Čo je to mimo-záznamové správy (OTR)?

Pre novinárov je schopnosť chrániť zdroj životne dôležitá pre úspešnú komunikáciu s hodnotnými ľuďmi. Pokiaľ ide o zdroje, podiel je ešte vyšší: ich bezpečnosť a sloboda závisia od toho, že nebudú identifikované ako zdroj príbehu.

Samotné odhalenie, že niekto vo vnútri spoločnosti alebo vládnej organizácie hovoril s reportérom, môže byť rovnako škodlivé ako obsah samotnej konverzácie..

Predstavte si to: Po prijatí anonymného tipu vypíše hlavná tlačová správa príbeh o veľkej ropnej spoločnosti, ktorá zakrývala nehodu. Deň po skončení príbehu sa spoločnosť dozvie, že zamestnanec si nedávno vymieňal šifrované informácie s niekým zo spravodajskej spoločnosti. Spoločnosť okamžite vystrelí únik, ukončí svoju kariéru a hrozí únikom veľkým tučným súdom.

Komunikácia mimo záznamu pomáha zabrániť tomu, aby sa tieto scenáre rozvinuli.

„Off-the-record“ (OTR) ako pojem v žurnalistike označuje informácie zo zdrojov, ktoré oficiálne neexistujú, alebo rozhovory, ktoré „sa nestali“. Tieto informácie môžu, ale nemusia pochádzať zo známych zdrojov. novinárovi vo forme čokoľvek od anonymného tipovania až po informácie z dôveryhodného zdroja.

Aj keď mnohé seriózne spravodajské organizácie majú politiku nezverejňovať informácie zdieľané mimo záznamu, tieto informácie môžu stále zohrávať rozhodujúcu úlohu pri nasmerovaní novinárov správnym smerom alebo pri pomoci novinárom nájsť citovateľné zdroje s rovnakými informáciami..

Pozrime sa na správy OTR a ako to funguje.

OTR používa forwardové tajomstvo

Aby sme pochopili vlastnosti OTR, poďme sa najprv pozrieť na Pretty Good Privacy (PGP), ktoré predchádza OTR pred viac ako 10 rokmi. PGP je šifrovací softvér, v ktorom odosielateľ a príjemca vytvárajú pár šifrovacích kľúčov, ktoré používajú na šifrovanie správ a údajov. Je obľúbený pre e-maily a prenosy súborov a tiež umožňuje používateľom podpisovať údaje statickým verejným kľúčom, aby sa preukázala ich autenticita. Tento kľúč sa často zverejňuje na webových stránkach vlastníka alebo v adresároch a jeho majiteľ ho môže dlho používať.

Aj keď šifrovací softvér, ako je PGP, účinne udržuje obsah komunikovaných údajov v tajnosti, má niekoľko nedostatkov, pokiaľ ide o kontakt s vašimi zdrojmi. Ak je odhalený váš šifrovací kľúč, môže útočník dešifrovať všetky vaše predchádzajúce konverzácie, ak zachytili a zaznamenali zašifrované správy..

OTR chráni vaše správy pred dešifrovaním praktizovaním „dokonalého utajenia vpred“.

Predné utajenie znamená, že dnes máte utajenie, aj keď v budúcnosti dôjde ku kompromitácii vášho kľúča. OTR poskytuje forwardové tajomstvo pomocou iného kľúča pre každú reláciu, ktorý sa po skončení relácie neukladá.

Nevýhodou toho, že pre každú reláciu sú rôzne kľúče, je to, že svoju históriu nemôžete načítať bez prihlásenia do čistého textu, čo by vás mohlo neskôr ohroziť. Okrem toho neexistuje žiadny spôsob, ako zistiť, či vás druhá strana prihlasuje, ale svoju totožnosť alebo cenné informácie by ste im neodhalili, ak by ste im neverili, že začnú.?

