Apakah yang dimaksudkan dengan pemesejan luar (OTR)?

Bagi wartawan, keupayaan untuk melindungi sumber sangat penting untuk berjaya berkomunikasi dengan orang yang berharga. Untuk sumber, kepentingannya lebih tinggi: keselamatan dan kebebasan mereka bergantung pada tidak dikenalpasti sebagai sumber cerita.

Penyataan semata-mata bahawa seseorang di dalam sebuah perbadanan atau organisasi kerajaan bercakap kepada wartawan boleh merusak kandungan isi perbualan itu sendiri.

Bayangkan perkara ini: Setelah menerima hujah anonim, penerbitan berita utama memecah cerita mengenai sebuah syarikat minyak besar yang menutupi kemalangan. Hari selepas ceritanya, korporat mengetahui bahawa seorang pekerja baru-baru ini menukar maklumat yang disulitkan dengan seseorang dari syarikat berita. Perbadanan itu segera menyala kebocoran, mengakhiri kerjaya mereka, dan mengancam kebocoran dengan gugatan lemak yang besar.

Komunikasi luar rekod membantu menghalang senario ini daripada terungkap.

“Off-the-record” (OTR) sebagai istilah dalam kewartawanan merujuk kepada maklumat dari sumber yang secara rasmi tidak wujud, atau perbualan yang “tidak berlaku.” Maklumat ini boleh tetapi tidak harus berasal dari sumber yang diketahui kepada wartawan, mengambil bentuk apa-apa dari tipan anonim kepada maklumat dari sumber yang dipercayai panjang.

Walaupun banyak organisasi berita yang dihormati mempunyai dasar untuk tidak mempublikasikan maklumat yang dikongsi dari rekod, maklumat ini masih boleh memainkan peranan kritikal dalam menunjuk wartawan ke arah yang betul, atau membantu wartawan mencari sumber yang boleh dihimpun dengan maklumat yang sama.

Mari lihat pada pemesejan OTR dan bagaimana ia berfungsi.

OTR menggunakan kerahsiaan ke hadapan

Untuk memahami ciri-ciri OTR, mari lihat dulu Privacy Pretty Good (PGP), yang mendahului OTR oleh lebih dari 10 tahun. PGP adalah perisian penyulitan di mana penghantar dan penerima membuat sepasang kunci penyulitan yang mereka gunakan untuk menyulitkan mesej dan data. Ia popular untuk e-mel dan pemindahan fail dan juga membolehkan pengguna untuk menandatangani data dengan kunci awam statik untuk membuktikan kesahihan mereka. Kunci ini sering dipublikasikan di laman web pemilik atau direktori, dan boleh digunakan untuk masa yang lama oleh pemiliknya.

Walaupun perisian penyulitan seperti PGP adalah berkesan untuk menjaga kandungan rahsia data yang disampaikan, ia mempunyai beberapa kekurangan ketika datang untuk terus berhubung dengan sumber anda. Sekiranya kunci penyulitan anda didedahkan, penyerang boleh menyahsulit semua perbualan anda yang terdahulu jika mereka telah mencegat dan merekodkan mesej yang disulitkan.

OTR melindungi mesej anda daripada disahsulit dengan mengamalkan “rahsia ke hadapan yang sempurna.”

Kerahsiaan meneruskan bermakna anda mempunyai kerahsiaan hari ini walaupun kekunci anda akan dikompromikan pada masa akan datang. OTR menyediakan kerahsiaan hadapan dengan menggunakan kunci yang berbeza untuk setiap sesi, yang tidak disimpan selepas sesi selesai.

Kelemahan untuk mempunyai kekunci yang berbeza untuk setiap sesi adalah bahawa anda tidak boleh mengambil sejarah anda tanpa melengkapkannya dalam teks yang jelas, yang boleh menjejaskan anda kemudian. Selain itu, tidak ada cara untuk mengetahui jika pihak lain sedang melanda anda, tetapi anda tidak akan mendedahkan identiti atau maklumat berharga kepada mereka jika anda tidak mempercayai mereka untuk memulakan, betul?

