Playlist
  • Безопасность в интернете – ваш конёк?

    Советы для продвинутых помогут повысить ваш уровень.

    Поздравляем! Вы уже предприняли меры, чтобы повысить безопасность своих онлайновых коммуникаций. Хотите перейти на новый уровень? Этот урок вам поможет. Вы научитесь оценивать риски, проверять личности тех, с кем поддерживаете связь в интернете, и сможете добавить что-то новенькое в свою коллекцию инструментов.

  • Оценка рисков

    В постоянных попытках защитить все свои данные сразу от всех людей в мире, вы рискуете потратить свои силы и время впустую. Однако, не стоит расстраиваться! Обеспечение безопасности данных – это процесс, в котором вы, тщательно обдумав план действий, непременно найдёте подходящее решение. Безопасность зависит не столько от количества используемых вами инструментов или скачанных программ, сколько от понимания с какими именно угрозами вы сталкиваетесь и что конкретно может вам помочь в борьбе с этими угрозами.

    IВ частности, угроза компьютерной безопасности – это потенциально возможное событие, которое может подвергнуть опасности сохранность или конфиденциальность ваших данных. Вы сможете успешно противостоять подобным угрозам, осознав, что конкретно вам нужно защитить и от кого именно. Данный процесс называется «моделирование угроз».

    С помощью настоящего руководства вы научитесь моделировать угрозы – оценивать риски, которым может быть подвержена ваша цифровая информация. Также вы узнаете, как определить наилучшие способы противодействия угрозам, которые подойдут именно в вашем случае.

    Так как же производится моделирование угроз? Например, если вам необходимо организовать защиту своего дома и имущества, то вам придется задать самому себе несколько вопросов:

    Что в моем доме нуждается в защите?

    • Это могут быть драгоценности, электроника, финансовые документы, паспорта или фотографии.

    От кого я хочу это все защитить?

    • Злоумышленниками могут быть воры, соседи по комнате или гости.

    Какова вероятность того, что мне придется защищать свое имущество?

    • Соседей обворовывали в недавнем прошлом? Могу ли я доверять своим соседям и гостям? Каковы возможности потенциальных злоумышленников? Какие риски я должен принять во внимание?

    Насколько серьёзны будут последствия неудачи при защите имущества?

    • • Найдутся ли у меня время и деньги на замену утраченного имущества? Какое имущество я не смогу заменить вовсе? Имеется ли страховка на случай если моё имущество будет украдено?

    На что я готов пойти для того чтобы избежать подобных последствий?

    • Хочу ли я купить сейф для важных документов? Могу ли я позволить себе покупку высококачественного замка? Найду ли время арендовать ячейку в банке для хранения ценностей??

    Как только вы ответите на эти вопросы, вы сможете оценить меры, которые следует принять. Если ваше имущество ценно, но риск кражи невелик, то вы, скорее всего, не захотите потратить слишком много денег на покупку замка. Однако, если этот риск велик, то вы не только купите наилучший замок, но и задумаетесь об установке охранной сигнализации.

    Построение модели угроз поможет вам лучше понять те риски, с которыми вы можете столкнуться и оценить возможность их возникновения. Также это поможет вам определить ценность имущества и потенциальных злоумышленников, равно как и их возможности.

    Что такое моделирование угроз и с чего мне начать? Anchor link

    Моделирование угроз поможет вам выявить угрозу ценным для вас вещам и определить, от кого именно эта угроза исходит. При построении модели угроз, ответьте на следующие вопросы:

    1. Что я хочу защитить?
    2. От кого мне нужно это защитить?
    3. Что случиться плохого если мне не удастся это защитить?
    4. Какова вероятность того, что мне придется это защищать?
    5. На что я готов пойти, чтобы предотвратить потенциальные последствия

    Давайте подробно разберем каждый из этих вопросов.

    Что я хочу защитить?

    «Ресурс» - это нечто, что вам дорого и что вы хотели бы защитить. В контексте цифровой безопасности ресурсом является некая информация. Например, текст ваших сообщений электронной почты, список ваших контактов, сообщения мессенджеров, ваше местоположение и файлы. Ваше устройство также может быть ресурсом.

    Составьте список ваших ресурсов: данных, которые вы храните; мест, где они находятся; людей, имеющих к ним доступ; и того, что предотвращает несанкционированный доступ к этим данным.

    От кого мне нужно это защитить?

    Для ответа на этот вопрос важно определить тех, кто может быть нацелен на получение доступа к вашим ресурсам. Личности или организации, представляющие угрозу сохранности и конфиденциальности ваших ресурсов, являются злоумышленниками. Например, потенциальными злоумышленниками могут быть как ваш начальник, бывший партнер или конкурент в бизнесе, так и правительственные учреждения или хакер в общедоступной сети.

    Составьте список злоумышленников, или тех, кто хотел бы заполучить ваши ресурсы. В вашем списке могут оказаться как частные лица, так и правительственные организации или корпорации.

    В зависимости от того, кто станет злоумышленником в вашем случае, данный список вы, возможно, захотите уничтожить сразу после создания своей модели угроз.

    Что случится плохого если мне не удастся это защитить?

    Множеством способов злоумышленник может создать угрозу сохранности или конфиденциальности ваших данных. Например, он может прочитать вашу частную переписку при передаче через телекоммуникационную сеть, а также повредить или даже удалить ваши данные.

    Мотивы злоумышленников могут быть очень разными, как и их способы атак на ваши данные. Правительство, например, может попытаться предотвратить распространение видео, на котором запечатлён полицейский беспредел, просто удалив его или существенно снизив его доступность. А политические оппоненты могут постараться заполучить в тайне от вас некие секретные данные и опубликовать их.

    Моделирование угроз включает в себя также и осознание последствий в случае, если злоумышленник всё-таки получит доступ к вашим данным или ресурсам. Для определения последствий вам необходимо принять во внимание потенциал злоумышленников. Оператор сотовой связи, например, имеет доступ ко всем вашим телефонным разговорам. Таким образом, он сможет использовать эти данные против вас. Хакер в открытой сети Wi-Fi сможет получить доступ к данным, передающимся в открытом виде. В то же время, правительственные службы имеют гораздо большие возможности.

    Запишите, что по-вашему злоумышленник может сделать, получив доступ к вашим конфиденциальным данным.

    Какова вероятность того что мне придется это защищать?

    Риск – это вероятность того, что какая-либо конкретная угроза конкретному имуществу осуществится на самом деле. Возможность и риск нужно рассматривать в связке. Несмотря на то, что у оператора сотовой связи есть возможность получить доступ к вашим данным, риск того, что оператор выложит в сеть вашу конфиденциальную информацию, чтобы подпортить вашу репутацию, достаточно низок.

