Руководство по OTR для Windows

OTR (от англ. Off-the-record) – протокол, позволяющий пользователям служб обмена мгновенными сообщениями и чатов вести конфиденциальную переписку. Из этого руководства вы узнаете о том, как пользоваться OTR в чат-клиенте Pidgin, программе с открытым исходным кодом для ОС Windows.

Что такое OTR? Anchor link

OTR (от англ. Off-the-record) – протокол, который позволяет людям вести конфиденциальные беседы с помощью уже знакомых им инструментов. Вот как OTR повышает уровень безопасности:

  • шифрует ваши чаты,
  • дает возможность убедиться, что ваш собеседник именно тот, за кого себя выдает,
  • не позволяет серверу вести запись вашей беседы или получать к ней доступ иным способом.

Не путайте OTR с функцией Google под названием «Off the record», которая просто выключает запись чата, ничего не шифрует и не позволяет проверять личность собеседника. OTR можно использовать в Microsoft Windows разными способами. Мы рассматриваем наиболее последовательный и простой инструмент: чат-клиент Pidgin с плагином OTR.

Pidgin – программа для обмена мгновенными сообщениями для Windows. По умолчанию Pidgin записывает чаты, но вы можете отключить запись. При этом у вас нет контроля над собеседником. Он может записывать разговор или делать скриншоты, даже если с вашей стороны запись выключена.

Зачем нужно использовать Pidgin вместе с OTR? Anchor link

Если вы беседуете с помощью Google Hangouts или Facebook (соответственно, на сайтах Google или Facebook), ваш чат уже шифруется с помощью HTTPS. Иными словами, содержание чата защищено от злоумышленников и любых третьих лиц, пока информация в пути. Но чат не защищён от Google или Facebook. Компании имеют шифровальные ключи для вашего чата и могут передать их властям или использовать их для маркетинговых целей.

После установки Pidgin вы можете войти в программу, используя несколько учётных записей одновременно (например, Google Hangouts, Facebook и XMPP). Pidgin позволяет общаться с помощью этих инструментов и без OTR. Защита OTR работает, только если оба собеседника используют эту технологию. Таким образом, даже если ваш собеседник не установил OTR, вы всё равно можете общаться с ним с помощью Pidgin.

Pidgin позволяет осуществлять верификацию собеседника по альтернативным каналам, чтобы подтвердить личность собеседника и избежать атаки посредника. Для каждого разговора можно увидеть отпечатки ключей – как вашего, так и собеседника. Отпечаток ключа – строка символов, которая выглядит примерно так: 342e 2309 bd20 0912 FF10 6c63 2192 1928. Отпечаток используется для проверки более длинного открытого ключа. Обменяйтесь вашими отпечатками по другому каналу связи (например, через личные сообщения Twitter или по электронной почте) и удостоверьтесь, что никто не мешает вашей беседе.

Когда нет смысла использовать Pidgin и OTR? Anchor link

У специалистов есть термин для случая, когда программа или технология может быть уязвима для внешней атаки: «поверхность атаки». Pidgin имеет большую поверхность атаки. При написании этой сложной программы безопасность не ставили во главу угла. В программе почти наверняка есть ошибки. Некоторые из них могут быть использованы правительствами или даже крупными компаниями, чтобы проникнуть в компьютеры пользователей. Шифрование данных в Pidgin обеспечивает хороший уровень защиты от нецелевой слежки, то есть от попыток шпионить за всеми подряд. Если вы полагаете, что атака может быть направлена конкретно на вас и что злоумышленник обладает серьёзными ресурсами (например, на национальном уровне), следует рассмотреть более глубокие средства защиты, такие как PGP-шифрование электронной почты.

Получение Pidgin Anchor link

Pidgin для Windows можно скачать с загрузочной страницы Pidgin.

Нажмите пункт меню «Download» (фиолетового цвета). Не нажимайте зелёную кнопку «Download Now», потому что нам понадобится другой установочный файл. Вы попадёте на страницу загрузки.

Здесь также не стоит нажимать зелёную кнопку «Download Now», нам нужен другой установочный файл. По умолчанию файл-установщик Pidgin невелик: он не содержит всю информацию, а загружает файлы из сети. Не всегда это проходит гладко. Поэтому мы выберем офлайновый установщик, который содержит все необходимые данные. Нажмите ссылку «offline installer». Вы попадете на новую страницу под названием «Sourceforge». Через несколько секунд в маленьком всплывающем окне появится вопрос, хотите ли вы сохранить файл.

На собственной странице загрузки Pidgin использует HTTPS, что относительно защищает от несанкционированного доступа. Но страница SourceForge, на которую вас переадресуют, будет показана по HTTP – без шифрования и какой-либо защиты. Значит, программа может быть изменена прежде, чем вы загрузите ее на свой компьютер.

