Co to jest przesyłanie poza rejestracją (OTR)?
Dla dziennikarzy umiejętność ochrony źródła jest niezbędna do skutecznego komunikowania się z wartościowymi ludźmi. W przypadku źródeł stawka jest jeszcze wyższa: ich bezpieczeństwo i wolność zależą od tego, czy nie zostaną zidentyfikowane jako źródło opowieści.
Samo objawienie, że ktoś w korporacji lub organizacji rządowej rozmawiał z reporterem, może być tak samo szkodliwe jak treść samej rozmowy.
Wyobraź to sobie: po otrzymaniu anonimowego napiwku duża publikacja prasowa opowiada o dużej firmie naftowej, która zatajała wypadek. Dzień po wybuchu historii korporacja dowiaduje się, że pracownik niedawno wymienił zaszyfrowane informacje z kimś z firmy prasowej. Korporacja natychmiast wypuszcza wyciek, kończąc karierę, i grozi wyciekom wielkim, grubym pozwem sądowym.
Komunikacja poza rejestracją pomaga zapobiegać rozwojowi tych scenariuszy.
„Off-the-record” (OTR) jako termin w dziennikarstwie odnosi się do informacji ze źródeł, które oficjalnie nie istnieją, lub rozmów, które „nie miały miejsca”. Informacje te mogą, ale nie muszą pochodzić ze znanych źródeł dziennikarzowi, przybierając formę czegokolwiek, od anonimowego typu tip-tip po informacje z zaufanego źródła.
Podczas gdy wiele poważanych organizacji prasowych przestrzega zasad, aby nie publikować informacji udostępnianych poza rekordem, informacje te mogą nadal odgrywać kluczową rolę w kierowaniu dziennikarzy we właściwym kierunku lub pomaganiu dziennikarzom w znalezieniu źródeł cytowanych z tymi samymi informacjami.
Rzućmy okiem na wiadomości OTR i jak to działa.
OTR stosuje tajemnicę terminową
Aby zrozumieć funkcje OTR, najpierw spójrzmy na dość dobrą prywatność (PGP), która wyprzedza OTR o ponad 10 lat. PGP to oprogramowanie szyfrujące, w którym nadawca i odbiorca tworzą parę kluczy szyfrowania, których używają do szyfrowania wiadomości i danych. Jest popularny w wiadomościach e-mail i transferach plików, a także umożliwia użytkownikom podpisywanie danych za pomocą statycznego klucza publicznego w celu potwierdzenia ich autentyczności. Ten klucz jest często publikowany na stronie internetowej właściciela lub w katalogach i może być używany przez długi czas przez właściciela.
Chociaż oprogramowanie szyfrujące, takie jak PGP, skutecznie utrzymuje zawartość przekazywanych danych w tajemnicy, ma kilka wad, jeśli chodzi o utrzymywanie kontaktu ze źródłami. Jeśli Twój klucz szyfrowania zostanie ujawniony, osoba atakująca może odszyfrować wszystkie poprzednie konwersacje, jeśli przechwycił i nagrał zaszyfrowane wiadomości.
OTR chroni twoje wiadomości przed deszyfrowaniem poprzez stosowanie „idealnej tajemnicy przekazywania”.
Przekazywanie tajemnicy oznacza, że masz dzisiaj tajemnicę, nawet jeśli twój klucz zostanie naruszony w przyszłości. OTR zapewnia poufność przekazywania przy użyciu innego klucza dla każdej sesji, który nie jest zapisywany po zakończeniu sesji.
Wadą posiadania różnych kluczy dla każdej sesji jest to, że nie możesz odzyskać swojej historii bez logowania jej zwykłym tekstem, co może narazić Cię na szwank. Co więcej, nie ma możliwości dowiedzenia się, czy druga strona Cię loguje, ale nie ujawniłbyś swojej tożsamości ani cennych informacji, gdybyś im nie ufał, prawda?