    Важно делать различие между угрозой и риском. Угроза – это прискорбное событие, которое может случиться, а риск – это вероятность наступления подобного события. Например, если существует угроза обрушения вашего здания, риск этого события будет гораздо выше если здание находится в Токио (там землетрясения – это обычное дело), а не в Москве (где они крайне редки).

    Анализ рисков – это личный, субъективный процесс. Каждый человек смотрит на угрозы и расставляет приоритеты по-своему. Множество людей не считаются с определёнными угрозами несмотря на существующий риск, поскольку считают, что простое наличие угрозы при любом уровне риска не стоит потенциальных затрат на защиту. В другом случае, люди игнорируют повышенный риск, поскольку не считают существующую угрозу проблемой.

    Запишите какие угрозы вы воспринимаете всерьёз. Также составьте список угроз, о которых можно не думать, потому что вероятность их появления достаточно низка, или с ними будет слишком тяжело и опасно бороться.

    На что я готов пойти, чтобы предотвратить потенциальные последствия?

    Ответ на этот вопрос требует проведения анализа рисков. У разных людей различные приоритеты и разные взгляды на существующие угрозы.

    Например, адвокат, представляющий клиента по делу о национальной безопасности, примет гораздо больше усилий для защиты своей корреспонденции. Для этого он станет использовать шифрование сообщений электронной почты в отличии от обычной матери, регулярно отправляющей дочке видео со смешными котами.

    Запишите что вы можете использовать для противодействия вашим угрозам. Обратите внимание на имеющиеся у вас ограничения финансового, технического или социального характера.

    Моделирование угроз на регулярной основе Anchor link

    Имейте в виду, что ваша модель угроз будет меняться вместе с изменением ситуации. Таким образом, вам лучше всего почаще проводить моделирование угроз и оценку рисков.

    Подготовьте свою модель угроз, основываясь на собственной текущей ситуации. Создайте напоминание в своем календаре. Когда этот день придёт, убедитесь, что ваша оценка рисков отражает текущую ситуацию. В случае необходимости пересмотрите свою модель угроз.

    Последнее обновление: 
    2017-09-07
    This page was translated from English. The English version may be more up-to-date.
  • Выбор средств цифровой защиты

    Все цифровые инструменты, как программные так и аппаратные, теоретически должны быть безопасны. Они должны защищать от слежки и не допускать контроль над вашим устройством со стороны третьих лиц. К сожалению, сегодня это не так. В цифровом мире вам, возможно, придётся искать дополнительные средства защиты в конкретных ситуациях. Мы предлагаем некоторые варианты, например, PGP – средство шифрования сообщений и файлов.

    Есть много программ и устройств для защиты данных. Как выбрать то, что подходит именно вам?

    Безопасность – процесс, её нельзя просто купить Anchor link

    Подумываете сменить программу или купить новую? Помните: нет инструмента, способного создать абсолютную защиту от слежки в любых условиях. Шифровальные средства усложняют задачу злоумышленника, не дают ему прочесть содержимое ваших писем или «покопаться» в файлах на вашем компьютере. Но организаторы цифровых атак всегда ищут самые слабые звенья вашей системы безопасности. Если задумываетесь о каком-нибудь новом способе защиты, оцените, какие дополнительные уязвимости он создаёт. Допустим, вы знаете: ваш телефон может прослушиваться. Вы решаете попробовать программу безопасного обмена мгновенными сообщениями. Может ли сам факт использования этой программы подсказать злоумышленнику, что вы обсуждаете конфиденциальную информацию?

    Не забывайте о своей модели угроз. Нет нужды приобретать дорогостоящую систему шифрования телефонной связи, которая якобы защищает от перехвата спецслужб, если фактически наибольшую угрозу для вас представляет наблюдение частного детектива, у которого нет доступа к инструментам онлайновой слежки. Но если вы имеете дело с правительством, которое сажает диссидентов в тюрьму за использование шифровальных средств, есть смысл прибегнуть к более простым методам, например, заранее согласованным кодам. Это лучше, чем рисковать свободой за шифровальную программу на ноутбуке.

    Вот ряд вопросов, которые нужно задать себе перед тем, как скачивать, покупать или использовать тот или иной инструмент.

    Насколько он прозрачный? Anchor link

    Может показаться, что цифровая безопасность в первую очередь связана с умением хранить секреты. Но специалисты в этой области говорят: условия создания более безопасных инструментов – открытость и прозрачность.

    Те, кто заботится о цифровой безопасности, обычно используют и рекомендуют бесплатные программы с открытым исходным кодом. Иными словами, код, на котором написана программа, является общедоступным. Любой желающий может его изучать, изменять и распространять. Обеспечивая прозрачность, разработчики говорят пользователям: «Давайте вместе искать недостатки и работать над улучшением программы!»

    Открытый исходный код помогает повысить уровень безопасности, но не гарантирует его. Преимущество программ с открытым кодом достигается благодаря техническим специалистам, которые непосредственным образом проверяют код. Это трудно организовать для малых проектов (а иногда и для популярных, но сложных). Когда вы подумываете, использовать ли ту или иную программу, узнайте, доступен ли её исходный код, проводился ли независимый аудит и подтвердил ли он высокий уровень безопасности. Как минимум, программные и аппаратные средства должны иметь подробное техническое описание для независимой экспертной проверки.

    Насколько чётко разработчики изложили преимущества и недостатки своего продукта? Anchor link

    Программных или аппаратных решений, обеспечивающих стопроцентную безопасность, не бывает. Если разработчик или продавец честно говорит об ограничениях продукта, вам будет легче решить, подойдёт ли это средство в вашем конкретном случае.

    Не верьте дежурным фразам о том, что код соответствует «военным стандартам» или «неуязвим для спецслужб». Такие слова ничего не значат. Наоборот, они заставляют сомневаться: скорее всего, разработчики переоценивают себя или игнорируют возможные сбои в работе их средства.

    Злоумышленники постоянно осваивают новые способы взлома. Поэтому программные и аппаратные средства нужно часто обновлять - устранять уязвимости. Если разработчики не желают этим заниматься, задумайтесь: может, они боятся плохих отзывов или не имеют ресурсов, чтобы исправлять ошибки.

    Предсказать будущее нельзя, но можно судить о разработчиках по их поступкам в прошлом. Если на сайте выложены предыдущие версии программы, ссылки на регулярные обновления и дополнительная информация (например, сколько времени прошло с последнего обновления), это даёт больше уверенности в том, что разработчики не оставят своих пользователей в будущем.

