Nasıl: Windows için OTR kullanımı

OTR (Off-the-record), anlık mesajlaşma ya da sohbet araçlarını kullanan insanların gizlilik içinde görüşmelerine olanak sağlar. Bu rehberde, Windows PC için yazılmış açık kaynak kodlu bir anlık mesajlaşma uygulaması olan Pidgin'le birlikte OTR'ı nasıl kullanabileceğinizi öğreneceksiniz.

OTR nedir? Anchor link

OTR (Off-the-record), insanların aşina oldukları mesajlaşma araçlarını kullanarak güvenilir bir şekilde görüşme yapmalarını sağlayan bir protokoldür. OTR, bu güvenliği şu şekilde sağlar:

  • konuşmalarınızı şifreler
  • konuştuğunuz kişinin gerçekten konuşmak istediğiniz kişi olduğunu doğrulamanıza imkan tanır
  • sunucunun konuşmalarınıza erişmesine ve kaydetmesine izin vermez

Bu protokol, sadece konuşma geçmişini devre dışı bırakan ve herhangi bir şifreleme ya da doğrulama sağlamayan Google'ın "Off the record" (Kayıt dışı) özelliğiyle karıştırılmamalıdır. OTR'ı Microsoft Windows üzerinde kullanmanın birkaç farklı yolu vardır, ancak en uygun ve en kolay yol pidgin-otr eklentisiyle birlikte Pidgin isimli sohbet uygulamasını kullanmaktır.

Pidgin, konuşmalarınızı varsayılan olarak kaydeder ancak bu özelliği istediğiniz takdirde kapatabilirsiniz. Ancak görüşme yaptığınız kişinin konuşmanızı kaydetmesi size bağlı değildir. Görüşme yaptığınız kişi, siz konuşma kaydı özelliğini kapatmış olsanız bile konuşmalarınızı kaydediyor olabilir ya da konuşma penceresinin ekran görüntüsünü alıyor olabilir.

Pidgin ve OTR'ı neden kullanmalıyım? Anchor link

Google Hangouts ya da Facebook üzerinden görüşme yaptığınızda, konuşmalarınız HTTPS kullanılarak şifrelenir. Bu, konuşmalarınızın içeriğinin taşıma halindeyken başkaları tarafından görülmesinin engellendiği anlamına gelir. Ancak konuşmalarınızın içeriği, bu şifrelerin anahtarlarına sahip olan Google ve Facebook'tan gizlenemez ve bu şirketler gerektiğinde konuşma kayıtlarınızı yetkililere verebilir veya pazarlama için bunları kullanın.

Pidgin'i yükledikten sonra uygulamaya giriş yaparak birkaç hesabı aynı anda kullanabilirsiniz. Örnek vermek gerekirse, Google Hangouts, Facebook ve XMPP hesaplarınızı aynı anda kullanabilirsiniz. Pidgin aynı zamanda bu servisleri OTR'sız kullanmanıza da olanak sağlar. OTR'ın çalışması, görüşme yapan her iki kişinin de OTR kullanmasına bağlı olmasına rağmen, görüşmek istediğiniz kişi OTR kullanmıyorsa bile bu kişiyle Pidgin'i kullanarak konuşabilirsiniz.

Pidgin, konuştuğunuzu düşündüğünüz kişinin gerçekten konuşmak istediğiniz kişi olduğunu doğrulamak ve MITM saldırısına maruz kalmadığınızdan emin olmak için bant dışı doğrulama yapmanıza olanak sağlar. Yapacağınız her görüşme için, size ve görüştüğünüz kişiye ait olan anahtar parmak izlerini görebilme opsiyonunuz vardır. "Anahtar parmak izi", daha uzun bir açık anahtarı doğrulamak için kullanılan, "342e 2309 bd20 0912 ff10 6c63 2192 1928” şekline benzer bir karakter dizesidir. Parmak izlerinizi Twitter'ın özel mesaj bölümünden ya da eposta gibi başka bir iletişim kanalını kullanarak paylaşın ve kimsenin konuşmanıza müdahil olmadığından emin olun.

