Kayıt dışı mesajlaşma (OTR) nedir?

Gazeteciler için, bir kaynağı koruma yeteneği değerli insanlarla başarılı bir şekilde iletişim kurmak için hayati önem taşır. Kaynaklar için riskler daha da yüksektir: güvenlikleri ve özgürlükleri bir hikayenin kaynağı olarak tanımlanmamasına bağlıdır.

Bir şirket ya da devlet kuruluşu içindeki bir kişinin bir muhabirle konuştuğu vahiy, konuşmanın içeriği kadar zarar verici olabilir.

Şunu hayal edin: Anonim bir ihbar aldıktan sonra, büyük bir haber yayını kazayı kapsayan büyük bir petrol şirketi hakkında bir hikaye kesiyor. Öykü bittikten sonraki gün, şirket bir çalışanın yakın zamanda haber şirketinden biriyle şifreli bilgi alışverişinde bulunduğunu öğrenir. Şirket, sızıntıyı derhal ateşliyor, kariyerlerini sonlandırıyor ve sızıntıyı büyük bir yağ davasıyla tehdit ediyor.

Kayıt dışı iletişim, bu senaryoların ortaya çıkmasını önlemeye yardımcı olur.

Gazetecilikte bir terim olan “kayıt dışı” (OTR), resmi olarak mevcut olmayan kaynaklardan gelen bilgilere veya “gerçekleşmeyen” sohbetler anlamına gelir. Bu bilgiler bilinen kaynaklardan gelebilir, ancak gelmek zorunda değildir anonim bir bahşişten uzun süredir güvenilir bir kaynaktan gelen bilgilere kadar gazeteciye.

Birçok saygın haber kuruluşunun kayıt dışında paylaşılan bilgileri yayınlamama politikası olsa da, bu bilgiler yine de gazetecileri doğru yöne yönlendirmede veya gazetecilere aynı bilgilere sahip atıflı kaynaklar bulmalarında yardımcı olabilir..

OTR mesajlarına ve nasıl çalıştığına bir göz atalım.

OTR ileri gizliliği kullanıyor

OTR’nin özelliklerini anlamak için, önce OTR’yi 10 yıldan önce geçen Pretty Good Privacy’ye (PGP) bakalım. PGP, gönderenin ve alıcının mesajları ve verileri şifrelemek için kullandıkları bir çift şifreleme anahtarı oluşturduğu şifreleme yazılımıdır. E-postalar ve dosya aktarımları için popülerdir ve ayrıca kullanıcıların özgünlüklerini kanıtlamak için verileri statik bir genel anahtarla imzalamalarına izin verir. Bu anahtar genellikle sahibinin web sitesinde veya dizinlerinde duyurulur ve sahibi tarafından uzun süre kullanılabilir.

PGP gibi şifreleme yazılımı, iletilen verilerin içeriğini gizli tutmakta etkili olsa da, kaynaklarınızla iletişimde kalmayla ilgili birkaç dezavantajı vardır. Şifreleme anahtarınız açıkta kalırsa, bir saldırgan şifrelenmiş iletileri ele geçirip kaydettiyse önceki tüm konuşmalarınızın şifresini çözebilir.

OTR, “mükemmel ileri gizlilik” uygulamasıyla mesajlarınızın şifresinin çözülmesini önler.

İleri gizlilik, gelecekte anahtarınız tehlikeye girse bile bugün gizliliğiniz olduğu anlamına gelir. OTR, oturum bittikten sonra saklanmayan her oturum için farklı bir anahtar kullanarak ileri gizlilik sağlar.

Her oturum için farklı anahtarlara sahip olmanın dezavantajı, geçmişinizi daha sonra ödün verebilecek açık bir metne girmeden alamamanızdır. Ayrıca, karşı tarafın sizi günlüğe kaydedip kaydetmediğini bilmenin bir yolu yoktur, ancak başlangıçlarına güvenmezseniz, kimliğinizi veya onlara değerli bilgilerinizi açıklamazdınız, değil mi??