    Что произойдёт если разработчики окажутся скомпрометированы? Anchor link

    Когда разработчик создаёт продукт, он, как и вы, должен иметь чёткую модель угроз. Лучшие разработчики в документации подробно рассказывают, от каких угроз они способны вас защитить.

    Но есть угроза, о которой почти не говорят. Что если разработчик сам окажется скомпрометирован или решит атаковать собственных пользователей? Например, суд или правительство может принудить компанию выдать персональные данные пользователей или создать лазейку в программе, которая позволит обходить защиту. Спросите себя, в чьей юрисдикции(ях) находится разработчик. Например, если источник угрозы – правительство Беларуси, английская компания может не принимать во внимание требования белорусских чиновников, хоть она и должна подчиняться суду в самой Великобритании.

    Даже если разработчик сумеет противостоять давлению со стороны правительства, злоумышленник может попробовать взломать информационные системы разработчика для атаки на его пользователей.

    Наиболее устойчивые инструменты разрабатываются с учётом этой возможной атаки и на программном уровне защищают от неё. Постарайтесь найти инструмент, о котором известно, что его создатели не могут получить доступ к частным данным (а не обещают, что не станут этого делать). Имеет ли разработчик репутацию борца за права своих клиентов, может ли он опротестовывать судебный запрос на выдачу персональных данных?

    Читайте отзывы и критику в сети Anchor link

    Тот, кто продвигает свою продукцию, может заблуждаться, лукавить или откровенно врать. (Все мы знаем такие примеры). Потом выясняется, что средство, считавшееся безопасным, имеет серьёзные изъяны. Постарайтесь следить за новостями о средствах, с которыми работаете.

    Кто ещё этим пользуется? Anchor link

    Одному человеку трудно следить за всеми новостями. Если коллеги используют то же самое средство, договоритесь с ними, распределите нагрузку и оставайтесь в курсе событий.

    Инструменты из этого руководства Anchor link

    Мы стараемся, чтобы программные и аппаратные решения, о которых мы говорим в этом руководстве, соответствовали упомянутым критериям. Мы честно рассказываем только о качественных продуктах согласно нашим представлениям о цифровой безопасности. Эти инструменты достаточно прозрачны, их проблемы изучены, они защищены от возможного воздействия разработчиков, регулярно обновляются, имеют свежие версии и большую базу технически грамотных пользователей. На момент написания этого руководства все они регулярно проверяются на наличие изъянов большим количеством активных пользователей. Если те обнаружат проблему, о ней сразу станет известно. Однако у нас нет ресурсов, чтобы организовывать независимые проверки. Мы не гарантируем качество и безопасность этих средств.

    Какой телефон (компьютер) мне купить? Anchor link

    Специалисты по безопасности нередко слышат вопросы вроде «Что выбрать – телефон на Android или iPhone?», «Какой компьютер купить – PC или Mac?», «Какая операционная система лучше?». Простых ответов нет. Пользователи обнаруживают ошибки, эти ошибки исправляются, безопасность программ и устройств относительна и всё время меняется. Компании могут конкурировать за услуги в области безопасности или быть под давлением властей, которые стремятся её ослабить.

    Впрочем, некоторые общие рекомендации справедливы почти всегда. Купив устройство или операционную систему, регулярно обновляйте программы. В обновлениях обычно исправляются недостатки кода, которые могут быть использованы злоумышленниками. Со временем разработчики перестают поддерживать старые телефоны и операционные системы, прекращают выпускать даже важные обновления безопасности. Так, например, поступила корпорация Microsoft в отношении Windows XP и более старых версий. Если вы используете XP, не рассчитывайте на защиту от атак. То же касается OS X до версии 10.7.5 («Lion»).

    Последнее обновление: 
    2014-11-04
    Эта страница переведена с английского языка. Наиболее актуальной является английская версия.
  • Верификация ключей

    При правильной организации шифрования письмо могут прочитать только отправитель и получатель. Сквозное шифрование защищает данные от перехвата третьим лицом, но что насчёт адресата? Вы уверены, что общаетесь с нужным человеком? Узнать это поможет верификация открытых ключей. Она добавляет ещё один уровень защиты: вы и ваш собеседник можете подтвердить друг другу свои личности.

    Верификация ключей – одно из обычных свойств протоколов сквозного шифрования, таких как PGP и OTR. По сигналу, они называются "safety numbers." Чтобы без помех верифицировать ключи, рекомендуем использовать альтернативный канал связи (не тот, по которому вы передаёте шифрованную информацию). Например, для верификации отпечатков OTR в качестве такого канала можно использовать электронную почту.

    Верификация по альтернативному каналу Anchor link

    Есть несколько способов. Идеальный вариант – личная встреча, если она удобна всем участникам и не создаёт угрозы безопасности. Такая верификация часто происходит на вечеринках подписания ключей или среди коллег.

    Бывает, что личную встречу организовать нельзя. Тогда используют альтернативный канал. Например, если вы хотите верифицировать PGP-ключи, можно воспользоваться телефонной связью или OTR-чатом.

    Какая бы программа у вас ни была, вы всегда сможете определить свой ключ и найти ключ собеседника.

    Способ поиска ключа зависит от конкретной программы, а процедура верификации остаётся приблизительно одинаковой. Можно прочитать отпечаток ключа вслух (при личной встрече или по телефону) или скопировать и вставить его в чат. Что бы вы ни выбрали, настоятельно рекомендуем проверять каждую букву и цифру отпечатка.

    Совет: попробуйте верифицировать ключи с одним из ваших друзей. О том, как это сделать в конкретной программе, обратитесь к руководству по её использованию.

    Последнее обновление: 
    2017-01-13
    Эта страница переведена с английского языка. Наиболее актуальной является английская версия.
  • Введение в шифрование с открытым ключом и PGP

    PGP (от англ. Pretty Good Privacy) означает «вполне хорошая приватность». На самом деле это очень хорошая приватность. При правильном использовании PGP может защитить содержимое ваших сообщений, текстов и даже файлов от самых серьезных правительственных средств слежки. Когда Эдвард Сноуден говорил «шифрование работает», он подразумевал именно PGP и связанные с ней программы. Известны случаи, когда правительство добиралось до закрытых ключей (путём конфискации компьютеров, внедрения вредоносного кода прямым путём или с помощью онлайнового мошенничества). Это сводило к нулю защиту и даже позволяло расшифровать частную переписку. Представьте, что вы установили защищённый от взлома дверной замок. Злоумышленник, однако, может на улице выкрасть у вас ключ, скопировать его и подбросить обратно в карман. Так он получит доступ к вашему дому, не взламывая замок.

