การส่งข้อความแบบไม่บันทึก (OTR) คืออะไร?

สำหรับนักข่าวความสามารถในการปกป้องแหล่งข้อมูลนั้นมีความสำคัญต่อการสื่อสารกับบุคคลที่มีค่าอย่างประสบความสำเร็จ สำหรับแหล่งข้อมูลเงินเดิมพันนั้นสูงขึ้น: ความปลอดภัยและเสรีภาพของพวกเขาขึ้นอยู่กับการไม่ถูกระบุว่าเป็นแหล่งที่มาของเรื่องราว.

การเปิดเผยเพียงอย่างเดียวที่ใครบางคนใน บริษัท หรือหน่วยงานของรัฐที่พูดคุยกับนักข่าวสามารถสร้างความเสียหายได้เช่นเดียวกับเนื้อหาของการสนทนา.

ลองจินตนาการถึงสิ่งนี้: หลังจากได้รับทิปไม่ระบุชื่อผู้ตีพิมพ์ข่าวสำคัญเรื่องหนึ่งเกี่ยวกับ บริษัท น้ำมันรายใหญ่ปิดบังอุบัติเหตุ วันรุ่งขึ้นหลังจากที่เรื่องราวแตก บริษัท รู้ว่าพนักงานเพิ่งแลกเปลี่ยนข้อมูลที่เข้ารหัสลับกับใครบางคนจาก บริษัท ข่าว บริษัท ทันทียิงจุดจบยุติอาชีพของพวกเขาและคุกคามการรั่วไหลด้วยคดีอ้วนใหญ่.

การสื่อสารแบบปิดบันทึกช่วยป้องกันไม่ให้สถานการณ์เหล่านี้เกิดขึ้น.

“ Off-the-record” (OTR) เป็นคำในวารสารศาสตร์หมายถึงข้อมูลจากแหล่งที่ไม่มีอยู่จริงหรือการสนทนาที่“ ไม่เกิดขึ้น” ข้อมูลนี้สามารถ แต่ไม่ต้องมาจากแหล่งที่รู้จักกัน ไปยังนักข่าวโดยใช้รูปแบบของสิ่งใด ๆ จากการไม่ระบุตัวตนที่ไม่ระบุชื่อไปจนถึงข้อมูลจากแหล่งที่เชื่อถือได้ยาวนาน.

ในขณะที่องค์กรข่าวที่น่าเคารพนับถือหลายแห่งมีนโยบายที่จะไม่เผยแพร่ข้อมูลที่แชร์จากบันทึกข้อมูลนี้ยังสามารถมีบทบาทสำคัญในการชี้นักข่าวไปในทิศทางที่ถูกต้องหรือช่วยนักข่าวหาแหล่งข้อมูลที่เชื่อถือได้ด้วยข้อมูลเดียวกัน.

มาดูการส่งข้อความ OTR และวิธีการทำงาน.

OTR ใช้การส่งต่อความลับ

เพื่อทำความเข้าใจกับคุณสมบัติของ OTR ให้ดูที่ Pretty Good Privacy (PGP) เป็นครั้งแรกซึ่งมาก่อน OTR มากกว่า 10 ปี PGP เป็นซอฟต์แวร์เข้ารหัสที่ผู้ส่งและผู้รับสร้างคีย์การเข้ารหัสคู่หนึ่งที่พวกเขาใช้เพื่อเข้ารหัสข้อความและข้อมูล เป็นที่นิยมสำหรับอีเมลและการถ่ายโอนไฟล์และยังช่วยให้ผู้ใช้ลงชื่อเข้าใช้ข้อมูลด้วยรหัสสาธารณะคงที่เพื่อพิสูจน์ความถูกต้องของพวกเขา คีย์นี้มักเผยแพร่ในเว็บไซต์ของเจ้าของหรือในไดเรกทอรีและสามารถใช้งานได้นานโดยเจ้าของ.

ในขณะที่ซอฟต์แวร์การเข้ารหัสเช่น PGP นั้นมีประสิทธิภาพในการรักษาเนื้อหาของข้อมูลที่เป็นความลับ แต่ก็มีข้อเสียเล็กน้อยเมื่อติดต่อกับแหล่งที่มาของคุณ หากคีย์การเข้ารหัสของคุณถูกเปิดเผยผู้โจมตีสามารถถอดรหัสการสนทนาก่อนหน้าทั้งหมดของคุณหากพวกเขาได้ดักจับและบันทึกข้อความที่เข้ารหัส.