OTR menyediakan pengesahan dan penyulitan deniable

Pengesahan Deniable

Dalam PGP, anda boleh menggunakan kekunci statik untuk menandatangani apa-apa jenis data atau teks. Tandatangan ini mengesahkan anda tanpa keraguan dan menunjukkan anda membuat atau meluluskan mesej tertentu. Tetapi kerana tandatangan ini dapat dilihat oleh mana-mana pemerhati, ia dapat mendedahkan identiti kedua-dua pihak berkomunikasi.

Amalan OTR pengesahan deniable. Ini bermakna tidak mustahil untuk seorang pendengar untuk memberitahu hanya dari mesej yang disulitkan yang berkomunikasi dengan siapa. Hanya peserta mendapat maklumat tentang identiti satu sama lain dalam bentuk cap jari.

Untuk mengesahkan identiti satu sama lain dan pastikan tiada siapa yang melakukan serangan menengah, anda boleh menyiarkan cap jari anda atau bertukar mereka melalui saluran alternatif, misalnya secara peribadi atau pada profil media sosial anda. Pertukaran cap jari ini merupakan ciri penting yang menjadikan OTR jauh lebih dikenali daripada PGP.

Penyulitan Deniable

Begitu juga dengan pengesahan, PGP membenarkan pemerhati atau eavesdropper untuk melihat kunci peribadi yang membuka kunci fail yang disulitkan. Walaupun penyerang tidak dapat memegang kunci peribadi ini, mereka tahu siapa yang memilikinya dan boleh memberikan tekanan kepada mangsa atau suspek jenayah untuk mendekripsi fail.

Di OTR, tidak mustahil untuk melihat siapa yang memegang kunci kepada perbualan yang disulitkan. Lebih-lebih lagi, kunci mungkin dimusnahkan sebaik sahaja perbualan berlaku. Ini dipanggil penyulitan deniable.

Walaupun kedua-dua pengesahan dan penyulitan deniable mungkin menjamin atau bahkan penting dalam beberapa konteks, terdapat cara lain untuk menghubungkan kembali kekunci dua pihak kepada identiti sebenar mereka, seperti melalui saluran sembang, akaun, dan alamat IP yang digunakan dalam perbualan.

Teruskan membaca untuk mengetahui bagaimana untuk melindungi ketiagaan anda apabila menggunakan komunikasi OTR.

Keperluan asas untuk OTR

Secara teorinya, menggunakan OTR adalah serupa dengan PGP, tetapi anda tidak perlu risau tentang penciptaan, penerbitan, dan kunci perkongsian secara manual, atau membimbangkan tentang tarikh tamat tempoh mereka. Inilah langkah asas untuk menggunakan OTR.

  1. Pasang perisian OTR. Memandangkan OTR terhad kepada perbualan, ia disertakan dengan pelbagai perisian sembang, terutamanya Pidgin (Windows, Linux), Adium (Mac OS X), Chat Sukar (iOS, Android), dan Tor Messenger (salib platform, masih dalam beta).
  2. Sediakan akaun sembang yang serasi dengan klien pengirim ini. Akaun tersebut mesti sekurang-kurangnya protokol sokongan seperti jabber / xmpp, sistem terbuka dan terpusat yang berfungsi sama dengan email. Kebanyakan akaun Gmail atau Google Apps berfungsi sebagai akaun jabber-tanpa kos tambahan. Terdapat juga banyak perkhidmatan yang membolehkan anda mendaftarkan akaun jabber secara bebas dan tanpa nama.
  3. Tambahkan kenalan anda sebagai ‘kawan’ untuk berbual dengan mereka. Masukkan alamat jabber mereka, yang serupa dengan atau sama dengan alamat e-mel mereka.
  4. Untuk memulakan mesej OTR, klik pada ‘memulakan perbualan peribadi’ atau klik pada simbol kunci, bergantung kepada perisian yang anda gunakan.
  5. Untuk mengesahkan identiti rakan anda, kongsi cap jari anda antara satu sama lain. Anda boleh melihat cap jari anda dengan mengklik ‘pengesahan manual’ dalam tetingkap sembang anda. Sekiranya anda telah menubuhkan saluran disulitkan yang disahkan, anda boleh mengesahkan satu sama lain melalui itu. Anda juga boleh menyenaraikan cap jari anda di laman web atau media sosial anda.