OTR zapewnia niezaprzeczalne uwierzytelnianie i szyfrowanie
Odmowa uwierzytelnienia
W PGP możesz użyć klucza statycznego do podpisania dowolnego rodzaju danych lub tekstu. Podpis ten uwierzytelnia Cię bez wątpienia i pokazuje, że utworzyłeś lub zatwierdzasz niektóre wiadomości. Ale ponieważ podpis ten jest widoczny dla każdego obserwatora, może ujawnić tożsamość dwóch komunikujących się stron.
Praktyki OTR niezaprzeczalne uwierzytelnienie. Oznacza to, że podsłuchujący nie jest w stanie powiedzieć wyłącznie na podstawie zaszyfrowanych wiadomości, z kim się komunikuje. Tylko uczestnicy otrzymują informacje o swojej tożsamości w formie odcisku palca.
Aby zweryfikować się nawzajem i upewnić się, że nikt nie wykonuje ataku typu man-in-the-middle, możesz opublikować swoje odciski palców lub wymienić je za pośrednictwem alternatywnego kanału, na przykład osobiście lub w profilach społecznościowych. Ta wymiana odcisków palców jest ważną funkcją, która sprawia, że OTR jest znacznie bardziej anonimowy niż PGP.
Odmowa szyfrowania
Podobnie jak uwierzytelnianie, PGP pozwala obserwatorowi lub podsłuchującemu zobaczyć, który klucz prywatny odblokowuje zaszyfrowany plik. Nawet jeśli atakujący nie może zdobyć tego klucza prywatnego, wie, kto go posiada, i może wywrzeć presję na ofiarę lub podejrzanego o przestępstwo w celu odszyfrowania pliku.
W OTR nie można zobaczyć, kto trzyma klucz do zaszyfrowanej rozmowy. Ponadto możliwe jest, że klucz został zniszczony natychmiast po rozmowie. To się nazywa niezaprzeczalne szyfrowanie.
Chociaż zarówno niezawodne uwierzytelnianie, jak i szyfrowanie może być zapewniające, a nawet ważne w niektórych kontekstach, istnieją inne sposoby na połączenie kluczy dwóch stron z ich prawdziwą tożsamością, na przykład za pośrednictwem kanałów czatu, kont i adresów IP używanych w rozmowie.
Czytaj dalej, aby dowiedzieć się, jak zabezpieczyć swoją anonimowość podczas korzystania z komunikacji OTR.
Podstawowe wymagania dotyczące OTR
Teoretycznie korzystanie z OTR jest podobne do PGP, ale nie musisz martwić się o ręczne tworzenie, publikowanie i udostępnianie kluczy ani martwienie się o ich daty ważności. Oto podstawowe kroki korzystania z OTR.
- Zainstaluj oprogramowanie OTR. Ponieważ OTR jest ograniczony do czatów, jest dostarczany w pakiecie z różnorodnym oprogramowaniem do czatowania, w szczególności Pidgin (Windows, Linux), Adium (Mac OS X), Chat Secure (iOS, Android) i Tor Messenger (wieloplatformowy, wciąż w wersji beta).
- Skonfiguruj konto czatu zgodne z tymi klientami komunikatorów. Konto musi co najmniej obsługiwać protokoły takie jak jabber / xmpp, otwarty i zdecentralizowany system, który działa podobnie jak poczta elektroniczna. Większość kont Gmail lub Google Apps działa również jako konta Jabber – bez dodatkowych kosztów. Istnieje również wiele usług, które pozwalają ci zarejestrować konto Jabber swobodnie i anonimowo.
- Dodaj swoje kontakty jako „kumple”, aby z nimi czatować. Podaj adres Jabbera, który wygląda podobnie do adresu e-mail lub jest taki sam.
- Aby zainicjować wiadomość OTR, kliknij „rozpocznij prywatną rozmowę” lub kliknij symbol kłódki, w zależności od używanego oprogramowania.