OTR ปกป้องข้อความของคุณจากการถูกถอดรหัสโดยการฝึก“ การส่งต่อความลับที่สมบูรณ์แบบ”

ส่งต่อความลับหมายความว่าคุณมีความลับในวันนี้แม้ว่าคีย์ของคุณจะถูกบุกรุกในอนาคต OTR ให้การรักษาความลับล่วงหน้าโดยใช้คีย์ที่แตกต่างกันสำหรับแต่ละเซสชันซึ่งจะไม่ถูกจัดเก็บหลังจากเซสชันสิ้นสุดลง.

ข้อเสียของการมีคีย์ที่แตกต่างกันสำหรับแต่ละเซสชั่นคือคุณไม่สามารถเรียกข้อมูลประวัติของคุณได้โดยไม่ต้องเข้าสู่ระบบในรูปแบบข้อความที่ชัดเจนซึ่งอาจทำให้คุณไม่พอใจในภายหลัง นอกจากนี้ไม่มีทางรู้ได้ว่าอีกฝ่ายกำลังบันทึกคุณอยู่หรือไม่ แต่คุณจะไม่เปิดเผยข้อมูลประจำตัวหรือข้อมูลที่มีค่าของคุณหากคุณไม่เชื่อถือให้เริ่มต้นด้วยใช่ไหม?

OTR ให้การรับรองความถูกต้องและการเข้ารหัสที่ปฏิเสธไม่ได้

การพิสูจน์ตัวตนที่ปฏิเสธได้

ใน PGP คุณสามารถใช้ปุ่มคงที่เพื่อลงนามข้อมูลหรือข้อความชนิดใดก็ได้ ลายเซ็นนี้รับรองความถูกต้องคุณโดยไม่ต้องสงสัยและแสดงให้คุณสร้างหรืออนุมัติข้อความบางอย่าง แต่เนื่องจากลายเซ็นนี้ปรากฏต่อผู้สังเกตการณ์ใด ๆ จึงสามารถเปิดเผยตัวตนของทั้งสองฝ่ายที่สื่อสารกันได้.

ข้อปฏิบัติของ OTR การรับรองความถูกต้องที่ปฏิเสธได้. ซึ่งหมายความว่าเป็นไปไม่ได้ที่ผู้ดักฟังจะบอกจากข้อความที่เข้ารหัสซึ่งสื่อสารกับใครคนเดียว มีเพียงผู้เข้าร่วมเท่านั้นที่จะได้รับข้อมูลเกี่ยวกับตัวตนของผู้อื่นในรูปแบบของลายนิ้วมือ.

ในการตรวจสอบตัวตนของกันและกันและตรวจสอบให้แน่ใจว่าไม่มีใครทำการโจมตีคนกลางคนคุณสามารถเผยแพร่ลายนิ้วมือของคุณหรือแลกเปลี่ยนผ่านช่องทางอื่นเช่นในคนหรือในโปรไฟล์โซเชียลมีเดียของคุณ การแลกเปลี่ยนลายนิ้วมือนี้เป็นคุณสมบัติที่สำคัญที่ทำให้ OTR นิรนามมากกว่า PGP อย่างมีนัยสำคัญ.

การเข้ารหัสที่ปฏิเสธไม่ได้

ในทำนองเดียวกันกับการรับรองความถูกต้อง PGP อนุญาตให้ผู้สังเกตการณ์หรือผู้ดักฟังเพื่อดูว่าคีย์ส่วนตัวใดปลดล็อคไฟล์ที่เข้ารหัส แม้ว่าผู้โจมตีจะไม่สามารถถือกุญแจส่วนตัวนี้ได้ แต่พวกเขารู้ว่าใครเป็นเจ้าของมันและสามารถกดดันผู้ที่ตกเป็นเหยื่อหรือสงสัยว่ามีอาชญากรรมในการถอดรหัสไฟล์.

ใน OTR เป็นไปไม่ได้ที่จะเห็นว่าใครถือกุญแจอยู่ในการสนทนาที่เข้ารหัส ยิ่งกว่านั้นอาจเป็นไปได้ว่ากุญแจถูกทำลายทันทีหลังจากการสนทนาเกิดขึ้น สิ่งนี้เรียกว่า การเข้ารหัสที่สามารถปฏิเสธได้.