    К сожалению, PGP – не самый лёгкий для освоения и использования инструмент. Стойкое шифрование, реализованное в PGP (шифрование с открытым ключом) – мощное, но довольно мудрёное средство защиты. Сама программа PGP существует с 1991 года и является ровесником самых первых версий Microsoft Windows. С тех давних пор внешний вид PGP не особенно изменился.

    К счастью, сегодня есть много программ, которые скрывают «древний» дизайн PGP и заметно упрощают её использование, особенно в части шифрования и аутентификации эл. почты (основные функции PGP). Мы предлагаем руководства по установке и работе с этими программами.

    Перед началом работы с PGP и сопутствующими программами давайте посвятим несколько минут основам шифрования с открытым ключом: что оно умеет, что не умеет и в каких случаях может быть полезно.

    Игра с двумя ключами Anchor link

    В чём суть шифрования как метода борьбы со слежкой?

    Возьмём обычный текст, например, «Привет, мама!». Зашифруем его: превратим в код, который непонятен для чужих глаз (скажем, «OhsieW5ge+osh1aehah6»). Отправляем этот код по интернету. Наше сообщение может увидеть множество людей, но кто из них поймет содержание? В таком виде письмо дойдёт до получателя. Он и только он может расшифровать и прочитать исходный текст.

    Откуда получатель знает, как расшифровать сообщение, если это не может сделать никто другой? У получателя есть дополнительная информация, недоступная для остальных. Назовём её ключом для расшифровки. Этот ключ раскодирует содержащийся в шифровке текст.

    Отправитель должен заранее сообщить ключ получателю. Например, «попробуй прочитать сообщение по его отражению в зеркале» или «каждую букву нужно заменить буквой, следующей по алфавиту». У этой стратегии есть недостаток. Если вы думаете, что вашу почту могут перехватывать, как вы перешлёте ключ? Ведь злоумышленник перехватит и его. Тогда нет смысла отправлять зашифрованные сообщения. С другой стороны, если у вас есть секретный способ передать ключ, почему бы не использовать этот же способ для отправки всех секретных сообщений?

    Шифрование с открытым ключом – замечательное решение проблемы. Каждый человек, участвующий в переписке, может создать два ключа. Один ключ (закрытый) нужно держать в тайне и никогда не передавать другим людям. Другой ключ (открытый) можно передать всем, кто желает переписываться. Неважно, кто получит доступ к открытому ключу. Вы можете загрузить его в сеть, откуда его будут скачивать все желающие.

    Сами «ключи» по сути являются очень большими числами с определёнными математическими свойствами. Открытый и закрытый ключи связаны между собой. Если вы шифруете что-либо открытым ключом, расшифровать это можно только парным закрытым ключом.

    Допустим, вы хотите отправить секретное сообщение Аркадию. У него есть закрытый ключ, а парный ему открытый ключ Аркадий загрузил на свою веб-страницу. Вы скачиваете открытый ключ Аркадия, с его помощью шифруете сообщение и отправляете адресату. Только Аркадий может расшифровать сообщение, потому что лишь у него есть парный закрытый ключ.

    Подпись Anchor link

    Шифрование с открытым ключом избавляет вас от проблемы передачи адресату ключа для расшифровки (у адресата уже есть ключ). Нужно лишь получить соответствующий открытый ключ для шифрования. Он доступен всем желающим, даже злоумышленникам. Открытым ключом можно только шифровать, но не расшифровывать.

    Итак, то, что зашифровано определённым открытым ключом, может быть расшифровано только парным ему закрытым ключом. Но это ещё не всё. Если, наоборот, применить к сообщению закрытый ключ, результат можно обработать только с помощью парного открытого ключа.

    Зачем? Кажется, нет никакой пользы в защите секретного сообщения при помощи закрытого ключа. Всякий, у кого есть ваш открытый ключ (а он доступен любому в этом мире), может снять такую защиту. Предположим, вы написали «Обещаю заплатить Антону 1000 рублей» и применили к этому тексту свой закрытый ключ. Кто угодно может потом использовать парный открытый ключ, но лишь один человек (и это главное) мог написать сообщение: владелец упомянутого закрытого ключа. Конечно, если он аккуратно хранит свой закрытый ключ. Так вы можете подтвердить своё авторство. То же самое мы делаем, когда подписываем бумаги в реальном мире.

    Подпись также защищает сообщения от редактирования. Если кто-то попытается изменить «Обещаю заплатить Антону 1000 рублей» на «Обещаю заплатить Борису 1000 рублей», заново подписать сообщение у злоумышленника не получится (у него нет закрытого ключа). Цифровая подпись гарантирует, что сообщение было действительно написано автором и не изменилось при передаче.

    Подведём промежуточный итог. Шифрование с открытым ключом позволяет шифровать и безопасно пересылать сообщения всем, чьи открытые ключи вам известны. Если, в свою очередь, ваш открытый ключ известен другим людям, они могут отправлять вам сообщения, которые будете способны расшифровать только вы. Вы также можете подписывать сообщения. Тогда всякий, у кого есть ваш открытый ключ, сможет удостовериться в подлинности ваших писем. Если вы получили сообщение с чьей-то цифровой подписью, то можете использовать открытый ключ отправителя и убедиться, что сообщение написал именно он.

    Вы, вероятно, уже догадались, что пользы от шифрования с отрытым ключом тем больше, чем больше людей знает ваш ключ. Очевидно, надо обеспечить безопасное хранение своего закрытого ключа. Если кто-либо получит копию вашего закрытого ключа, он сможет выдавать себя за вас и подписывать сообщения от вашего лица. В программе PGP есть функция отзыва закрытого ключа, и она позволяет предупредить людей о том, что ключу больше нельзя доверять, но это не лучшее решение. Главное правило для шифрования с открытым ключом: храните закрытый ключ в надежном месте.

    Как работает PGP Anchor link

    Использование PGP – главным образом, работа по созданию и применению открытых и закрытых ключей. С помощью PGP вы можете создать пару ключей (открытый/закрытый), защитить закрытый ключ паролем и использовать ключи для подписания и шифрования сообщений. Программы на основе PGP также позволяют скачивать открытые ключи других пользователей и загружать свой открытый ключ на серверы – хранилища, где другие пользователи могут его найти. Мы предлагаем руководства по установке PGP-совместимых программ для разных почтовых клиентов.

    Что самое важное в этом обзоре, спросите вы? Храните ваш закрытый ключ в безопасном месте и защищайте его длинным паролем. Открытый ключ можно давать всем, с кем вы хотите переписываться, и тем, кто хочет быть уверенным в подлинности ваших писем.