- Aby zweryfikować tożsamość swojego znajomego, udostępnij sobie swój odcisk palca. Możesz zobaczyć swój odcisk palca, klikając „weryfikacja ręczna” w oknie czatu. Jeśli masz już ustanowiony zweryfikowany zaszyfrowany kanał, możesz się nawzajem zweryfikować za jego pośrednictwem. Możesz również wpisać swój odcisk palca na swojej stronie internetowej lub w mediach społecznościowych.
Jak zachować anonimowość w OTR
Chociaż sam protokół OTR jest niesamowity w ochronie Twojej prywatności i anonimowości, jest mniej skuteczny, jeśli korzystasz z kanału, który można powiązać z Twoją prawdziwą tożsamością. Zaprzeczalność kryptograficzna jest świetna w teorii, ale przeczy celowi, jeśli komunikujesz się za pośrednictwem służbowego konta Google Apps, gdzie twój pracodawca, Google i prawdopodobnie rząd mogą zobaczyć, do kogo wysyłasz wiadomości. Często wystarczy im wyciągnąć wnioski na temat tożsamości Twojego źródła i współpracowników.
Oto jak zachować anonimowość podczas korzystania z OTR.
Krok 1: Użyj wielu kont
Pierwszym krokiem do poprawy prywatności jest korzystanie z wielu kont i świadomość, kto dodasz do którego konta. Możesz przejść do utworzenia nowego konta dla każdego ze swoich kontaktów. Aby uniknąć analizy korelacji czasu i miejsca logowania, możesz zarejestrować te konta na różnych serwerach i usługach.
Krok 2: Połącz się z OTR przez VPN lub Tor
Drugim krokiem jest zawsze łączyć się z tymi kontami czatu za pośrednictwem VPN, a nawet Tora, zwłaszcza gdy się rejestrujesz. Wystarczy jednorazowe zalogowanie się z adresu IP w domu lub pracy, aby cię skompromitować.
Krok 3: Zweryfikuj tożsamość odbiorcy
Ostatni krok jest najbardziej męczący: zweryfikowanie tożsamości odbiorcy. Jest to szczególnie ważne, aby upewnić się, że żadna strona trzecia nie przechwytuje wymiany w środku, zastępując klucze OTR twojego kontaktu. Twoje połączenie będzie wyglądać na bezpieczne i zaszyfrowane, ale tak naprawdę może nie być, dopóki nie zweryfikujesz kluczy.
Aby rzetelnie zweryfikować tożsamość odbiorcy, dobrą praktyką jest nadawanie odcisku palca za pośrednictwem zaufanego kanału, takiego jak wizytówka, strona internetowa lub konto w mediach społecznościowych. (Możesz znaleźć swój odcisk palca w „ustawieniach” lub „ręcznie zweryfikować”).
Jak zachować anonimowość podczas udostępniania plików
Chociaż protokół Jabber i wielu klientów teoretycznie pozwalają na udostępnianie plików lub załączników, rzadko działa i nie używa szyfrowania.
Aby udostępnić pliki, ExpressVPN zaleca Onionshare, usługę udostępniania plików P2P zbudowaną przez Tora. W ten sposób żadna ze stron nie może łatwo zidentyfikować drugiej osoby za pomocą adresu IP, a plik jest szyfrowany podczas przesyłania.
Podobnie jak w przypadku innych plików do pobrania, pamiętaj, że pliki mogą zawierać złośliwy kod, który może cię zdanonimizować. Najlepszym rozwiązaniem jest rozłączenie się z Internetem przed otwarciem plików lub otwarcie plików w maszynie wirtualnej.
Uważaj na klikanie wszelkiego rodzaju linków, zwłaszcza skróconych, ponieważ mogą one zawierać kody śledzenia, które umożliwiają identyfikację z drugą stroną. Jeśli musisz otworzyć podejrzane linki, otwórz je tylko w przeglądarce Tor.
Kliknij tutaj, aby dowiedzieć się, jak skonfigurować anonimowe konto Jabber z szyfrowaniem OTR.
Polecane zdjęcie: Scott Griessel / Dollar Photo Club