Эта угроза, в целом, проистекает из двух источников. Первый – тот, кто имеет доступ к локальной инфраструктуре интернета и пытается целенаправленно шпионить за вами (например, если злоумышленник предоставляет доступ к интернету по Wi-Fi). Второй источник – государственные органы, которые могут распространять сомнительные с точки зрения безопасности программы широкому кругу пользователей. Браузерное расширение HTTPS Everywhere умеет подставлять HTTPS вместо HTTP (в том числе для Sourceforge). Мы рекомендуем установить HTTPS Everywhere перед тем, как загружать любые другие программы из интернета. Кроме того, как следует из нашего опыта, Sourceforge часто вставляет на свои страницы большие рекламные объявления; они путают читателей, и те рискуют установить то, что не хотели. Перед тем, как скачивать программы, можно установить блокировщик рекламы. Это поможет избавиться от объявлений и не стать жертвой путаницы. Вспомните о своей модели угроз перед тем, как загрузить файл с незащищенного веб-сайта.

Многие браузеры попросят вас подтвердить загрузку файла. Internet Explorer 11 отображает индикатор в нижней части окна браузера в оранжевой рамке.

Каким браузером вы бы ни пользовались, лучше сначала сохранить файл, поэтому нажмите кнопку «Save». По умолчанию большинство браузеров сохраняет загруженные файлы в папке «Downloads».

Получение OTR Anchor link

Вы можете загрузить pidgin-otr (плагин OTR для Pidgin) с этой страницы.

Выберите в меню «Downloads». Откроется соответствующий раздел сайта. Нажмите ссылку «Win32 installer for pidgin».

Многие браузеры попросят вас подтвердить загрузку файла. Internet Explorer 11 отображает индикатор в нижней части окна браузера в оранжевой рамке.

Каким браузером вы бы ни пользовались, лучше сначала сохранить файл, поэтому нажмите кнопку «Save». По умолчанию, большинство браузеров сохраняет загруженные файлы в папке «Downloads».

После загрузки Pidgin и pidgin-otr в папке «Downloads» появятся два новых файла:

Установка Pidgin Anchor link

В «Проводнике» Windows дважды щёлкните по файлу pidgin-2.10.9-offline.exe. Вас попросят подтвердить установку программы. Нажмите кнопку «Yes».

Возникнет небольшое окно с просьбой выбрать язык. Сделайте это и нажмите кнопку «OK».

В следующем окне – краткий обзор процесса установки. Нажмите кнопку «Next».

Теперь черёд лицензии. Нажмите «Next».

Список устанавливаемых компонентов. Не изменяйте ничего, нажмите кнопку «Next».

Выбор папки для установки Pidgin. Не изменяйте ничего, нажмите кнопку «Next».

В следующем окне информация прокручивается до появления фразы «Installation Complete». Нажмите кнопку «Next».

Наконец, последнее окно программы установки Pidgin. Нажмите кнопку «Finish».

Установка pidgin-otr Anchor link

Вернитесь в «Проводник» Windows и дважды щелкните по файлу pidgin-otr-4.0.0-1.exe. Имя файла используется в этом модуле может не обязательно совпадают, что вы видите на вашем компьютере. Вас попросят подтвердить установку программы. Нажмите кнопку «Yes».

Краткий обзор процесса установки. Нажмите кнопку «Next».

Окно с информацией о лицензии. Нажмите кнопку «I Agree».

Выбор папки для установки pidgin-otr. Не изменяйте ничего, нажмите кнопку «Install».

Последнее окно программы установки pidgin-otr. Нажмите кнопку «Finish».

Настройка Pidgin Anchor link

В меню «Пуск» выберите «Pidgin».

Добавление учётной записи Anchor link

При первом запуске Pidgin вы увидите окно приветствия с предложением добавить учётную запись. Так как учётная запись ещё не настроена, нажмите кнопку «Add».

Окно «Add Account». Pidgin умеет работать со многими системами чата. Мы остановимся на XMPP, ранее известном как Jabber.

В поле «Protocol» выберите «XMPP».

В поле «Username» введите своё имя пользователя XMPP.

В поле «Domain» введите домен вашего аккаунта XMPP.

В поле «Password» введите свой пароль XMPP.

Если отметить «Remember password», доступ к учётной записи станет проще. Помните, что с опцией «Remember password» пароль будет сохранен на компьютере. Таким образом, всякий, кто имеет доступ к вашему компьютеру, будет иметь доступ и к паролю. Если вы считаете это проблемой, не выбирайте данную опцию. Тогда вы будете вводить пароль XMPP при каждом запуске Pidgin.

Добавление контакта Anchor link

Теперь добавим собеседника. Откройте меню «Buddies» и выберите «Add Buddy». Появится соответствующее окно.

Теперь нужно ввести имя человека, с которым вы хотите общаться. Он необязательно должен быть на том же сервере, но должен использовать тот же протокол, например, XMPP.