    Дополнительные возможности PGP: сеть доверия Anchor link

    Возможно, вы уже заметили потенциальную проблему в шифровании с открытым ключом. Допустим, вы распространяете открытый ключ Барака Обамы. (По крайней мере, вы так утверждаете). Если люди вам поверят, они начнут отправлять Обаме письма, зашифрованные этим ключом. Они будут считать, что все сообщения, подписанные этим ключом, созданы Обамой. Такое случается редко, но в реальной жизни были прецеденты. В числе пострадавших – некоторые из авторов этого руководства. Их друзья стали жертвами мошенничества. (Правда, мы не можем сказать наверняка, имел ли злоумышленник возможность перехватывать сообщения и расшифровывать их, или он просто решил доставить неудобства людям, ведущим безопасную переписку).

    Существует сценарий атаки, когда злоумышленник находится между двумя сетевыми собеседниками, читает их письма и периодически вставляет в переписку свои (сбивающие с толку) сообщения. Интернет устроен так, что информация проходит через множество разных компьютеров и рук. Поэтому такая атака («атака посредника») вполне возможна. Из-за неё обмен ключами без предварительных договорённостей – дело рискованное. «Вот мой ключ», – говорит Барак Обама и отправляет вам открытый ключ. Что если посредник прервал передачу ключа Обамы и подменил его ключ на собственный?

    Как убедиться, что ключ действительно принадлежит конкретному человеку? Можно получить ключ от человека напрямую, но это ненамного проще, чем передавать друг другу единственный ключ и защищать его от перехвата. Как бы то ни было, люди обмениваются открытыми ключами при личных встречах и на так называемых «криптовечеринках».

    PGP предлагает решение получше: «сеть доверия». Если вы считаете, что ключ принадлежит определённому человеку, вы можете подписать этот ключ и загрузить его (вместе с подписью) на сервер открытых ключей. Оттуда подписанный ключ могут скачивать заинтересованные люди.

    В целом, чем больше людей, которым вы доверяете, подпишет ключ, тем выше доверие к такому ключу. PGP позволяет подписывать чужие ключи и доверять другим подписантам: если они подпишут ключ, ваша программа автоматически будет считать его достоверным.

    Сеть доверия не лишена недостатков. EFF и другие подобные организации ищут более совершенные решения. Но сегодня, если вы не готовы передавать ключи исключительно при личной встрече, использование сети доверия и серверов открытых ключей – самая подходящая альтернатива.

    Метаданные: что не может PGP Anchor link

    PGP обеспечивает секретность, подлинность и целостность содержимого сообщений. Но это не единственные аспекты приватности. Как мы уже говорили, информация о вашем сообщении (метаданные) может быть такой же разоблачающей, как и содержимое. Если вы используете PGP для переписки с каким-нибудь известным в вашей стране диссидентом, то можете оказаться в опасности из-за самого факта шифрованного обмена сообщениями. Даже расшифровывать их необязательно. В некоторых странах вам может грозить тюрьма только за отказ расшифровать ваши сообщения.

    PGP не скрывает информацию об адресате и сам факт использования PGP. Если вы загружаете свой открытый ключ на серверы ключей или подписываете ключи других пользователей, то фактически показываете всему миру, какой именно ключ принадлежит вам и кого вы знаете.

    Вы не обязаны это делать. Вы можете хранить ваш открытый ключ в секрете, давать его только тем, кому доверяете, просить их не загружать его на серверы открытых ключей. Вам не обязательно связывать ключ с вашим именем.

    Скрыть переписку с определённым человеком сложнее. Один из вариантов – использование обоими собеседниками анонимных учётных записей электронной почты через Tor. PGP по-прежнему будет обеспечивать приватность вашей переписки, подлинность и целостность сообщений.

    Последнее обновление: 
    2014-11-07
    Эта страница переведена с английского языка. Наиболее актуальной является английская версия.
  • Руководство по OTR для Mac

    Adium – программа для обмена мгновенными сообщениями. Adium бесплатный, с открытым кодом и работает в OS X. Он позволяет переписываться с пользователями различных протоколов обмена сообщениями в режиме реального времени, включая Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ и XMPP.

    OTR (от англ. Off-the-record) – протокол, который позволяет людям вести конфиденциальные беседы с помощью уже знакомых им инструментов. Не путайте OTR с функцией Google и AOL под названием «Off the record» («не для записи»), которая просто выключает запись чата, ничего не шифрует и не позволяет проверять личность собеседника. Для Mac программное обеспечение OTR поставляется в комплекте с Adium.

    Протокол OTR использует сквозное шифрование. Вы можете вести переписку в Google Hangouts, и эти компании не смогут получить доступ к содержимому ваших сообщений. Тем не менее, тот факт, что вы испытываете разговор видна поставщика.

    Зачем нужно использовать Adium вместе с OTR? Anchor link

    Если вы беседуете с помощью Google Hangouts на сайтах Google ваш чат по умолчанию уже шифруется с помощью HTTPS. Иными словами, содержание чата защищено от злоумышленников и любых третьих лиц, пока информация в пути. Но чат не защищён от Google. Компании имеют шифровальные ключи для вашего чата и могут передать их властям или использовать их для маркетинговых целей.

    После установки Adium вы можете войти в программу, используя несколько учётных записей одновременно (например, Google Hangouts, и XMPP). Adium позволяет общаться с помощью этих инструментов и без OTR. Защита OTR работает, только если оба собеседника используют эту технологию. Таким образом, даже если ваш собеседник не установил OTR, вы всё равно можете общаться с ним с помощью Adium.

    Adium позволяет осуществлять верификацию собеседника по альтернативным каналам, чтобы подтвердить личность собеседника и избежать атаки посредника. Для каждого разговора можно увидеть отпечатки ключей – как вашего, так и собеседника. Отпечаток ключа – строка символов, которая выглядит примерно так: 342e 2309 bd20 0912 ff10 6c63 2192 1928. Отпечаток используется для проверки более длинного открытого ключа. Обменяйтесь вашими отпечатками по другому каналу связи (например, через личные сообщения Twitter или по электронной почте) и удостоверьтесь, что никто не мешает вашей беседе. Если ключи не совпадают, вы не можете быть уверены, что вы говорите с нужным человеком. На практике, люди часто используют несколько ключей, или потерять и должны воссоздать новые ключи, так что не удивляйтесь, если у вас есть, чтобы заново проверить свои ключи с друзьями время от времени.