OTR, reddedilebilir kimlik doğrulama ve şifreleme sağlar

Reddedilebilir kimlik doğrulama

PGP’de, herhangi bir veri veya metni imzalamak için statik anahtarı kullanabilirsiniz. Bu imza sizi şüphesiz doğrular ve belirli mesajları oluşturduğunuzu veya onayladığınızı gösterir. Ancak bu imza herhangi bir gözlemci tarafından görülebildiğinden, iletişim kuran iki tarafın kimliklerini ortaya çıkarabilir.

OTR uygulamaları reddedilebilir kimlik doğrulama. Bu, bir kulak misafiri için yalnızca kiminle iletişim kuran şifreli mesajlardan söz etmenin imkansız olduğu anlamına gelir. Sadece katılımcılar birbirlerinin kimlikleri hakkında parmak izi şeklinde bilgi alır.

Birbirinizin kimliğini doğrulamak ve kimsenin ortadaki adam saldırısı yapmadığından emin olmak için parmak izlerinizi halka açıklayabilir veya örneğin kişisel olarak veya sosyal medya profillerinizde alternatif bir kanal üzerinden değiştirebilirsiniz. Bu parmak izi değişimi, OTR’yi PGP’den daha anonim yapan önemli bir özelliktir.

Reddedilebilir şifreleme

Kimlik doğrulamaya benzer şekilde, PGP bir gözlemcinin veya gizlice dinleyicinin hangi özel anahtarın şifrelenmiş bir dosyanın kilidini açtığını görmesini sağlar. Saldırgan bu özel anahtarı alamasa bile, kime sahip olduğunu bilir ve dosyanın şifresini çözmek için bir mağdur veya bir suç şüphelisine baskı yapabilir.

OTR’de şifreli bir konuşmanın anahtarını kimin tuttuğunu görmek imkansızdır. Dahası, konuşma gerçekleştikten hemen sonra anahtarın imha edilmesi mümkündür. Buna denir reddedilebilir şifreleme.

Hem inkar edilebilir kimlik doğrulama hem de şifreleme bazı bağlamlarda güven verici veya hatta önemli olsa da, iki tarafın anahtarlarını sohbet oturumları, hesaplar ve bir konuşmada kullanılan IP adresleri gibi gerçek kimliklerine bağlamanın başka yolları da vardır.

OTR iletişimini kullandığınızda anonimliğinizi nasıl koruyacağınızı öğrenmek için okumaya devam edin.

OTR için temel gereksinimler

Teorik olarak, OTR’yi kullanmak PGP’ye benzer, ancak anahtarları manuel olarak oluşturma, yayınlama ve paylaşma veya son kullanma tarihleri ​​hakkında endişelenmenize gerek yoktur. OTR’yi kullanmak için temel adımlar.

  1. OTR yazılımını yükleyin. OTR sohbetlerle sınırlı olduğundan, en çok Pidgin (Windows, Linux), Adium (Mac OS X), Chat Secure (iOS, Android) ve Tor Messenger (çapraz platform, yine de çeşitli platformlar) beta sürümünde).
  2. Bu mesajlaşma istemcileriyle uyumlu bir sohbet hesabı oluşturun. Hesap en azından e-postaya benzer şekilde çalışan açık ve merkezi olmayan bir sistem olan jabber / xmpp gibi protokolleri desteklemelidir. Çoğu Gmail veya Google Apps hesabı ayrıca hiçbir ek ücret ödemeden jabber hesabı olarak işlev görür. Bir jabber hesabını özgürce ve anonim olarak kaydetmenizi sağlayan birçok hizmet de vardır..
  3. Kişilerinizle sohbet etmek için “arkadaş” olarak ekleyin. E-posta adreslerine benzeyen veya e-posta adreslerine benzeyen jabber adreslerini girin.
  4. OTR mesajı başlatmak için, kullandığınız yazılıma bağlı olarak “özel görüşmeyi başlat” ı veya bir kilit sembolünü tıklayın.
  5. Arkadaşınızın kimliğini doğrulamak için parmak izinizi birbirinizle paylaşın. Sohbet pencerenizdeki “manuel doğrulama” yı tıklayarak parmak izinizi görebilirsiniz. Zaten doğrulanmış bir şifreli kanal oluşturduysanız, birbirinizi bu kanaldan doğrulayabilirsiniz. Parmak izinizi web sitenizde veya sosyal medyada da listeleyebilirsiniz.