Kısıtlamalar: Pidgin ve OTR'ı hangi durumlarda kullanmamalıyım? Anchor link

Teknoloji uzmanlarının dışarıdan gelen saldırılara karşı savunmasız olması muhtemel bir programı veya teknolojiyi tanımlamak için kullandıkları bir terim vardır: saldırıya açık olan bu sistemleri, geniş "saldırı yüzeyine" sahip şeklinde tanımlarlar. Pidgin geniş bir saldırı yüzeyine sahiptir. Pidgin kompleks ve güvenlik ön planda tutularak tutularak kodlanmamış bir programdır. Programda neredeyse kesinlikle bazı yazılım hataları bulunmaktadır ve bu hataların bazıları bilgisayarlara sızmak amacıyla devletler veya büyük şirketler tarafından kullanılabilir. Hedefsiz bir şekilde herkesin internet konuşmalarını izlemeye alan bu gözetleme ağına karşı konuşmalarınızı şifreleyerek Pidgin kullanmanız bu izlenmeye karşı iyi bir koruma sağlar, ancak iyi kaynaklara sahip biri veya birileri tarafından (devletler gibi) izlendiğinizi düşünüyorsanız, daha güçlü önemler almayı düşünmelisiniz. (PGP ile epostalarınızı şifrelemek ve bu şekilde iletişim kurmak gibi.)

Pidgin'i indirmek Anchor link

Windows için Pidgin'i linkteki adresi ziyaret ederek indirebilirsiniz.

Mor renkli "DOWNLOAD" (İNDİR) sekmesine tıklayın. Yeşil renkli "Download Now" (Şimdi indir) butonuna tıklamayın çünkü kurulum için başka bir dosya seçeceğiz. İndirme sayfasına yönlendirileceksiniz.

Yeşil renkli "Download Now" (Şimdi indir) butonuna tıklamayın çünkü kurulum için başka bir dosya seçeceğiz. Pidgin'in varsayılan yükleyicisinin boyutu küçüktür çünkü bu yükleyici kurulum için gerekli tüm dosyaları içermez ve bu dosyaları sizin için daha sonra otomatik olarak indirir. Ancak bu yöntem bazen sorun çıkartabildiğinden, gerekli tüm dosyalarla birlikte gelen offline installer'ı (çevrimdışı yükleyici) indirmek yararınıza olacaktır. "Offline installer" (Çevrimdışı yükleyici) linkine tıklayın. Birkaç saniye sonra "Sourceforge" başlığına sahip bir sayfaya yönlendirileceksiniz ve dosyayı kaydetmeyi isteyip istemediğinizi soran küçük bir pencere açılacak.

Pidgin'in indirme sayfası HTTPS kullandığı için göreceli olarak güvenlidir ancak bu sayfa üzerinden Pidgin'in Windows versiyonunu yüklemek için yönlendirildiğiniz yer şu an için HTTP kullanan Sourceforge olduğu için güvenli değildir. Bu, indirme işleminden önce indireceğiniz dosya üzerinde oynama yapılmış olabileceği anlamına gelir.

Bu risk, ya sizi gözetim amaçlı hedef alan ve yerel internet altyapısına erişimi olan biri tarafından (kötü niyetli bir kablosuz erişim sağlayıcısı gibi), ya da üzerinde oynama yapılmış yazılımları dağıtma amacında olan devletler tarafından gelir. HTTPS Everywhere eklentisi, Sourceforge indirme linklerini HTTPS kullanmaya zorlar, bu yüzden herhangi bir yazılımı kullanmadan bu eklentiyi kurmanızı tavsiye ediyoruz. Ek olarak, deneyimlerimize göre, Sourceforge insanları istemedikleri yazılımları kurmaya zorlayabilecek tüm sayfa reklamlara sahip olabiliyor.  Herhangi bir yazılım yüklemeden önce, bir reklam engelleyici eklenti kurup bu reklamları engelleyebilirsiniz. Güvenli olmayan sitelerden dosya indirmeden önce, tehdit modelinizi gözönünde bulundurmalısınız.

Birçok internet tarayıcısı, bu dosyayı indirmeye çalışırken emin olup olmadığınızı soracaktır. Internet Explorer 11 kullanıyorsanız, tarayıcı size ekranınızın altında turuncu kenarlara sahip bir kutucuk gösterecektir.

Birçok tarayıcı için, işleminize devam etmeden önce dosyayı kaydetmeniz iyi bir fikir olacaktır, bu yüzden "Kaydet" butonuna tıklayın. Tarayıcıların birçoğu indirilen dosyaları varsayılan olarak "Downloads" (İndirilenler) klasörüne kaydeder.

OTR'ı indirmek Anchor link

Pidgin'in OTR'la kullanılabilmesi için yazılmış bir eklenti olan pidgin-otr'ı, OTR'ın indirme sayfasından elde edebilirsiniz.

Sayfanın "Downloads" (İndirmeler) kısmında gitmek için, "Downloads" (İndirmeler) sekmesine tıklayın. Açılan sayfadan "Win32 installer for pidgin" (Pidgin için Win32 yükleyicisi) linkine tıklayın.