    Когда нет смысла использовать Adium + OTR? Anchor link

    У специалистов есть термин для случая, когда программа или технология может быть уязвима для внешней атаки: «поверхность атаки». Adium имеет большую поверхность атаки. При написании этой сложной программы безопасность не ставили во главу угла. В программе почти наверняка есть ошибки. Некоторые из них могут быть использованы правительствами или даже крупными компаниями, чтобы проникнуть в компьютеры пользователей. Шифрование данных в Adium обеспечивает хороший уровень защиты от нецелевой слежки, то есть от попыток шпионить за всеми подряд. Если вы полагаете, что атака может быть направлена конкретно на вас и что злоумышленник обладает серьёзными ресурсами (например, на национальном уровне), следует рассмотреть более глубокие средства защиты, такие как PGP-шифрование электронной почты.

    Установка Adium + OTR на Mac Anchor link

    Шаг 1. Установка программы

    Откройте в браузере ссылку https://adium.im/. Выберите «Download Adium 1.5.9». Файл .dmg или образ диска будет скачан на ваш компьютер, скорее всего, в папку «Downloads».

    Запустите файл двойным щелчком мыши. Откроется примерно такое окошко:

    Перетащите значок Adium в папку «Applications», чтобы установить приложение. После установки найдите Adium в вашей папке программ и запустите его двойным щелчком мыши.

    Шаг 2. Настройка учётной записи

    Какие сервисы или протоколы для обмена мгновенными сообщениями вы хотите использовать при помощи Adium? Для разных протоколов настройки похожи, но не идентичны. В любом случае понадобятся имя пользователя и пароль.

    Чтобы настроить учётную запись, перейдите в меню Adium в верхней части экрана. Нажмите «Adium», затем «Preferences». Откроется окно с другим меню вверху. Выберите «Accounts», затем нажмите на значок «+» в нижней части окна. Вы увидите примерно такое меню:

    Выберите желаемый сервис. Вам будет предложено либо ввести имя пользователя и пароль, либо использовать инструмент авторизации программы Adium. Следуйте инструкциям программы.

    Защищённый OTR чат Anchor link

    После активации в Adium одной или нескольких учётных записей можно пользоваться OTR.

    Чтобы вести беседу под защитой OTR, оба собеседника должны использовать программы с поддержкой этого протокола.

    Шаг 1. Начало чата

    Выясните, кто из ваших собеседников использует OTR, нажмите на его имя дважды и начните с этим человеком беседу в Adium. Перед началом беседы обратите внимание на маленькое изображение открытого замочка в левом верхнем углу. Нажмите на эту картинку и выберите «Initiate Encrypted OTR Chat».

    Шаг 2. Проверка соединения

    После запуска чата и получения согласия от другого пользователя вы увидите, что замочек на картинке закрылся. Поздравляем, теперь ваш чат зашифрован. Впрочем, остался ещё один шаг.

    Хотя чат и зашифрован, собеседникам следует подтвердить личности друг друга (если только вы не сидите в одной комнате). О том, почему это важно, рассказывается в главе о верификации ключей.

    Итак, нажмите в Adium на изображение замочка и выберите «Verify». Появится окно с ключами обоих собеседников (ваш и вашего друга). Некоторые версии Adium поддерживают только ручное подтверждение. Тогда вам обоим придётся найти способ сверить отображённые на ваших экранах ключи и убедиться, что они полностью совпадают.

    Простейший способ – прочитать отпечатки ключей друг другу вслух, но это не всегда возможно. Есть несколько способов решить эту задачу (разной надёжности). Например, можно прочитать ключи вслух по телефону. Способ подходит, если вы способны узнать голоса друг друга. Другой вариант – передать ключи по иному каналу связи, например, по электронной почте (с PGP-шифрованием). Некоторые публикуют свои ключи на веб-сайтах, в сообщениях Twitter и даже на визитных карточках.

    Очень важно внимательно проверить ключи на полное соответствие. Все символы должны совпадать.

    Шаг 3. Отключение журнала

    Итак, вы умеете открывать зашифрованный чат и подтверждать ключи собеседников. К сожалению, по умолчанию Adium сохраняет историю разговоров. Несмотря на шифрование сеанса связи, история записывается на жёсткий диск в незашифрованном виде.

    Чтобы отключить эту функцию, выберите пункт «Adium» в верхней части экрана, затем «Preferences». В открывшемся окне выберите «General» и деактивируйте функцию «Log messages». Помните, однако, что вы не имеете контроля над человеком, с которым вы общаетесь, она может быть вход или снятия скриншотов из вашего разговора, даже если вы сами отключили регистрацию.Теперь ваши настройки должны выглядеть примерно так:

    Когда Adium уведомляет о новых сообщениях, их содержимое может сохраняться в Центре уведомлений операционной системы OS X. Получается, Adium не оставляет следов о переписке на вашем компьютере и компьютере вашего собеседника, зато операционная система может вести запись. Стоит подумать об отключении уведомлений.

    Чтобы сделать это, выберите «Events» в окне «Preferences» и найдите записи «Display a notification». Для каждой записи откройте ниспадающее меню, нажав на серый треугольник, затем выберите недавно обнаруженную запись «Display a notification» и нажмите на значок минус («-») в нижней левой части окна, чтобы удалить строку. Если вы переживаете по поводу записей, которые были сохранены ранее на вашем компьютере, советуем использовать шифрование диска. Это защитит данные от третьих лиц.

    Последнее обновление: 
    2017-01-19
    Эта страница переведена с английского языка. Наиболее актуальной является английская версия.
  • Руководство по OTR для Windows

    OTR (от англ. Off-the-record) – протокол, позволяющий пользователям служб обмена мгновенными сообщениями и чатов вести конфиденциальную переписку. Из этого руководства вы узнаете о том, как пользоваться OTR в чат-клиенте Pidgin, программе с открытым исходным кодом для ОС Windows.

    Что такое OTR? Anchor link

    OTR (от англ. Off-the-record) – протокол, который позволяет людям вести конфиденциальные беседы с помощью уже знакомых им инструментов. Вот как OTR повышает уровень безопасности:

    • шифрует ваши чаты,
    • дает возможность убедиться, что ваш собеседник именно тот, за кого себя выдает,
    • не позволяет серверу вести запись вашей беседы или получать к ней доступ иным способом.

    Не путайте OTR с функцией Google под названием «Off the record», которая просто выключает запись чата, ничего не шифрует и не позволяет проверять личность собеседника. OTR можно использовать в Microsoft Windows разными способами. Мы рассматриваем наиболее последовательный и простой инструмент: чат-клиент Pidgin с плагином OTR.

    Pidgin – программа для обмена мгновенными сообщениями для Windows. По умолчанию Pidgin записывает чаты, но вы можете отключить запись. При этом у вас нет контроля над собеседником. Он может записывать разговор или делать скриншоты, даже если с вашей стороны запись выключена.

