비 기록 메시징 (OTR)이란 무엇입니까?
언론인들에게 소스를 보호하는 능력은 소중한 사람들과 성공적으로 의사 소통하는 데 필수적입니다. 출처의 경우 말뚝은 훨씬 더 높습니다. 그들의 안전과 자유는 이야기의 출처로 식별되지 않는 것에 달려 있습니다.
기업이나 정부 조직 내부의 누군가가 기자에게 이야기 한 단순한 계시는 대화 자체의 내용만큼이나 피해를 줄 수 있습니다..
익명의 팁을받은 주요 뉴스 간행물은 사고를 다루는 대기업의 이야기를 깬다. 이야기가 끝난 다음날 회사는 직원이 최근 뉴스 회사의 누군가와 암호화 된 정보를 교환했음을 알게됩니다. 회사는 즉시 누출을 일으켜 경력을 끝내고 큰 뚱뚱한 소송으로 누출을 위협합니다..
기록이없는 통신은 이러한 시나리오가 전개되는 것을 방지합니다..
저널리즘의 용어 인“비공개”(OTR)는 공식적으로 존재하지 않는 출처의 정보 또는 “발생하지 않은”대화를 말합니다.이 정보는 알려진 출처에서 나올 필요는 없습니다. 익명의 팁 오프부터 오랫동안 신뢰할 수있는 출처의 정보에 이르기까지 모든 형태의 기자에게.
많은 유명 뉴스 기관이 기록과 공유 된 정보를 공개하지 않는 정책을 가지고 있지만,이 정보는 여전히 언론인을 올바른 방향으로 향하게하거나 언론인이 동일한 정보를 가진 인용 가능한 출처를 찾도록 돕는 데 중요한 역할을 할 수 있습니다.
OTR 메시징과 작동 방식을 살펴 보겠습니다.
OTR은 앞으로 비밀을 사용합니다
OTR의 기능을 이해하기 위해 먼저 10 년 이상 OTR보다 오래된 PPG (Pretty Good Privacy)를 살펴 보겠습니다. PGP는 발신자와 수신자가 메시지와 데이터를 암호화하는 데 사용하는 암호화 키 쌍을 만드는 암호화 소프트웨어입니다. 이메일 및 파일 전송에 널리 사용되며 사용자가 정적 공개 키로 데이터에 서명하여 신뢰성을 증명할 수 있습니다. 이 키는 종종 소유자의 웹 사이트 또는 디렉토리에 공개되며 소유자가 오랫동안 사용할 수 있습니다.
PGP와 같은 암호화 소프트웨어는 통신 된 데이터의 내용을 비밀로 유지하는 데 효과적이지만 소스와 연락을 유지하는 데는 몇 가지 단점이 있습니다. 암호화 키가 노출되면 공격자가 암호화 된 메시지를 가로 채서 기록한 경우 이전 대화를 모두 해독 할 수 있습니다..
OTR은“완벽한 전달 비밀”을 실천함으로써 메시지가 해독되는 것을 방지합니다.
앞으로 비밀 유지는 미래에 키가 손상 되더라도 오늘 비밀을 유지하고 있음을 의미합니다. OTR은 세션이 끝난 후에 저장되지 않는 각 세션마다 다른 키를 사용하여 보안을 제공합니다..
각 세션마다 다른 키를 사용하는 단점은 일반 텍스트로 기록하지 않고 기록을 검색 할 수 없으므로 나중에 손상 될 수 있다는 것입니다. 또한 상대방이 당신을 로깅하고 있는지 알 수있는 방법은 없지만, 처음부터 신뢰하지 않으면 자신의 신원이나 소중한 정보를 공개하지 않았을 것입니다.?
OTR은 거부 가능한 인증 및 암호화를 제공합니다
거부 가능한 인증
PGP에서는 정적 키를 사용하여 모든 종류의 데이터 또는 텍스트에 서명 할 수 있습니다. 이 서명은 의심의 여지없이 귀하를 인증하고 특정 메시지를 작성 또는 승인했음을 보여줍니다. 그러나이 서명은 모든 관찰자에게 공개되므로 두 통신 당사자의 신원을 밝힐 수 있습니다.