OTR’de anonimlik nasıl korunur

OTR protokolünün kendisi gizliliğinizi ve anonimliğinizi korumada oldukça şaşırtıcı olsa da, gerçek kimliğinize geri bağlanabilen bir kanal kullanıyorsanız daha az güçlüdür. Kriptografik inkar edilebilirlik teoride harikadır, ancak işvereniniz Google’ın ve muhtemelen hükümetin kimin mesajlaştığını görebildiği iş Google Apps hesabınız üzerinden iletişim kurmanızın amacını yener. Çoğu zaman kaynağınızın ve ortak çalışanlarınızın kimlikleri hakkında sonuçlar çıkarmaları için yeterlidir.

OTR’yi kullanırken nasıl anonim kalacağınız aşağıda açıklanmıştır.

1. Adım: Birden çok hesap kullanın

Gizliliğinizi artırmanın ilk adımı birden fazla hesap kullanmak ve hangi hesaba kimi eklediğinizin farkında olmaktır. Her bir kişiniz için yeni bir hesap oluşturmak kadar ileri gidebilirsiniz. Ne zaman ve nerede oturum açtığınıza ilişkin korelasyon analizinden kaçınmak için bu hesapları çeşitli sunuculara ve hizmetlere kaydedebilirsiniz.

Adım 2: VPN veya Tor üzerinden OTR’ye bağlanın

İkinci adım, bu sohbet hesaplarına her zaman bir VPN veya Tor aracılığıyla, özellikle kaydolurken bağlanmaktır. Evinizin veya işinizin IP adresinden yalnızca bir kez giriş yapmak sizi tehlikeye atmak için yeterlidir.

3. Adım: Alıcının Kimliğini Doğrulayın

Son adım en yorucu olanıdır: alıcının kimliğini doğrulamak. Bu özellikle, hiçbir üçüncü tarafın ortadaki alışverişe müdahale etmediğinden emin olmak ve kişinizin OTR anahtarlarını onların yerine koymak için önemlidir. Bağlantınız size güvenli ve şifreli görünecek, ancak anahtarları doğrulayana kadar olmayabilir..

Alıcınızın kimliğini güvenilir bir şekilde doğrulamak için, parmak izinizi kartvizitiniz, web siteniz veya sosyal medya hesabınız gibi güvenilir bir kanaldan yayınlamak iyi bir uygulamadır. (Parmak izinizi “ayarlar” veya “manuel olarak doğrula” altında bulabilirsiniz.)

Dosyaları paylaşırken anonim kalma

Jabber protokolü ve birçok istemci teorik olarak dosya veya eklerin paylaşılmasına izin verirken, nadiren çalışır ve şifreleme kullanmaz.

Dosyaları paylaşmak için ExpressVPN, Tor üzerinden oluşturulmuş bir P2P dosya paylaşım hizmeti olan Onionshare’i önerir. Bu şekilde, hiçbir taraf diğerini IP adresleri üzerinden kolayca tanıyamaz ve dosya aktarım sırasında şifrelenir.

Tüm indirmelerde olduğu gibi, dosyaların sizi düzelten kötü amaçlı kod içerebileceğini unutmayın. Yapabileceğiniz en iyi şey, dosyaları açmadan önce İnternet bağlantısını kesmek veya dosyaları sanal bir makinenin içinde açmaktır.

Her türlü bağlantıyı, özellikle de kısaltılmış bağlantıları tıklatmaya dikkat edin, çünkü bunlar sizi karşı tarafa tanıyabilen izleme kodları içerebilir. Şüpheli bağlantıları açmanız gerekiyorsa, bunları yalnızca Tor tarayıcısının içinde açın.

OTR şifrelemeli anonim bir Jabber hesabının nasıl kurulacağını öğrenmek için burayı tıklayın.

Öne Çıkan Resim: Scott Griessel / Dollar Photo Club