پیام غیررسمی (OTR) چیست؟
برای روزنامه نگاران ، توانایی محافظت از یک منبع برای برقراری ارتباط موفق با افراد با ارزش بسیار مهم است. از نظر منابع ، امتیازات حتی بیشتر است: امنیت و آزادی آنها به عدم شناسایی منبع منبع بستگی دارد.
این آشکار بودن که شخصی در داخل یک شرکت یا یک سازمان دولتی با یک خبرنگار صحبت کرده است می تواند به همان اندازه مضمون خود مکالمه مضر باشد..
تصور کنید این: پس از دریافت یک نکته ناشناس ، یک انتشارات مهم خبری داستانی را در مورد یک شرکت بزرگ نفتی که در حال تصادف است ، شکسته است. روز بعد از وقوع داستان ، این شرکت می آموزد که اخیراً یک کارمند اطلاعات رمزگذاری شده را با شخصی از شرکت خبری مبادله کرده است. این شرکت بلافاصله نشتی را آتش زده و به حرفه خود پایان می دهد و با یک دادخواست بزرگ چربی ، نشت را تهدید می کند.
ارتباطات خارج از ضبط به جلوگیری از آشکار شدن این سناریوها کمک می کند.
“Off-the-record” (OTR) به عنوان اصطلاح روزنامه نگاری به اطلاعاتی از منابعی که به طور رسمی وجود ندارند ، یا گفتگوهایی که “اتفاق نیفتاده است” اطلاق می شود. به روزنامه نگار ، شکل هر چیزی را از یک نکته ناشناس به اطلاعات یک منبع با اعتماد به نفس طولانی می برد.
در حالی که بسیاری از سازمانهای خبری محترم این سیاست را دارند که اطلاعاتی را که مشترک نیستند به چاپ برسانند ، این اطلاعات هنوز هم می تواند نقش مهمی در جهت دهی به خبرنگاران در جهت صحیح داشته باشد یا کمک به روزنامه نگاران برای یافتن منابع با استناد با همان اطلاعات.
بیایید نگاهی به پیام های OTR و نحوه عملکرد آن بیاندازیم.
OTR از رازداری رو به جلو استفاده می کند
برای درک ویژگیهای OTR ، ابتدا به حریم خصوصی Pretty Good (PGP) ، که بیش از 10 سال از OTR پیش بینی شده است ، نگاهی بیاندازیم. PGP نرم افزاری رمزگذاری است که در آن فرستنده و گیرنده یک جفت کلید رمزنگاری ایجاد می کنند که از آنها برای رمزگذاری پیام ها و داده ها استفاده می کنند. این سرویس برای ایمیل و انتقال فایلها بسیار محبوب است و همچنین به کاربران این امکان را می دهد تا داده ها را با یک کلید عمومی استاتیک امضا کنند تا صحت خود را اثبات کند. این کلید اغلب در وب سایت مالک یا دایرکتوری ها منتشر می شود و می تواند مدت طولانی توسط صاحب آن استفاده شود.
در حالی که نرم افزارهای رمزگذاری مانند PGP در پنهان کردن محتویات داده های ارتباطی مؤثر است ، هنگام ارتباط با منابع شما اشکالاتی دارد. اگر کلید رمزگذاری شما در معرض دید باشد ، یک مهاجم می تواند تمام مکالمات قبلی شما را رمزگشایی کند ، اگر پیام های رمزگذاری شده را رهگیری کرده و ضبط کرده باشد.
OTR با استفاده از “رازداری کامل رو به جلو” از پیام های شما در برابر رمزگشایی محافظت می کند.
رازداری به جلو یعنی امروز شما رازداری می کنید حتی اگر کلید شما در آینده به خطر بیفتد. OTR با استفاده از یک کلید متفاوت برای هر جلسه ، رازداری به جلو را تأمین می کند ، که پس از پایان جلسه ذخیره نمی شود.
نکته مهم در داشتن کلیدهای مختلف برای هر جلسه این است که شما نمی توانید تاریخ خود را بدون وارد کردن آن به متن روشن بازیابی کنید ، که می تواند بعداً شما را به خطر بیاندازد. علاوه بر این ، هیچ راهی برای دانستن اینکه طرف مقابل شما را به سیستم وارد می کند وجود ندارد ، اما اگر به این اعتماد به آنها اعتماد نکردید ، هویت یا اطلاعات ارزشمند خود را برای آنها فاش نمی کردید ، درست است?
OTR تأیید هویت و رمزگذاری قابل انکار را فراهم می کند
تأیید اعتبار قابل انکار
در PGP می توانید از کلید استاتیک برای امضای هر نوع داده یا متنی استفاده کنید. این امضا بدون شک شما را تأیید می کند و نشان می دهد پیام های خاصی را ایجاد یا تأیید کرده اید. اما از آنجا که این امضا برای هر ناظر قابل مشاهده است ، می تواند هویت دو طرف طرف ارتباط برقرار کند.