Birçok internet tarayıcısı, bu dosyayı indirmeye çalışırken emin olup olmadığınızı soracaktır. Internet Explorer 11 kullanıyorsanız, tarayıcı size ekranınızın altında turuncu kenarlara sahip bir kutucuk gösterecektir.

Birçok tarayıcı için, işleminize devam etmeden önce dosyayı kaydetmeniz iyi bir fikir olacaktır, bu yüzden "Kaydet" butonuna tıklayın. Tarayıcıların birçoğu indirilen dosyaları varsayılan olarak "Downloads" (İndirilenler) klasörüne kaydeder.

Pidgin ve pidgin-otr dosyalarını indirdikten sonra, "Downloads" (İndirilenler) klasörünüzde bu dosyalara sahip olmalısınız:

Pidgin'i yüklemek Anchor link

"Windows Explorer" (Windows Gezgini) penceresini açık tutun ve pidgin-2.10.9-offline.exe dosyasına çift tıklayın. Bu modülde kullanılan dosya adı mutlaka kendi bilgisayarınızda gördüğünüz uymayabilir. Bu dosyanın kurulumuna izin verip vermediğiniz sorulacak. "Yes" (Evet) butonuna tıklayın.

Programın dilini seçmeniz için ufak bir pencere açılacak. Dilinizi seçtikten sonra "OK" (Tamam) butonuna tıklayın.

Kurulum işleminin kısa bir özetini gösteren bir pencere açılacak. "Next" (İleri) butonuna tıklayın.

Lisans sayfasını göreceksiniz. "I Agree" (Kabul Ediyorum) butonuna tıklayın.

Bu aşamada hangi farklı bileşenlerin kurulduğunu göreceksiniz. Ayarlarda bir değişiklik yapmayın. "Next" (İleri) butonuna tıklayın.

Artık Pidgin'in nereye yükleneceğini görebilirsiniz. Kurulum yerini değiştirmeyin. "Next" (İleri) butonuna tıklayın.

Bu pencerede "Installation Complete" (Kurulum Tamamlandı) mesajını görene kadar akan bazı yazılar göreceksiniz. Kurulum tamamlandıktan sonra "Next" (İleri) butonuna tıklayın.

Nihayet Pidgin kurulumunun son penceresini göreceksiniz. "Finish" (Bitir) butonuna tıklayın.

pidgin-otr'ı yüklemek Anchor link

"Windows Explorer" (Windows Gezgini) penceresine geri dönün ve pidgin-otr-4.0.0.-1.exe dosyasına çift tıklayın. Programın yüklenmesine izin verip vermediğiniz sorulacak. "Yes" (Evet) butonuna tıklayın.

Kurulum işleminin kısa bir özetini gösteren bir pencere açılacak. "Next" (İleri) butonuna tıklayın.

Lisans sayfasını göreceksiniz. "I Agree" (Kabul Ediyorum) butonuna tıklayın.

pidgin-otr'ın nereye yükleneceğini görebilirsiniz. Kurulum yerini değiştirmeyin. "Next" (İleri) butonuna tıklayın.

Nihayet Pidgin kurulumunun son penceresini göreceksiniz. "Finish" (Bitir) butonuna tıklayın.

Pidgin'i yapılandırmak Anchor link

"Start" (Başlat) menüsüne gidin ve menüden Pidgin'i seçin.

Hesap eklemek Anchor link

Pidgin ilk kez açıldığında, uygulama sizi hesap eklemeniz için bir pencereyle karşılayacak. Daha önce herhangi bir hesap eklemediğinizden, "Add" (Ekle) butonuna tıklayın.

"Add Account" (Hesap Ekle) penceresini göreceksiniz. Pidgin bir çok sohbet sistemleriyle uyumludur, ancak biz daha önce Jabber olarak da bilinen XMPP üzerinde yoğunlaşacağız.

"Protocol" (Protokol) kısmından "XMPP" seçeneğine tıklayın.

"Username" (Kullanıcı adı) kısmına XMPP kullanıcı adınızı yazın.

"Domain" (Alan adı) kısmına XMPP hesabınızın alan adını girin.

"Password" (Şifre) kısmına XMPP şifrenizi girin.