แม้ว่าทั้งการรับรองความถูกต้องและการเข้ารหัสที่ปฏิเสธไม่ได้อาจมั่นใจหรือสำคัญในบางบริบท แต่ก็มีวิธีอื่นในการเชื่อมโยงคีย์ของทั้งสองฝ่ายกลับไปยังตัวตนที่แท้จริงของพวกเขาเช่นผ่านช่องทางการแชทบัญชีและที่อยู่ IP ที่ใช้ในการสนทนา.

อ่านต่อไปเพื่อหาวิธีป้องกันตัวตนของคุณเมื่อคุณใช้การสื่อสาร OTR.

ข้อกำหนดพื้นฐานสำหรับ OTR

ในทางทฤษฎีแล้วการใช้ OTR คล้ายกับ PGP แต่คุณไม่ต้องกังวลเกี่ยวกับการสร้างเผยแพร่และแชร์คีย์ด้วยตนเองหรือกังวลเกี่ยวกับวันหมดอายุของพวกเขา นี่คือขั้นตอนพื้นฐานสำหรับการใช้ OTR.

  1. ติดตั้งซอฟต์แวร์ OTR เนื่องจาก OTR ถูก จำกัด การแชทจึงมาพร้อมกับซอฟต์แวร์แชทที่หลากหลายโดยเฉพาะอย่างยิ่ง Pidgin (Windows, Linux), Adium (Mac OS X), Chat Secure (iOS, Android) และ Tor Messenger (ข้ามแพลตฟอร์มยังคง ในเบต้า).
  2. ตั้งค่าบัญชีแชทที่เข้ากันได้กับไคลเอนต์ messenger เหล่านี้ บัญชีอย่างน้อยต้องรองรับโปรโตคอลเช่น jabber / xmpp ระบบเปิดและกระจายอำนาจที่ทำงานคล้ายกับอีเมล บัญชี Gmail หรือ Google Apps ส่วนใหญ่ยังทำหน้าที่เป็นบัญชี jabber โดยไม่มีค่าใช้จ่ายเพิ่มเติม นอกจากนี้ยังมีบริการมากมายที่ช่วยให้คุณสามารถลงทะเบียนบัญชี jabber ได้อย่างอิสระและไม่ระบุชื่อ.
  3. เพิ่มผู้ติดต่อของคุณเป็น ‘เพื่อน’ เพื่อแชทกับพวกเขา ป้อนที่อยู่ jabber ซึ่งดูเหมือนหรือคล้ายกับที่อยู่อีเมลของพวกเขา.
  4. ในการเริ่มต้นข้อความ OTR ให้คลิกที่ ‘เริ่มการสนทนาส่วนตัว’ หรือคลิกที่สัญลักษณ์ล็อคขึ้นอยู่กับซอฟต์แวร์ที่คุณใช้.
  5. หากต้องการตรวจสอบตัวตนของเพื่อนของคุณแบ่งปันลายนิ้วมือของคุณกับแต่ละอื่น ๆ คุณสามารถดูลายนิ้วมือได้โดยคลิกที่ ‘การยืนยันด้วยตนเอง’ ในหน้าต่างแชท หากคุณได้สร้างช่องทางการเข้ารหัสที่ผ่านการตรวจสอบแล้วคุณสามารถตรวจสอบซึ่งกันและกันได้ คุณสามารถแสดงรายการลายนิ้วมือบนเว็บไซต์หรือโซเชียลมีเดียของคุณ.

วิธีการรักษาความไม่เปิดเผยตัวตนใน OTR

ในขณะที่โปรโตคอล OTR นั้นค่อนข้างน่าอัศจรรย์ในการปกป้องความเป็นส่วนตัวและตัวตนของคุณ แต่ก็มีประสิทธิภาพน้อยกว่าหากคุณใช้ช่องทางที่สามารถเชื่อมโยงกลับไปยังตัวตนที่แท้จริงของคุณได้ การมีความสามารถในการถอดรหัสแบบเข้ารหัสนั้นยอดเยี่ยมในทางทฤษฎี แต่มันจะเอาชนะวัตถุประสงค์หากคุณสื่อสารผ่านบัญชี Google Apps ที่ทำงานที่นายจ้างของคุณ Google และสันนิษฐานว่ารัฐบาลสามารถดูว่าคุณเป็นใคร บ่อยครั้งที่มันเพียงพอสำหรับพวกเขาในการหาข้อสรุปเกี่ยวกับตัวตนของแหล่งที่มาและผู้ทำงานร่วมกัน.

ต่อไปนี้เป็นวิธีไม่ระบุตัวตนเมื่อคุณใช้ OTR.