شیوه های OTR تأیید اعتبار قابل انکار. این بدان معناست که غیر ممکن است برای یک گیرنده گیر فقط از پیام های رمزگذاری شده با چه کسی ارتباط برقرار کند. فقط شرکت کنندگان در قالب اثر انگشت در مورد هویت یکدیگر اطلاعات کسب می کنند.
برای تأیید هویت یکدیگر و اطمینان حاصل کنید که هیچ کس در حال انجام حمله مردمی نیست ، می توانید اثر انگشت خود را منتشر کنید یا آنها را از طریق یک کانال جایگزین ، به عنوان مثال به صورت حضوری یا پروفایل رسانه های اجتماعی خود مبادله کنید. این تبادل اثر انگشت یک ویژگی مهم است که باعث می شود OTR به طور قابل توجهی ناشناس تر از PGP باشد.
رمزگذاری قابل انکار
به طور مشابه به تأیید هویت ، PGP به یک ناظر یا استراق سمع اجازه می دهد تا ببیند کدام کلید خصوصی یک پرونده رمزگذاری شده را باز می کند. حتی اگر مهاجمی نتواند از این کلید خصوصی استفاده کند ، آنها می دانند که چه کسی در اختیار دارد و می تواند به یک قربانی یا مظنون به یک جرم برای رمزگشایی پرونده فشار آورد..
در OTR ، غیرممکن است که چه کسی کلید مکالمه رمزگذاری شده را نگه داشته باشد. علاوه بر این ، ممکن است که کلید بلافاصله پس از انجام گفتگو نابود شود. به این گفته می شود رمزگذاری قابل انکار.
در حالی که احراز هویت و رمزگذاری هر دو قابل انکار ممکن است در برخی زمینه ها اطمینان یا حتی مهم باشد ، روش های دیگری برای پیوند دادن کلیدهای دو طرف به هویت واقعی آنها وجود دارد ، مانند کانالهای چت ، حسابها و آدرسهای IP که در یک مکالمه استفاده می شوند..
در ادامه بخوانید تا دریابید که چگونه در هنگام استفاده از ارتباط OTR از ناشناس بودن خود محافظت کنید.
الزامات اساسی OTR
از نظر تئوری ، استفاده از OTR مشابه PGP است ، اما لازم نیست نگران ایجاد دستی ، انتشار و به اشتراک گذاری کلیدها باشید یا نگران تاریخ انقضا آنها باشید. در اینجا مراحل اصلی استفاده از OTR آورده شده است.
- نرم افزار OTR را نصب کنید. از آنجا که OTR به چت محدود می شود ، با انواع نرم افزار چت همراه است ، مهمترین آنها Pidgin (Windows ، Linux) ، Adium (Mac OS X) ، Chat Secure (iOS ، Android) و Tor Messenger (کراس پلتفرم ، هنوز). در بتا).
- یک حساب چت سازگار با این سرویس دهنده های پیام رسان تنظیم کنید. این حساب حداقل باید از پروتکل هایی مانند jabber / xmpp ، یک سیستم باز و غیر متمرکز پشتیبانی کند که به طور مشابه با ایمیل کار کند. اکثر حساب های Gmail یا Google Apps نیز به عنوان حساب های jabber عمل می کنند – بدون هزینه اضافی. خدمات زیادی نیز وجود دارد که به شما امکان می دهد یک حساب jabber را آزادانه و ناشناس ثبت کنید.
- مخاطبین خود را به عنوان “رفقا” اضافه کنید تا با آنها گپ بزنید. آدرس jabber خود را وارد کنید ، که به نظر می رسد شبیه به آدرس ایمیل آنها باشد یا با آن یکسان باشد.
- برای شروع پیام OTR ، بسته به نرم افزاری که استفاده می کنید ، روی “شروع مکالمه خصوصی” یا کلیک بر روی نماد قفل کلیک کنید..
- برای تأیید هویت دوستتان ، اثر انگشت خود را با یکدیگر به اشتراک بگذارید. می توانید اثر انگشت خود را با کلیک روی “تأیید دستی” در پنجره گپ خود مشاهده کنید. اگر قبلاً کانال رمزگذاری شده تأیید کرده اید ، می توانید یکدیگر را از طریق آن تأیید کنید. همچنین می توانید اثر انگشت خود را در وب سایت یا رسانه های اجتماعی خود ثبت کنید.
نحوه حفظ ناشناس بودن در OTR
اگرچه پروتکل OTR به خودی خود در محافظت از حریم شخصی و ناشناس بودن شما بسیار شگفت انگیز است ، اگر از کانالی استفاده می کنید که بتواند به هویت واقعی شما پیوند بخورد ، قدرت کمتری دارد. از نظر تئوریک ، قابلیت انعطاف پذیری رمزنگاری بسیار مهم است ، اما اگر از طریق حساب کاربری Google Apps خود با شما ارتباط برقرار کنید ، کار را شکست می دهد ، جایی که کارفرمای شما ، Google و احتمالاً دولت می تواند ببیند چه کسی پیام می دهد. غالباً برای آنها نتیجه گیری در مورد هویت منبع و همکاران شما کافی است.