"Remember password" (Şifreyi hatırla) bölümünün yanındaki kutucuğu işaretlemek hesabınıza erişimi kolaylaştıracaktır. Ancak bu seçeneği işaretlerseniz, şifreniz bilgisayarınıza kaydedilir ve bilgisayarınızı kullanan biri şifrenize erişebilir. Eğer bu durumdan endişe duyuyorsanız, bu seçeneği işaretlemeyin. Bu seçeneği işaretlememeniz durumunda, Pidgin'i her başlattığınızda uygulama sizden XMPP şifrenizi girmenizi isteyecektir.

Bir arkadaş eklemek Anchor link

Şimdi konuşmak için listenize birini eklemek isteyeceksiniz. "Buddies" (Arkadaşlar) menüsünden "Add Buddy" (Arkadaş Ekle) seçeneğine tıklayın. "Add Buddy" (Arkadaş Ekle) penceresi açılacak.

Bu pencereye konuşmak istediğiniz kişinin kullanıcı adını girebilirsiniz. İsmini gireceğiniz kişinin sizinle aynı sunucu üzerinde olmasına gerek yoktur, ancak aynı protokolü, yani XMPP'yi, kullanma zorunluluğunuz vardır.

"Buddy's username" (Arkadaşınızın kullanıcı adı) bölümüne arkadaşınızın kullanıcı adını ve alan adını girin. Bu girdi bir eposta adresine benzeyecek.

"(Optional) Alias" ([Opsiyonel] Rumuz) bölümüne arkadaşınız için seçtiğiniz bir ismi yazabilirsiniz. Bu özellik tamamen isteğe bağlıdır. Konuştuğunuz kişinin XMPP hesabını hatırlamakta güçlük çekeceğinizi düşünüyorsanız, bu özellik size yardımcı olabilir.

"Add" (Ekle) butonuna tıklayın.

"Add" (Ekle) butonuna tıkladıktan sonra, Boris sizden onu arkadaş listenize eklemeniz için bir yetkilendirme mesajı alacak. Boris bu mesajı onayladıktan sonra hesabınızı listesine ekleyecek ve siz de aynı yetkilendirme mesajını alacaksınız. "Authorize" (Yetkilendir) butonuna tıklayın.

OTR eklentisini yapılandırmak Anchor link

Şimdi güvenli bir şekilde sohbet edebilmek için OTR eklentisini yapılandıracaksınız. "Tools" (Araçlar) menününden "Plugins" (Eklentiler) seçeneğine tıklayın.

Sayfayı "Off-the-Record Messaging" (Kayıt Dışı Mesajlaşma) bölümünün olduğu kısma kadar indirin ve kutucuğu işaretleyin. "Off-the-Record Messaging" (Kayıt Dışı Mesajlaşma) girdisine tıklayın ve "Configure Plugin" (Eklentiyi Yapılandır) butonuna tıklayın.

"Off-the-Record Messaging"in (Kayıt Dışı Mesajlaşma) yapılandırma penceresi açılacak. "No key present" (Bir anahtar mevcut değil) mesajını göreceksiniz. "Generate" (Oluştur) butonuna tıklayın.

Küçük bir pencere açılacak ve bir anahtar oluşturulacak. İşlem tamamlandığında "OK" (Tamam) butonuna tıklayın.

Yeni bir bilgi göreceksiniz: 8 karakterden oluşan 5 gruba ayrılmış, toplam 40 karakter uzunluğunda bir metin dizisi. Bu sizin OTR parmak iziniz. "Close" (Kapat) butonuna tıklayın.

"Plugins" (Eklentiler) penceresini de kapatın.

Güvenle sohbet etmek Anchor link

Artık Boris'le sohbet edebilirsiniz. İkiniz de birbirinize mesaj gönderebilirsiniz. Ancak halen güvenli bir şekilde sohbet etmiyoruz. XMPP sunucusuna bağlanıyor olsanız bile, Boris ve sizin aranızdaki bağlantı güvenli olmayabilir. Konuşma penceresine bakarsanız, sağ alt kısımda kırmızı renklerle "Not private" (Gizli değil) yazdığını göreceksiniz. "Not private" (Gizli değil) butonuna tıklayın.

Bir menü açılacak. "Authenticate buddy" (Arkadaş doğrula) seçeneğine tıklayın.

Bir pencere açılacak. "How would you like to authenticate your buddy?" (Arkadaşınızı nasıl doğrulamak istersiniz?) şeklinde bir soruyla karşılaşacaksınız.

Aşağı açılan menüde üç seçenek göreceksiniz:

Ortak parola Anchor link

Ortak parola, sizin ve konuşacağınız insanın önceden belirlediği bir kelime veya kelimeler bütünüdür. Bu parolayı yüz yüzeyken paylaşmalı ve kesinlikle Skype ya da eposta gibi güvenli olmayan iletişim kanalları üzerinden paylaşmamalısınız.