    Зачем нужно использовать Pidgin вместе с OTR? Anchor link

    Если вы беседуете с помощью Google Hangouts или Facebook (соответственно, на сайтах Google или Facebook), ваш чат уже шифруется с помощью HTTPS. Иными словами, содержание чата защищено от злоумышленников и любых третьих лиц, пока информация в пути. Но чат не защищён от Google или Facebook. Компании имеют шифровальные ключи для вашего чата и могут передать их властям или использовать их для маркетинговых целей.

    После установки Pidgin вы можете войти в программу, используя несколько учётных записей одновременно (например, Google Hangouts, Facebook и XMPP). Pidgin позволяет общаться с помощью этих инструментов и без OTR. Защита OTR работает, только если оба собеседника используют эту технологию. Таким образом, даже если ваш собеседник не установил OTR, вы всё равно можете общаться с ним с помощью Pidgin.

    Pidgin позволяет осуществлять верификацию собеседника по альтернативным каналам, чтобы подтвердить личность собеседника и избежать атаки посредника. Для каждого разговора можно увидеть отпечатки ключей – как вашего, так и собеседника. Отпечаток ключа – строка символов, которая выглядит примерно так: 342e 2309 bd20 0912 FF10 6c63 2192 1928. Отпечаток используется для проверки более длинного открытого ключа. Обменяйтесь вашими отпечатками по другому каналу связи (например, через личные сообщения Twitter или по электронной почте) и удостоверьтесь, что никто не мешает вашей беседе.

    Когда нет смысла использовать Pidgin и OTR? Anchor link

    У специалистов есть термин для случая, когда программа или технология может быть уязвима для внешней атаки: «поверхность атаки». Pidgin имеет большую поверхность атаки. При написании этой сложной программы безопасность не ставили во главу угла. В программе почти наверняка есть ошибки. Некоторые из них могут быть использованы правительствами или даже крупными компаниями, чтобы проникнуть в компьютеры пользователей. Шифрование данных в Pidgin обеспечивает хороший уровень защиты от нецелевой слежки, то есть от попыток шпионить за всеми подряд. Если вы полагаете, что атака может быть направлена конкретно на вас и что злоумышленник обладает серьёзными ресурсами (например, на национальном уровне), следует рассмотреть более глубокие средства защиты, такие как PGP-шифрование электронной почты.

    Получение Pidgin Anchor link

    Pidgin для Windows можно скачать с загрузочной страницы Pidgin.

    Нажмите пункт меню «Download» (фиолетового цвета). Не нажимайте зелёную кнопку «Download Now», потому что нам понадобится другой установочный файл. Вы попадёте на страницу загрузки.

    Здесь также не стоит нажимать зелёную кнопку «Download Now», нам нужен другой установочный файл. По умолчанию файл-установщик Pidgin невелик: он не содержит всю информацию, а загружает файлы из сети. Не всегда это проходит гладко. Поэтому мы выберем офлайновый установщик, который содержит все необходимые данные. Нажмите ссылку «offline installer». Вы попадете на новую страницу под названием «Sourceforge». Через несколько секунд в маленьком всплывающем окне появится вопрос, хотите ли вы сохранить файл.

    На собственной странице загрузки Pidgin использует HTTPS, что относительно защищает от несанкционированного доступа. Но страница SourceForge, на которую вас переадресуют, будет показана по HTTP – без шифрования и какой-либо защиты. Значит, программа может быть изменена прежде, чем вы загрузите ее на свой компьютер.

    Эта угроза, в целом, проистекает из двух источников. Первый – тот, кто имеет доступ к локальной инфраструктуре интернета и пытается целенаправленно шпионить за вами (например, если злоумышленник предоставляет доступ к интернету по Wi-Fi). Второй источник – государственные органы, которые могут распространять сомнительные с точки зрения безопасности программы широкому кругу пользователей. Браузерное расширение HTTPS Everywhere умеет подставлять HTTPS вместо HTTP (в том числе для Sourceforge). Мы рекомендуем установить HTTPS Everywhere перед тем, как загружать любые другие программы из интернета. Кроме того, как следует из нашего опыта, Sourceforge часто вставляет на свои страницы большие рекламные объявления; они путают читателей, и те рискуют установить то, что не хотели. Перед тем, как скачивать программы, можно установить блокировщик рекламы. Это поможет избавиться от объявлений и не стать жертвой путаницы. Вспомните о своей модели угроз перед тем, как загрузить файл с незащищенного веб-сайта.

    Многие браузеры попросят вас подтвердить загрузку файла. Internet Explorer 11 отображает индикатор в нижней части окна браузера в оранжевой рамке.

    Каким браузером вы бы ни пользовались, лучше сначала сохранить файл, поэтому нажмите кнопку «Save». По умолчанию большинство браузеров сохраняет загруженные файлы в папке «Downloads».

    Получение OTR Anchor link

    Вы можете загрузить pidgin-otr (плагин OTR для Pidgin) с этой страницы.

    Выберите в меню «Downloads». Откроется соответствующий раздел сайта. Нажмите ссылку «Win32 installer for pidgin».

    Многие браузеры попросят вас подтвердить загрузку файла. Internet Explorer 11 отображает индикатор в нижней части окна браузера в оранжевой рамке.

    Каким браузером вы бы ни пользовались, лучше сначала сохранить файл, поэтому нажмите кнопку «Save». По умолчанию, большинство браузеров сохраняет загруженные файлы в папке «Downloads».

    После загрузки Pidgin и pidgin-otr в папке «Downloads» появятся два новых файла:

    Установка Pidgin Anchor link

    В «Проводнике» Windows дважды щёлкните по файлу pidgin-2.10.9-offline.exe. Вас попросят подтвердить установку программы. Нажмите кнопку «Yes».

    Возникнет небольшое окно с просьбой выбрать язык. Сделайте это и нажмите кнопку «OK».

    В следующем окне – краткий обзор процесса установки. Нажмите кнопку «Next».

    Теперь черёд лицензии. Нажмите «Next».

    Список устанавливаемых компонентов. Не изменяйте ничего, нажмите кнопку «Next».

    Выбор папки для установки Pidgin. Не изменяйте ничего, нажмите кнопку «Next».

    В следующем окне информация прокручивается до появления фразы «Installation Complete». Нажмите кнопку «Next».

    Наконец, последнее окно программы установки Pidgin. Нажмите кнопку «Finish».

    Установка pidgin-otr Anchor link

    Вернитесь в «Проводник» Windows и дважды щелкните по файлу pidgin-otr-4.0.0-1.exe. Имя файла используется в этом модуле может не обязательно совпадают, что вы видите на вашем компьютере. Вас попросят подтвердить установку программы. Нажмите кнопку «Yes».