В поле «Buddy's username» введите имя пользователя с именем домена. (Напоминает адрес электронной почты).

В поле «(Optional) Alias» можете ввести имя-синоним для вашего собеседника. Это не обязательно, но может помочь, если вам трудно запомнить учетную запись XMPP собеседника.

Нажмите кнопку «Add».

Как только вы нажали на кнопку «Add», Борис получит сообщение с просьбой разрешить вам добавить его аккаунт. Когда Борис подтвердит и добавит ваш аккаунт, вы получите такой же запрос. Нажмите кнопку «Authorize».

Настройка плагина OTR Anchor link

Настроим плагин OTR для безопасного чата. В меню «Tools» выберите «Plugins».

Перейдите к опции «Off-The-Record Messaging» и выберите её. Нажмите на «Off-The-Record Messaging», нажмите кнопку «Configure Plugin».

Вы увидите окно с настройками «Off-The-Record Messaging». Обратите внимание на фразу «No key present». Нажмите кнопку «Generate».

Откроется небольшое окно, и начнётся создание ключа. По завершении нажмите кнопку «OK».

Новая информация: строка из 40 символов (5 групп по 8 знаков). Это ваш отпечаток OTR. Нажмите кнопку «Close».

Нажмите кнопку «Закрыть» в окне плагинов.

Безопасное общение Anchor link

Теперь вы и Борис можете отправлять сообщения друг другу. Однако это ещё не защищённый чат. Даже если вы подключились к серверу XMPP, ваши сообщения могут быть перехвачены. Обратите внимание на правый нижний угол окна чата. Видите красные слова «Not private»? Нажмите их.

В открывшемся окне выберите «Authenticate buddy».

Откроется окно с вопросом «How would you like to authenticate your buddy?»

Выпадающее меню даёт три варианта. Давайте их рассмотрим.

Общий секрет Anchor link

Общий секрет – текстовая строка, которая заведомо известна вам и вашему собеседнику. Вам нужно договориться о такой строке лично и никогда не передавать её по незащищённым каналам связи, таким как электронная почта или Skype.

Вам и вашему собеседнику нужно ввести эту строчку и нажать кнопку «Authenticate».

Способ с общим секретом подходит, если вы со своим собеседником ранее договорились об общении в чате, но ещё не создали отпечатки OTR на используемых вами компьютерах. Это работает, только если вы оба используете Pidgin.

Ручная проверка отпечатков Anchor link

Ручная проверка отпечатков хороша, если на момент начала чата в Pidgin у вас уже есть отпечаток собеседника (и наоборот). Этот способ не сработает, если собеседник сменит компьютер или будет вынужден создать новый отпечаток.

Если полученный ранее отпечаток и тот отпечаток, который вы видите на экране, совпадают, выберите «I have» и нажмите кнопку «Authenticate».

Вопрос и ответ Anchor link

Способ вопроса и ответа полезен, если вы знакомы с собеседником, но не договорились об общем секрете и не успели поделиться отпечатками. Проверка основана на каком-либо знании, которым обладаете вы оба, например, событии или воспоминании. Это работает, только если вы оба используете Pidgin.

Введите желаемый вопрос. Не используйте банальные варианты, ответы на которые легко отгадать, но и не придумывайте чрезмерных сложностей. Пример хорошего вопроса: «Где мы ужинали, когда ездили в Мурманск?» Пример плохого вопроса: «Можно ли в Мурманске купить свежую сёмгу?»

Ответы должны в точности совпадать. Имейте это в виду при выборе вопроса. Регистр имеет значение, поэтому бывает полезно добавить пометку вроде «маленькими буквами».

Введите вопрос и ответ. Нажмите кнопку «Authenticate».

Ваш собеседник увидит вопрос. Он должен ответить и нажать кнопку «Authenticate». Затем он получит сообщение о том, правильно ли ответил.

Как только собеседник завершит процедуру аутентификации, вы получите окно с сообщением об этом.

Собеседнику нужно, в свою очередь, подтвердить ваш аккаунт. Тогда вы оба можете быть уверены, что пользуетесь безопасной связью. Вот как это выглядит на экране. Обратите внимание на зелёное «Private» в правой нижней части окна.

Другие программы Anchor link

Механизмы проверки личности, в принципе, должны работать между различными программами, такими как Jitsi, Pidgin, Adium, Kopete. Вы не обязаны использовать одну и ту же программу с функционалом XMPP и OTR. Но иногда в программах случаются ошибки. В чат-программе Adium для OS X имеется проблема со способом вопроса и ответа. Если окажется, что этот метод не работает, выясните, не работает ли ваш собеседник в программе Adium, и попробуйте другой метод проверки.

Последнее обновление: 
2015-02-10
This page was translated from English. The English version may be more up-to-date.
JavaScript license information