими отпечатками по другому каналу связи (например, через личные сообщения Twitter или по электронной почте) и удостоверьтесь, что никто не мешает вашей беседе.

Когда нет смысла использовать Pidgin и OTR?

У специалистов есть термин для случая, когда программа или технология может быть уязвима для внешней атаки: «поверхность атаки». Pidgin имеет большую поверхность атаки. При написании этой сложной программы безопасность не ставили во главу угла. В программе почти наверняка есть ошибки. Некоторые из них могут быть использованы правительствами или даже крупными компаниями, чтобы проникнуть в компьютеры пользователей. Шифрование данных в Pidgin обеспечивает хороший уровень защиты от нецелевой слежки, то есть от попыток шпионить за всеми подряд. Если вы полагаете, что атака может быть направлена конкретно на вас и что злоумышленник обладает серьёзными ресурсами (например, на национальном уровне), следует рассмотреть более глубокие средства защиты, такие как PGP-шифрование электронной почты.

Получение и установка Pidgin и OTR

Программа Pidgin и плагин OTR работают на всех дистрибутивах Linux аналогичным образом, но есть и некоторые различия. Основное из них связано с поиском и установкой Pidgin и OTR. 

В представленном ниже примере мы использовали Mint 17 – дистрибутив, в котором Pidgin включён в состав предустановленных программ, а плагин OTR можно найти через Менеджер программ. С практически стопроцентной уверенностью можно предположить, что обе программы доступны в программном репозитории вашего дистрибутива: Центр приложений Ubuntu для Ubuntu, PackageKit для Redhat и Fedora, команда apt-get для Debian и так далее. Программный пакет Pidgin, как правило называется «pidgin», а плагина OTR – «pidgin-otr».

Интерфейс Pidgin может слегка отличаться от представленного на снимках экрана. Это зависит от используемого вами оконного менеджера для Linux.

Чтобы установить pidgin-otr (плагин OTR для Pidgin) в операционной системе Mint, запустите меню Mint и выберите значок «Software Manager».

Появится окно с запросом ввода пароля. Введите свой пароль и нажмите «OK».

Затем появится главное окно Менеджера программ.

Чтобы найти pidgin-otr в Менеджере программ, введите в поисковую строку «pidgin» и нажмите «Enter».

Двойным щелчком откройте запись «pidgin-otr», чтобы увидеть подробную информацию.

Нажмите «Install». Менеджер программ установит pidgin-otr. Процесс установки плагина будет визуально представлен строкой состояния, расположенной в нижней части окна. После завершения установки кнопка «Install» преобразуется в кнопку «Remove».

Настройка Pidgin

Откройте меню Mint и наведите мышь на пункт «Internet». Затем выберите из меню «Pidgin Internet Messenger».

Добавление учётной записи

При первом запуске Pidgin вы увидите окно приветствия с предложением добавить учётную запись. Так как учётная запись ещё не настроена, нажмите кнопку «Add»..

Окно «Add Account». Pidgin умеет работать со многими системами чата. Мы остановимся на XMPP, ранее известном как Jabber.

В поле «Protocol» выберите «XMPP»..

В поле «Username» введите своё имя пользователя XMPP .

В поле «Domain» введите домен вашего аккаунта XMPP.

В поле «Password» введите свой пароль XMPP..

Если отметить «Remember password», доступ к учётной записи станет проще. Помните, что с опцией «Remember password» пароль будет сохранен на компьютере. Таким образом, всякий, кто имеет доступ к вашему компьютеру, будет иметь доступ и к паролю. Если вы считаете это проблемой, не выбирайте данную опцию. Тогда вы будете вводить пароль XMPP при каждом запуске Pidgin.

Добавление контакта

Теперь добавим собеседника. Откройте меню «Buddies» и выберите «Add Buddy».  Появится соответствующее окно.

Теперь нужно ввести имя человека, с которым вы хотите общаться. Он необязательно должен быть на том же сервере, но должен использовать тот же протокол, например, XMPP.

В поле «Buddy's username» введите имя пользователя с именем домена. (Напоминает адрес электронной почты).

В поле «(Optional) Alias» можете ввести имя-синоним для вашего собеседника. Это не обязательно, но может помочь, если вам трудно запомнить учётную запись XMPP собеседника.

Нажмите кнопку «Add».

Как только вы нажали на кнопку «Add», Борис получит сообщение с просьбой разрешить вам добавить его аккаунт. Когда Борис подтвердит и добавит ваш аккаунт, вы получите такой же запрос. Нажмите кнопку «Authorize».

