Hoe (en waarom) OTR gebruiken voor privé expresberichten
OTR staat voor "off the record". Het is een manier om online chatgesprekken online te chatten. Het maakt gebruik van end-to-end-codering zodat uw netwerkprovider, overheid en zelfs de instant-messaging-service zelf de inhoud van uw berichten niet kunnen zien.
Dit is niet zo moeilijk om in te stellen, hoewel beide mensen de juiste software moeten gebruiken en een snel installatieproces moeten doorlopen voordat uw gesprekken worden gecodeerd.
Hoe OTR werkt
Zoals alle software is OTR niet perfect. Elke kwetsbaarheid in libpurple - de mssaging-bibliotheek die in zowel Pidgin als Adium wordt gebruikt - of een kwetsbaarheid in de OTR-plug-in zelf kan een aanvaller in staat stellen om uw beveiligde sessie te compromitteren. Als de NSA echt naar je op zoek was, is het mogelijk dat ze al een manier hebben om OTR te verbreken.
Maar OTR heeft meer toepassingen dan alleen je gesprekken verbergen van de NSA. Het biedt een extra laag codering en authenticatie via AIM, Google Talk, ICQ, Yahoo! Messenger, MSN Messenger of elk ander protocol dat door Pidgin of Adium wordt ondersteund. Hiermee verbergt u wat u bedoelt van de instant messaging-service die u gebruikt, uw internetprovider, uw lokale netwerkoperator en, in theorie, inlichtingendiensten die uw internetgebruik bewaken..
OTR biedt ook authenticatie, dus je hebt een garantie dat je met de echte persoon praat. Zelfs als hun account in gevaar was en iemand anders probeerde met je te praten met hun schermnaam, zag je een foutmelding omdat de coderingsinformatie niet klopte.
Hoewel OTR waarschijnlijk niet perfect is, kan het wat extra privacy toevoegen als je online over gevoelige zaken moet praten.
OTR instellen
OTR is een plug-in voor de Pidgin instant messenger. Om het te gebruiken, moet je Pidgin en de Pidgin-OTR plug-in installeren. Beide zijn beschikbaar voor Windows en moeten zich in de softwarebronnen van uw Linux-distributie bevinden. Mac OS X-gebruikers moeten Adium gebruiken.
Start na installatie Pidgin en stel uw accounts in als u dat nog niet hebt gedaan. Ga naar het menu Tools> Plug-ins en activeer de plug-in Off-the-Record Messaging.
Klik op de knop Plug-in configureren om de opties te bekijken. Selecteer het account waarmee u privé wilt chatten en klik op de knop Genereren om een privésleutel voor dat specifieke account te maken. Deze sleutel wordt gebruikt om uw berichten te versleutelen.
U moet voor elk account afzonderlijk sleutels genereren als u OTR met meerdere accounts wilt gebruiken.
Als de persoon met wie je wilt praten nog geen OTR heeft ingesteld, moeten ze dit proces op hun eigen computer doorlopen om hun software in te stellen en een privésleutel te genereren.
Start een privégesprek
Open vervolgens een gespreksvenster met de persoon met wie je wilt praten. U ziet een OTR-knop met de tekst 'Niet privé' als een gesprek niet is beveiligd met OTR. Klik op de knop en selecteer Privégesprek beginnen om te beginnen.
U ziet nu een bericht dat de sessie is beveiligd met codering, maar dat uw buddy niet is geverifieerd. Als dit niet werkt, heeft uw buddy waarschijnlijk niet OTR ingesteld en correct geconfigureerd.
Verifieer je buddy
U wilt nu uw buddy verifiëren of verifiëren. Om dit proces te starten, klikt u nogmaals op de OTR-knop en selecteert u Authenticate buddy.
Selecteer Vraag en antwoord, Gedeeld geheim of Handmatige vingerafdrukverificatie. Het idee hier is dat je verifieert dat de persoon met wie je verbonden bent, in feite je buddy is en geen bedrieger. U kunt bijvoorbeeld van te voren persoonlijk afspreken en een geheime zin kiezen die u later zult gebruiken of een vraag stellen die alleen zij zouden weten.
Je buddy zal de authenticatie prompt zien en zal moeten reageren met het exacte bericht dat je hebt getypt. Het is hoofdlettergevoelig.
Nadat de verificatie is voltooid, verandert de status van uw gesprek van Niet geverifieerd in privé.
Bekende sleutelvingerafdrukken
De OTR-invoegtoepassing onthoudt nu de sleutelvingerafdruk van uw buddy. De volgende keer dat u verbinding maakt met die buddy, controleert deze of ze dezelfde sleutel gebruiken en deze automatisch verifiëren. Als iemand anders zijn account in gevaar brengt en probeert verbinding te maken met een andere vingerafdruk, weet u dat.
Maak toekomstige gesprekken privé
De plug-in moet nu automatisch een veilig gesprek beginnen met je buddy, elke keer dat je met hem praat.
Merk op dat het eerste bericht dat in elk gesprek wordt verzonden en ontvangen ongecodeerd wordt verzonden! Het beveiligde gesprek wordt pas gestart nadat het bericht is verzonden. Daarom is het een goed idee om gesprekken te beginnen met een snelle begroeting zoals 'Hallo'. Begin geen gesprek met iets gevoeligs, zoals 'Laten we protesteren tegen [locatie]' of een gevoelig bedrijfsgeheim onthullen..
OTR is waarschijnlijk niet nodig voor de overgrote meerderheid van gesprekken, maar het biedt wat extra privacy wanneer je over iets gevoeligs moet praten. Het zou goed genoeg moeten werken, maar we moeten waarschijnlijk aannemen dat er ergens in Pidgin of de OTR-plug-in beveiligingsgaten zitten waar inlichtingendiensten van zouden kunnen profiteren, net zoals er in alle stukken software is.
Natuurlijk zal het gebruik van OTR altijd meer privé zijn dan praten in duidelijke tekst! (Tenzij de NSA meer aandacht aan u gaat besteden wanneer zij zien dat u coderingssoftware gebruikt, wat ook een mogelijkheid is.)