در اینجا نحوه ناشناس ماندن هنگام استفاده از OTR آورده شده است.
مرحله 1: از چندین حساب استفاده کنید
اولین قدم برای افزایش حریم شخصی شما استفاده از چندین حساب کاربری است و آگاه بودن از اینکه چه کسی را به کدام حساب اضافه می کنید آگاه باشید. می توانید تا آنجا پیش بروید که یک حساب جدید برای هر یک از مخاطبین خود ایجاد کنید. برای جلوگیری از تجزیه و تحلیل همبستگی از چه زمانی و از کجا وارد سیستم می شوید ، می توانید این حساب ها را در سرورها و خدمات مختلف ثبت کنید.
مرحله 2: از طریق VTR یا Tor به OTR وصل شوید
مرحله دوم این است که همیشه از طریق VPN یا حتی Tor به این حساب های گپ متصل شوید ، به خصوص هنگام ورود به سیستم. ورود به سیستم فقط یکبار از آدرس IP محل کار یا محل کار شما برای سازش شما کافی است.
مرحله 3: هویت گیرنده را تأیید کنید
آخرین مرحله خسته کننده ترین است: تأیید هویت گیرنده. این امر به ویژه مهم است تا اطمینان حاصل شود كه هیچ شخص ثالثی در حال رد شدن از مبادله نیست و كلیدهای OTR مخاطب خود را برای آنها جایگزین می كند. اتصال شما برای شما امن و رمزنگاری به نظر می رسد ، اما در واقع ممکن است تا زمانی که کلیدها را تأیید نکنید ، چنین نخواهد بود.
برای تأیید صحت هویت گیرنده خود ، یک عمل خوب این است که اثر انگشت خود را از طریق یک کانال قابل اعتماد مانند کارت ویزیت ، وب سایت یا حساب رسانه های اجتماعی خود پخش کنید. (می توانید اثر انگشت خود را در زیر “تنظیمات” یا “تأیید دستی” پیدا کنید.)
چگونه می توانیم هنگام اشتراک پرونده ها ناشناس بمانیم
در حالی که پروتکل jabber و بسیاری از مراجعین به صورت تئوری اجازه اشتراک فایل یا پیوست را می دهند ، بندرت کار می کند و از رمزگذاری استفاده نمی کند..
برای به اشتراک گذاشتن پرونده ها ، ExpressVPN به Onionshare ، سرویس اشتراک گذاری فایل P2P که از طریق Tor ساخته شده است ، توصیه می کند. به این ترتیب هیچ یک از طرفین نمی توانند شخص دیگری را به راحتی از طریق آدرس IP خود شناسایی کنند و پرونده در هنگام رمزگذاری رمزگذاری می شود.
مانند هر بارگیری ، توجه داشته باشید که پرونده ها ممکن است حاوی کد مخرب باشند که می تواند باعث تغییر نام شما شود. بهترین شرط شما این است که قبل از باز کردن فایل ها ، یا باز کردن پرونده ها در داخل یک ماشین مجازی ، از اینترنت جدا شوید.
مراقب کلیک بر روی انواع پیوندها ، به ویژه لینک های کوتاه ، باشید زیرا ممکن است حاوی کدهای رهگیری باشد که باعث می شود شما برای طرف مقابل قابل شناسایی باشید. اگر باید پیوندهای مشکوکی را باز کنید ، فقط آنها را در مرورگر Tor باز کنید.
اینجا را کلیک کنید تا یاد بگیرید که چگونه یک حساب Jabber ناشناس با رمزگذاری OTR تنظیم کنید.
تصویر برجسته: کلوپ عکس اسکات گریزل / دلار
17.04.2023 @ 16:56
یت در OTR ، هر طرف باید یک اثر انگشت را به طرف مقابل خود ارسال کند. این اثر انگشت توسط OTR برای تأیید هویت استفاده می شود و هرگز در متن پیام نمایش داده نمی شود. رمزگذاری قابل انکار در OTR به این معنی است که پیام های شما با استفاده از یک کلید رمزگذاری دینامیک رمزگذاری می شوند که پس از پایان جلسه از بین می رود. این کلید برای هر جلسه جدید ایجاد می شود و هیچگاه ذخیره نمی شود. الزامات اساسی OTR شامل داشتن یک نرم افزار OTR ، داشتن یک کلید خصوصی و عمومی برای هر جلسه ، تأیید هویت طرف مقابل و استفاده از شبکه های امن مانند VTR یا Tor است. برای حفظ ناشناس بودن در OTR ، می توانید از چندین حساب استفاده کنید ، از طریق VTR یا Tor به OTR وصل شوید و هویت گیرنده را تأیید کنید. در نهایت ، استفاده از ارتباطات خارج از ضبط و OTR می تواند به روزنامه نگاران کمک کند تا