OTR umožňuje odmietnuteľnú autentifikáciu a šifrovanie

Odmietnuteľná autentifikácia

V PGP môžete pomocou statického kľúča podpísať akékoľvek dáta alebo text. Tento podpis vás bez akýchkoľvek pochybností overí a ukáže, že ste určité správy vytvorili alebo schválili. Keďže tento podpis je viditeľný pre každého pozorovateľa, môže odhaliť totožnosť oboch komunikujúcich strán.

Postupy OTR odmietnuteľná autentifikácia. To znamená, že pre odpočúvateľa nie je možné povedať iba šifrované správy, s ktorými komunikuje. Informácie o identite druhých dostanú iba účastníci vo forme odtlačku prsta.

Ak si chcete navzájom overiť totožnosť a ubezpečiť sa, že nikto nevykonáva útok typu človek v strede, môžete svoje odtlačky prstov zverejniť alebo si ich vymeniť prostredníctvom alternatívneho kanála, napríklad osobne alebo na svojich profiloch sociálnych médií. Táto výmena odtlačkov prstov je dôležitá vlastnosť, vďaka ktorej je OTR podstatne anonymnejšia ako PGP.

Odmietnuteľné šifrovanie

Podobne ako pri autentifikácii, PGP umožňuje pozorovateľovi alebo odposluchu vidieť, ktorý súkromný kľúč odblokuje šifrovaný súbor. Aj keď útočník nemôže získať tento súkromný kľúč, vie, kto ho vlastní, a môže vyvinúť tlak na obeť alebo podozrivého z trestného činu na dešifrovanie spisu..

V OTR nie je možné zistiť, kto má kľúč k šifrovanej konverzácii. Okrem toho je možné, že kľúč bol zničený okamžite po rozhovore. Toto sa volá nepovolené šifrovanie.

Aj keď v niektorých kontextoch môže byť zaistenie alebo šifrovanie, ktoré je možné odmietnuť, zabezpečené alebo dokonca dôležité, existujú aj iné spôsoby, ako spätne prepojiť kľúče dvoch strán k ich skutočným identitám, napríklad prostredníctvom kanálov rozhovoru, účtov a IP adries používaných v konverzácii..

Čítajte ďalej a zistite, ako zabezpečiť anonymitu pri používaní komunikácie OTR.

Základné požiadavky na OTR

Teoreticky je používanie protokolu OTR podobné PGP, nemusíte sa však obávať ručného vytvárania, publikovania a zdieľania kľúčov alebo starostí s dátumami vypršania jeho platnosti. Tu sú základné kroky na používanie protokolu OTR.

  1. Nainštalujte softvér OTR. Keďže OTR je obmedzený na chaty, dodáva sa s celým radom chatového softvéru, najmä Pidgin (Windows, Linux), Adium (Mac OS X), Chat Secure (iOS, Android) a Tor Messenger (naprieč platformami, stále v beta verzii).
  2. Vytvorte si chatový účet kompatibilný s týmito klientmi Messenger. Účet musí podporovať aspoň protokoly ako jabber / xmpp, otvorený a decentralizovaný systém, ktorý funguje podobne ako e-mail. Väčšina účtov Gmail alebo Google Apps funguje aj ako účty typu jabber – bez ďalších poplatkov. Existuje tiež veľa služieb, ktoré vám umožňujú bezplatne a anonymne zaregistrovať konto jabber.
  3. Ak chcete s nimi četovať, pridajte svoje kontakty ako „kamaráti“. Zadajte svoju jabberovú adresu, ktorá vyzerá podobne alebo je totožná s ich e-mailovou adresou.
  4. Ak chcete iniciovať správu OTR, kliknite na „začať súkromnú konverzáciu“ alebo kliknite na symbol zámku v závislosti od používaného softvéru..
  5. Ak chcete overiť totožnosť svojho priateľa, zdieľajte odtlačky prstov navzájom. Odtlačok prsta môžete vidieť kliknutím na položku „manuálne overenie“ v okne rozhovoru. Ak ste už vytvorili overený šifrovaný kanál, mohli by ste sa navzájom overiť. Svoje odtlačky prstov môžete tiež uviesť na svojich webových stránkach alebo v sociálnych médiách.