ขั้นตอนที่ 1: ใช้หลายบัญชี

ขั้นตอนแรกในการปรับปรุงความเป็นส่วนตัวของคุณคือการใช้หลายบัญชีและคำนึงถึงผู้ที่คุณเพิ่มในบัญชีใด คุณสามารถสร้างบัญชีใหม่สำหรับผู้ติดต่อแต่ละรายของคุณได้ เพื่อหลีกเลี่ยงการวิเคราะห์ความสัมพันธ์ของเวลาและสถานที่ที่คุณเข้าสู่ระบบคุณสามารถลงทะเบียนบัญชีเหล่านี้บนเซิร์ฟเวอร์และบริการต่างๆ.

ขั้นตอนที่ 2: เชื่อมต่อกับ OTR ผ่าน VPN หรือ Tor

ขั้นตอนที่สองคือการเชื่อมต่อกับบัญชีแชทผ่าน VPN หรือแม้กระทั่ง Tor โดยเฉพาะอย่างยิ่งเมื่อคุณสมัครใช้งาน เข้าสู่ระบบเพียงครั้งเดียวจากที่บ้านหรือที่อยู่ IP ของคุณทำงานก็เพียงพอที่จะประนีประนอมคุณ.

ขั้นตอนที่ 3: ตรวจสอบตัวตนของผู้รับ

ขั้นตอนสุดท้ายคือขั้นตอนที่เหนื่อยที่สุด: เพื่อยืนยันตัวตนของผู้รับ สิ่งนี้สำคัญอย่างยิ่งเพื่อให้แน่ใจว่าไม่มีบุคคลที่สามขัดขวางการแลกเปลี่ยนตรงกลางโดยแทนที่คีย์ OTR ของผู้ติดต่อสำหรับพวกเขา การเชื่อมต่อของคุณจะดูปลอดภัยและเข้ารหัสให้คุณ แต่จริงๆแล้วอาจไม่ได้จนกว่าคุณจะตรวจสอบคีย์.

ในการยืนยันตัวตนของผู้รับของคุณอย่างน่าเชื่อถือแนวทางปฏิบัติที่ดีคือการเผยแพร่ลายนิ้วมือของคุณผ่านช่องทางที่เชื่อถือได้เช่นนามบัตรเว็บไซต์หรือบัญชีโซเชียลมีเดียของคุณ (คุณสามารถค้นหาลายนิ้วมือของคุณภายใต้“ การตั้งค่า” หรือ“ ยืนยันด้วยตนเอง”)

จะไม่เปิดเผยตัวตนอย่างไรเมื่อแชร์ไฟล์

ในขณะที่โปรโตคอล jabber และไคลเอนต์จำนวนมากอนุญาตให้มีการแชร์ไฟล์หรือสิ่งที่แนบในทางทฤษฎี แต่ก็ไม่ค่อยได้ผลและไม่ได้ใช้การเข้ารหัส.

ในการแชร์ไฟล์ ExpressVPN แนะนำ Onionshare ซึ่งเป็นบริการแชร์ไฟล์ P2P ที่สร้างผ่าน Tor ด้วยวิธีนี้บุคคลอื่นสามารถระบุอีกฝ่ายได้อย่างง่ายดายผ่านที่อยู่ IP ของพวกเขาและไฟล์จะถูกเข้ารหัสในระหว่างทาง.

เช่นเดียวกับการดาวน์โหลดใด ๆ โปรดทราบว่าไฟล์อาจมีรหัสที่เป็นอันตรายซึ่งอาจทำให้คุณไม่ระบุชื่อได้ ทางออกที่ดีที่สุดของคุณคือการตัดการเชื่อมต่อจากอินเทอร์เน็ตก่อนที่จะเปิดไฟล์หรือเปิดไฟล์ภายในเครื่องเสมือน.

ระมัดระวังการคลิกลิงก์ประเภทใด ๆ โดยเฉพาะอย่างยิ่งลิงก์ที่สั้นลงเนื่องจากอาจมีรหัสติดตามที่ทำให้คุณสามารถระบุตัวตนของอีกฝ่ายได้ หากคุณต้องเปิดลิงก์ที่น่าสงสัยให้เปิดเฉพาะในเบราว์เซอร์ของ Tor เท่านั้น.

คลิกที่นี่เพื่อเรียนรู้วิธีตั้งค่าบัญชี Jabber ที่ไม่ระบุชื่อด้วยการเข้ารหัส OTR.

ภาพเด่น: ชมรมถ่ายภาพ Scott Griessel / Dollar