    Краткий обзор процесса установки. Нажмите кнопку «Next».

    Окно с информацией о лицензии. Нажмите кнопку «I Agree».

    Выбор папки для установки pidgin-otr. Не изменяйте ничего, нажмите кнопку «Install».

    Последнее окно программы установки pidgin-otr. Нажмите кнопку «Finish».

    Настройка Pidgin Anchor link

    В меню «Пуск» выберите «Pidgin».

    Добавление учётной записи Anchor link

    При первом запуске Pidgin вы увидите окно приветствия с предложением добавить учётную запись. Так как учётная запись ещё не настроена, нажмите кнопку «Add».

    Окно «Add Account». Pidgin умеет работать со многими системами чата. Мы остановимся на XMPP, ранее известном как Jabber.

    В поле «Protocol» выберите «XMPP».

    В поле «Username» введите своё имя пользователя XMPP.

    В поле «Domain» введите домен вашего аккаунта XMPP.

    В поле «Password» введите свой пароль XMPP.

    Если отметить «Remember password», доступ к учётной записи станет проще. Помните, что с опцией «Remember password» пароль будет сохранен на компьютере. Таким образом, всякий, кто имеет доступ к вашему компьютеру, будет иметь доступ и к паролю. Если вы считаете это проблемой, не выбирайте данную опцию. Тогда вы будете вводить пароль XMPP при каждом запуске Pidgin.

    Добавление контакта Anchor link

    Теперь добавим собеседника. Откройте меню «Buddies» и выберите «Add Buddy». Появится соответствующее окно.

    Теперь нужно ввести имя человека, с которым вы хотите общаться. Он необязательно должен быть на том же сервере, но должен использовать тот же протокол, например, XMPP.

    В поле «Buddy's username» введите имя пользователя с именем домена. (Напоминает адрес электронной почты).

    В поле «(Optional) Alias» можете ввести имя-синоним для вашего собеседника. Это не обязательно, но может помочь, если вам трудно запомнить учетную запись XMPP собеседника.

    Нажмите кнопку «Add».

    Как только вы нажали на кнопку «Add», Борис получит сообщение с просьбой разрешить вам добавить его аккаунт. Когда Борис подтвердит и добавит ваш аккаунт, вы получите такой же запрос. Нажмите кнопку «Authorize».

    Настройка плагина OTR Anchor link

    Настроим плагин OTR для безопасного чата. В меню «Tools» выберите «Plugins».

    Перейдите к опции «Off-The-Record Messaging» и выберите её. Нажмите на «Off-The-Record Messaging», нажмите кнопку «Configure Plugin».

    Вы увидите окно с настройками «Off-The-Record Messaging». Обратите внимание на фразу «No key present». Нажмите кнопку «Generate».

    Откроется небольшое окно, и начнётся создание ключа. По завершении нажмите кнопку «OK».

    Новая информация: строка из 40 символов (5 групп по 8 знаков). Это ваш отпечаток OTR. Нажмите кнопку «Close».

    Нажмите кнопку «Закрыть» в окне плагинов.

    Безопасное общение Anchor link

    Теперь вы и Борис можете отправлять сообщения друг другу. Однако это ещё не защищённый чат. Даже если вы подключились к серверу XMPP, ваши сообщения могут быть перехвачены. Обратите внимание на правый нижний угол окна чата. Видите красные слова «Not private»? Нажмите их.

    В открывшемся окне выберите «Authenticate buddy».

    Откроется окно с вопросом «How would you like to authenticate your buddy?»

    Выпадающее меню даёт три варианта. Давайте их рассмотрим.

    Общий секрет Anchor link

    Общий секрет – текстовая строка, которая заведомо известна вам и вашему собеседнику. Вам нужно договориться о такой строке лично и никогда не передавать её по незащищённым каналам связи, таким как электронная почта или Skype.

    Вам и вашему собеседнику нужно ввести эту строчку и нажать кнопку «Authenticate».

    Способ с общим секретом подходит, если вы со своим собеседником ранее договорились об общении в чате, но ещё не создали отпечатки OTR на используемых вами компьютерах. Это работает, только если вы оба используете Pidgin.

    Ручная проверка отпечатков Anchor link

    Ручная проверка отпечатков хороша, если на момент начала чата в Pidgin у вас уже есть отпечаток собеседника (и наоборот). Этот способ не сработает, если собеседник сменит компьютер или будет вынужден создать новый отпечаток.

    Если полученный ранее отпечаток и тот отпечаток, который вы видите на экране, совпадают, выберите «I have» и нажмите кнопку «Authenticate».

    Вопрос и ответ Anchor link

    Способ вопроса и ответа полезен, если вы знакомы с собеседником, но не договорились об общем секрете и не успели поделиться отпечатками. Проверка основана на каком-либо знании, которым обладаете вы оба, например, событии или воспоминании. Это работает, только если вы оба используете Pidgin.

    Введите желаемый вопрос. Не используйте банальные варианты, ответы на которые легко отгадать, но и не придумывайте чрезмерных сложностей. Пример хорошего вопроса: «Где мы ужинали, когда ездили в Мурманск?» Пример плохого вопроса: «Можно ли в Мурманске купить свежую сёмгу?»

    Ответы должны в точности совпадать. Имейте это в виду при выборе вопроса. Регистр имеет значение, поэтому бывает полезно добавить пометку вроде «маленькими буквами».

    Введите вопрос и ответ. Нажмите кнопку «Authenticate».

    Ваш собеседник увидит вопрос. Он должен ответить и нажать кнопку «Authenticate». Затем он получит сообщение о том, правильно ли ответил.

    Как только собеседник завершит процедуру аутентификации, вы получите окно с сообщением об этом.

    Собеседнику нужно, в свою очередь, подтвердить ваш аккаунт. Тогда вы оба можете быть уверены, что пользуетесь безопасной связью. Вот как это выглядит на экране. Обратите внимание на зелёное «Private» в правой нижней части окна.

    Другие программы Anchor link

    Механизмы проверки личности, в принципе, должны работать между различными программами, такими как Jitsi, Pidgin, Adium, Kopete. Вы не обязаны использовать одну и ту же программу с функционалом XMPP и OTR. Но иногда в программах случаются ошибки. В чат-программе Adium для OS X имеется проблема со способом вопроса и ответа. Если окажется, что этот метод не работает, выясните, не работает ли ваш собеседник в программе Adium, и попробуйте другой метод проверки.

    Последнее обновление: 
    2015-02-10
    Эта страница переведена с английского языка. Наиболее актуальной является английская версия.
JavaScript license information