Ako udržiavať anonymitu v službe OTR

Aj keď samotný protokol OTR je pri ochrane vášho súkromia a anonymity pomerne úžasný, je menej výkonný, ak používate kanál, ktorý sa dá spätne prepojiť s vašou skutočnou identitou. Mať kryptografickú popierateľnosť je teoreticky skvelé, ale bráni účelu, ak komunikujete prostredníctvom svojho pracovného účtu Google Apps, kde váš zamestnávateľ, Google a pravdepodobne vláda môže vidieť, komu posielate správy. Často im stačí vyvodiť závery o totožnosti vášho zdroja a spolupracovníkov.

Pri používaní protokolu OTR zostaňte anonymní.

Krok 1: Použite viac účtov

Prvým krokom na zlepšenie vášho súkromia je použitie viacerých účtov a uvedomenie si, kto si do ktorého účtu pridáte. Môžete ísť až tak ďaleko, že si vytvoríte nový účet pre každý z vašich kontaktov. Aby ste sa vyhli korelačnej analýze toho, kedy a odkiaľ ste sa prihlásili, môžete tieto účty zaregistrovať na rôznych serveroch a službách.

Krok 2: Pripojte sa k OTR cez VPN alebo Tor

Druhým krokom je vždy pripojenie k týmto chatovým účtom cez VPN alebo dokonca Tor, najmä keď sa prihlasujete. Na to, aby ste sa dostali do kompromisu, stačí prihlásiť sa raz z vašej domácej alebo pracovnej adresy IP.

Krok 3: Overte totožnosť príjemcu

Posledný krok je najnáročnejší: overiť totožnosť príjemcu. Toto je obzvlášť dôležité na zaistenie toho, aby žiadna tretia strana nezrušila výmenu v strede a nahradila ich kľúčmi OTR svojich kontaktov. Vaše pripojenie bude vyzerať bezpečne a šifrované, ale v skutočnosti to nemusí byť, kým neoveríte kľúče.

Ak chcete spoľahlivo overiť totožnosť príjemcu, je dobrým postupom vysielanie odtlačkov prstov prostredníctvom dôveryhodného kanála, ako je napríklad vaša vizitka, webová stránka alebo účet sociálnych médií. (Odtlačok prsta nájdete v časti „Nastavenia“ alebo „Ručne overiť“.)

Ako zostať v anonymite pri zdieľaní súborov

Zatiaľ čo protokol jabber a mnoho klientov teoreticky umožňujú zdieľanie súborov alebo príloh, zriedka funguje a nepoužíva šifrovanie..

Pre zdieľanie súborov ExpressVPN odporúča Onionshare, službu zdieľania súborov P2P vytvorenú prostredníctvom Tor. Týmto spôsobom žiadna zo strán nemôže druhého ľahko identifikovať prostredníctvom svojej adresy IP a súbor je pri prenose šifrovaný.

Ako pri každom sťahovaní, uvedomte si, že súbory môžu obsahovať škodlivý kód, ktorý by vás mohol deanonymizovať. Najlepším riešením je odpojiť sa od internetu pred otvorením súborov alebo otvoriť súbory vo virtuálnom počítači.

Dajte pozor, aby ste klikli na akékoľvek druhy odkazov, najmä na skrátené odkazy, pretože môžu obsahovať kódy sledovania, vďaka ktorým budete identifikovateľní pre druhú stranu. Ak musíte otvoriť podozrivé odkazy, otvorte ich iba v prehliadači Tor.

Kliknutím sem sa dozviete, ako nastaviť anonymný účet Jabber s šifrovaním OTR.

Hlavný obrázok: Scott Griessel / Dollar Photo Club