Настройка плагина OTR

Настроим плагин OTR для безопасного чата. В меню «Tools» выберите «Plugins»..

Перейдите к опции «Off-The-Record Messaging» и выберите её. Нажмите на «Off-The-Record Messaging», нажмите кнопку «Configure Plugin».

Вы увидите окно с настройками «Off-The-Record Messaging». Обратите внимание на фразу «No key present». Нажмите кнопку «Generate».

Откроется небольшое окно, и начнётся создание ключа. По завершении нажмите кнопку «OK».

Новая информация: строка из 40 символов (5 групп по 8 знаков). Это ваш отпечаток OTR. Нажмите кнопку «Close».

Нажмите кнопку «Закрыть» в окне плагинов.

Безопасное общение

Теперь вы и Борис можете отправлять сообщения друг другу. Однако это ещё не защищённый чат. Даже если вы подключились к серверу XMPP, ваши сообщения могут быть перехвачены. Обратите внимание на правый нижний угол окна чата. Видите красные слова «Not private»? Нажмите их..

В открывшемся окне выберите «Start private conversation».

Обратите внимание на жёлтую кнопку с надписью «Unverified». Не смотря на то, что ваша переписка сейчас зашифрована, возможно, злоумышленник осуществляет перехват вашей переписки посредством так называемой атаки посредника. Чтобы убедиться, что ваша переписка абсолютно защищена, вам необходимо проверить, действительно ли человек на другом конце «провода» – ваш контакт. Чтобы сделать это, нажмите на кнопку «Unverified».

В открывшемся окне выберите «Authenticate buddy».

Откроется окно с вопросом «How would you like to authenticate your buddy?»

Выпадающее меню даёт три варианта. Давайте их рассмотрим.

Общий секрет

Общий секрет – текстовая строка, которая заведомо известна вам и вашему собеседнику. Вам нужно договориться о такой строке лично и никогда не передавать её по незащищённым каналам связи, таким как электронная почта или Skype.

Вам и вашему собеседнику нужно ввести эту строчку и нажать кнопку «Authenticate».

Способ с общим секретом подходит, если вы со своим собеседником ранее договорились об общении в чате, но ещё не создали отпечатки OTR на используемых вами компьютерах.

Ручная проверка отпечатков

Ручная проверка отпечатков хороша, если на момент начала чата в Pidgin у вас уже есть отпечаток собеседника (и наоборот). Этот способ не сработает, если собеседник сменит компьютер или будет вынужден создать новый отпечаток.

Если полученный ранее отпечаток и тот отпечаток, который вы видите на экране, совпадают, выберите «I have» и нажмите кнопку «Authenticate».

Вопрос и ответ

Способ вопроса и ответа полезен, если вы знакомы с собеседником, но не договорились об общем секрете и не успели поделиться отпечатками. Проверка основана на каком-либо знании, которым обладаете вы оба, например, событии или воспоминании.

Введите желаемый вопрос. Не используйте банальные варианты, ответы на которые легко отгадать, но и не придумывайте чрезмерных сложностей. Пример хорошего вопроса: «Где мы ужинали, когда ездили в Мурманск?» Пример плохого вопроса: «Можно ли в Мурманске купить свежую сёмгу?»

Ответы должны в точности совпадать. Имейте это в виду при выборе вопроса. Регистр имеет значение, поэтому бывает полезно добавить пометку вроде «маленькими буквами».

Введите вопрос и ответ. Нажмите кнопку «Authenticate».

Ваш собеседник увидит вопрос. Он должен ответить и нажать кнопку «Authenticate». Затем он получит сообщение о том, правильно ли ответил.

Как только собеседник завершил процедуру аутентификации, вы получите окно с сообщением об этом.

Собеседнику нужно, в свою очередь, подтвердить ваш аккаунт. Тогда вы оба можете быть уверены, что пользуетесь безопасной связью. Вот как это выглядит на экране. Обратите внимание на зелёное «Private» в правой нижней части окна.

Другие программы

Механизмы проверки личности, в принципе, должны работать между различными программами, такими как Jitsi, Pidgin, Adium, Kopete. Вы не обязаны использовать одну и ту же программу с функционалом XMPP и OTR. Но иногда в программах случаются ошибки. В чат-программе Adium для OS X имеется проблема со способом вопроса и ответа. Если окажется, что этот метод не работает, выясните, не работает ли ваш собеседник в программе Adium, и попробуйте другой метод проверки.

 

Последнее обновление: 
2015-07-15
JavaScript license information