OTR 사례 거부 가능한 인증. 이는 도청자가 누가 누구와 통신하고있는 암호화 된 메시지만으로 알리는 것이 불가능하다는 것을 의미합니다. 참가자 만 지문 형태로 서로의 신원에 대한 정보를 얻습니다..
서로의 신원을 확인하고 아무도 MITM (Man-in-the-Middle) 공격을 수행하지 않도록하려면 직접 또는 소셜 미디어 프로필과 같은 다른 채널을 통해 지문을 공개하거나 교환 할 수 있습니다. 이 지문 교환은 OTR을 PGP보다 훨씬 익명으로 만드는 중요한 기능입니다..
거부 가능한 암호화
인증과 마찬가지로 PGP를 통해 관찰 자나 도청자가 암호화 된 파일을 잠금 해제하는 개인 키를 확인할 수 있습니다. 침입자가이 개인 키를 보유 할 수없는 경우에도 누가이 키를 소유하는지 알고 있으며 파일의 암호를 해독하기 위해 피해자 나 범죄의 용의자에게 압력을 가할 수 있습니다..
OTR에서는 암호화 된 대화의 열쇠를 누가 보유하고 있는지 확인할 수 없습니다. 또한 대화가 이루어진 직후에 키가 손상되었을 수 있습니다. 이것은 … 불리운다 거부 가능한 암호화.
일부 상황에서는 거부 가능한 인증과 암호화가 모두 보증되거나 중요 할 수 있지만 대화에 사용되는 채팅 채널, 계정 및 IP 주소를 통해 두 당사자의 키를 실제 ID에 다시 연결하는 다른 방법이 있습니다..
OTR 통신을 사용할 때 익명 성을 보호하는 방법을 알아 보려면 계속 읽으십시오.
OTR의 기본 요구 사항
이론적으로 OTR 사용은 PGP와 유사하지만 수동으로 키를 생성, 게시 및 공유하거나 만료 날짜에 대해 걱정할 필요는 없습니다. OTR 사용을위한 기본 단계는 다음과 같습니다..
- OTR 소프트웨어를 설치하십시오. OTR은 채팅으로 제한되므로 다양한 채팅 소프트웨어, 특히 Pidgin (Windows, Linux), Adium (Mac OS X), Chat Secure (iOS, Android) 및 Tor Messenger (크로스 플랫폼, 베타).
- 이 메신저 클라이언트와 호환되는 채팅 계정을 설정하십시오. 계정은 최소한 전자 메일과 유사하게 작동하는 개방형 분산 시스템 인 jabber / xmpp와 같은 프로토콜을 지원해야합니다. 대부분의 Gmail 또는 Google Apps 계정은 추가 비용없이 재버 계정으로 작동합니다. 또한 자유롭게 익명으로 재버 계정을 등록 할 수있는 많은 서비스가 있습니다.
- 대화 상대를 ‘친구’로 추가하여 대화하십시오. 이메일 주소와 비슷하거나 동일한 재버 주소를 입력하십시오..
- OTR 메시지를 시작하려면 사용중인 소프트웨어에 따라 ‘개인 대화 시작’을 클릭하거나 자물쇠 기호를 클릭하십시오.
- 친구의 신원을 확인하려면 지문을 서로 공유하십시오. 채팅 창에서‘수동 확인’을 클릭하면 지문이 표시됩니다. 확인 된 암호화 채널을 이미 설정 한 경우이를 통해 서로를 확인할 수 있습니다. 웹 사이트 나 소셜 미디어에 지문을 표시 할 수도 있습니다.
OTR에 대한 익명 성을 유지하는 방법
OTR 프로토콜 자체는 개인 정보 및 익명 성을 보호하는 데있어 놀랍지 만 실제 ID와 다시 연결할 수있는 채널을 사용하는 경우 성능이 떨어집니다. 이론적으로는 암호 거부가 가능하지만 직장, Google 및 아마도 정부에서 사용자가 메시징하는 사람을 볼 수있는 직장 Google Apps 계정을 통해 통신하는 경우 목적을 무효화합니다. 소스와 공동 작업자의 신원에 대한 결론을 내리는 데 충분합니다..