Belirlediğiniz parolayı arkadaşınızla birlikte girmeniz gerekmektedir. "Authenticate" (Doğrula) butonuna tıklayın.

Ortak parola doğrulaması, arkadaşınızla gelecekte konuşmak için bir plan yaptığınız ve kullandığınız bilgisayar ile OTR parmak izinizi yaratmadığınız durumlarda faydalıdır. İkiniz de Pidgin kullanıyorsanız, bu sadece çalışır.

Parmak izinin kullanıcı tarafından doğrulanması Anchor link

Parmak izinin kullanıcı tarafından manuel olarak doğrulanması, arkadaşınızın OTR parmak izine sahipseniz ve Pidgin'e bağlanıyorsanız faydalıdır. Arkadaşınız bilgisayarını değiştirdiyse ve yeni bir OTR parmak izi yaratmak zorunda kaldıysa, bu işlemin bir faydası yoktur.

Arkadaşınızın size verdiği ve sizin ekranınızda gördüğünüz parmak izleri birbiriyle uyuşuyorsa, "I have" (Doğruladım) seçeneğini işaretleyin ve "Authenticate" (Doğrula) butonuna tıklayın.

Soru ve cevap Anchor link

Soru ve cevap doğrulaması, arkadaşınızla daha önceden ortak bir parola belirlemediyseniz ve parmak izlerinizi paylaşma şansınız olmadıysa oldukça faydalıdır. Sadece konuşacağınız kişi ve sizin bilebileceğiniz bir bilgiye (ortak bir anı gibi) dayanarak bu doğrulamayı yapabilirsiniz.
İkiniz de Pidgin kullanıyorsanız, bu sadece çalışır.

Sormak istediğiniz soruyu yazın. Soracağınız soru başkasının tahmin edebileceği kadar kolay olmasın, ancak cevaplaması imkansız da olmasın. "En son buluştuğumuzda nerede yemek yemiştik?" sorusu iyi bir sorudur. "Tokyo'da elma satılıyor mu?" gibi bir soru ise iyi bir soru değildir.

Cevabınızı yazarken, cevabınızın doğru cevapla birebir eşleşmesi gerektiğini dikkate alın. Büyük-küçük harf farkı vardır, bu yüzden parantez içinde bir not yazmayı (büyük harf kullanın ya da küçük harf kullanın gibi) düşünebilirsiniz.

Soru ve cevabı yazdıktan sonra "Authenticate" (Doğrula) butonuna tıklayın.

Arkadaşınız ekranında cevapladığınız soruyu içeren bir pencere açılacak ve arkadaşınızdan da soruya cevap verilmesi istenecek. Sorunun cevabını yazdıktan sonra arkadaşınız "Authenticate" (Doğrula) butonuna tıklayacak. Daha sonra arkadaşınız doğrulamanın başarıyla gerçekleştiğini belirten bir mesaj alacak.

Arkadaşınız doğrulama işlemini başarıyla tamamladıktan sonra, ekranınızda doğrulama işleminin tamamlandığını gösteren bir pencere açılacak.

İletişiminizin güvenli olduğundan emin olmak için, arkadaşınızın da hesabınızın doğruluğunu teyit etmesi yararınıza olacaktır. Bu teyit işlemi Boris ve Akiko'nun ekranlarında aşağıdaki şekilde gözükecektir. Sohbet ekranının sağ alt köşesinde bulunan yeşil renkteki "Private" (Gizli) yazısına dikkat edin.

Diğer yazılımlarla çalışma Anchor link

Kimlik doğruluğunu teyit etme mekanizmaları Jitsi, Pidgin, Adium ve Kopete gibi diğer yazılımlarla da çalışır. XMPP ve OTR üzerinden sohbet edebilmek için aynı yazılımı kullanmak zorunda değilsiniz, ancak bazen diğer yazılımlarla sorun yaşayabilirsiniz. OS X işletim sistemi üzerinde çalışan bir sohbet uygulaması olan Adium, soru ve cevap doğrulaması sırasında hata verir. Soru ve cevap doğrulaması yapmaya çalışırken başkalarının kimliklerini teyit etmekte problem yaşıyorsanız, kullandığınız programın Adium olup olmadığına dikkat edin ve diğer teyit yöntemlerinden birini kullanmaya çalışın.

Son güncelleme: 
2015-02-10
Bu sayfa İngilizce'den çevrilmiştir. Sayfanın İngilizce versiyonu daha güncel olabilir.
JavaScript license information