OTR을 사용할 때 익명을 유지하는 방법은 다음과 같습니다..
1 단계 : 여러 계정 사용
개인 정보 보호를 향상시키는 첫 번째 단계는 여러 계정을 사용하고 누가 어떤 계정에 추가했는지 알고 있어야합니다. 각 연락처마다 새 계정을 만들 수 있습니다. 언제 어디서 로그인했는지에 대한 상관 관계 분석을 피하기 위해 다양한 서버 및 서비스에 이러한 계정을 등록 할 수 있습니다.
2 단계 : VPN 또는 Tor를 통해 OTR에 연결
두 번째 단계는 특히 가입 할 때 VPN 또는 Tor를 통해 이러한 채팅 계정에 항상 연결하는 것입니다. 집이나 직장 IP 주소에서 한 번만 로그인하면 충분합니다..
3 단계 : 수신자 신원 확인
마지막 단계는 가장 피곤한 단계입니다. 수신자의 신원을 확인하는 것입니다. 이는 중간에 제 3자가 교환을 가로 채지 않고 연락처의 OTR 키를 대체하지 않도록하는 데 특히 중요합니다. 연결은 안전하고 암호화 된 것처럼 보이지만 실제로 키를 확인할 때까지는 그렇지 않을 수 있습니다.
수신자의 신원을 확실하게 확인하려면 명함, 웹 사이트 또는 소셜 미디어 계정과 같은 신뢰할 수있는 채널을 통해 지문을 브로드 캐스트하는 것이 좋습니다. ( “설정”또는 “수동으로 확인”에서 지문을 찾을 수 있습니다.)
파일을 공유 할 때 익명을 유지하는 방법
Jabber 프로토콜과 많은 클라이언트는 이론적으로 파일 또는 첨부 파일 공유를 허용하지만 거의 작동하지 않으며 암호화를 사용하지 않습니다..
ExpressVPN은 파일을 공유하기 위해 Tor를 통해 구축 된 P2P 파일 공유 서비스 인 Onionshare를 권장합니다. 이렇게하면 어느 쪽도 IP 주소를 통해 상대방을 쉽게 식별 할 수 없으며 파일은 전송 중에 암호화됩니다.
모든 다운로드와 마찬가지로 파일에는 사용자를 익명화 할 수있는 악성 코드가 포함되어있을 수 있습니다. 가장 좋은 방법은 파일을 열기 전에 인터넷에서 연결을 끊거나 가상 컴퓨터에서 파일을 여는 것입니다.
상대방에게 식별 할 수있는 추적 코드가 포함되어있을 수 있으므로 모든 링크, 특히 단축 링크를 클릭 할 때주의하십시오. 의심스러운 링크를 열어야하는 경우 Tor 브라우저에서만 열어야합니다.
OTR 암호화로 익명 Jabber 계정을 설정하는 방법을 알아 보려면 여기를 클릭하십시오.
주요 이미지 : Scott Griessel / Dollar Photo Club
17.04.2023 @ 16:49
신원을 확인하는 것입니다. 이를 위해 지문 교환을 통해 상호 확인을 수행하거나 다른 채널을 통해 확인할 수 있습니다. 이 단계는 OTR의 익명성을 유지하는 데 매우 중요합니다.
언론인들은 소스를 보호하는 능력이 매우 중요합니다. 출처의 안전과 자유는 이야기의 신뢰성과 진실성에 직접적인 영향을 미치기 때문입니다. OTR과 같은 암호화 기술은 언론인들이 소스와 안전하게 의사 소통할 수 있도록 도와줍니다. 익명성을 유지하고 신원을 확인하는 방법을 알고 있으면 OTR을 사용하여 익명성을 보호할 수 있습니다. 이러한 기술은 언론의 자유와 신뢰성을 보호하는 데 매우 중요합니다.