Bagaimana untuk mengekalkan nama yang tidak dikenali di OTR

Walaupun protokol OTR itu sendiri agak luar biasa dalam melindungi privasi anda dan tidak dikenali, ia kurang berkuasa jika anda menggunakan saluran yang boleh dikaitkan semula dengan identiti sebenar anda. Mempunyai kebencian kriptografi sangat baik dalam teori, tetapi ia mengalahkan tujuan jika anda berkomunikasi melalui akaun Google Apps anda, di mana majikan anda, Google, dan mungkin kerajaan dapat melihat siapa yang anda pesankan. Seringkali itu mencukupi untuk mereka membuat kesimpulan mengenai identiti sumber dan kolaborator anda.

Berikut adalah cara untuk kekal tanpa nama apabila anda menggunakan OTR.

Langkah 1: Gunakan berbilang akaun

Langkah pertama untuk meningkatkan privasi anda adalah menggunakan beberapa akaun dan sedar siapa yang anda tambahkan pada akaun mana. Anda boleh pergi setakat mencipta akaun baru untuk setiap kenalan anda. Untuk mengelakkan analisis korelasi apabila dan di mana anda log masuk, anda boleh mendaftarkan akaun ini ke pelbagai pelayan dan perkhidmatan.

Langkah 2: Sambungkan ke OTR melalui VPN atau Tor

Langkah kedua ialah sentiasa berhubung dengan akaun sembang melalui VPN atau bahkan Tor, terutamanya apabila anda mendaftar. Log masuk hanya sekali dari rumah atau alamat IP kerja anda cukup untuk menjejaskan anda.

Langkah 3: Sahkan Identiti Penerima

Langkah terakhir adalah yang paling melelahkan: untuk mengesahkan identiti penerima. Ini amat penting untuk memastikan bahawa tiada pihak ketiga memintas pertukaran di tengah, menggantikan kunci OTR bagi kenalan anda. Sambungan anda akan kelihatan selamat dan disulitkan kepada anda, tetapi sebenarnya mungkin tidak sehingga anda mengesahkan kekunci.

Untuk mengesahkan identiti penerima anda dengan pasti, amalan yang baik adalah menyiarkan cap jari anda melalui saluran yang dipercayai seperti akaun perniagaan anda, laman web atau akaun media sosial. (Anda boleh menemui cap jari anda di bawah “tetapan” atau “mengesahkan secara manual”.)

Bagaimana untuk kekal tanpa nama semasa berkongsi fail

Walaupun protokol jabber dan banyak pelanggan secara teorinya membenarkan perkongsian fail atau lampiran, ia jarang berfungsi dan tidak menggunakan penyulitan.

Untuk berkongsi fail, ExpressVPN mengesyorkan Onionshare, perkhidmatan perkongsian fail P2P yang dibina melalui Tor. Dengan cara itu, pihak tidak boleh mengenal pasti yang lain dengan mudah melalui alamat IP mereka, dan fail tersebut dienkripsi dalam transit.

Seperti mana-mana muat turun, sedar bahawa fail mungkin mengandungi kod berniat jahat yang boleh menamakan anda. Betul anda adalah untuk memutuskan sambungan internet sebelum membuka fail, atau membuka fail di dalam mesin maya.

Berhati-hati dengan mengklik mana-mana jenis pautan, terutamanya yang dipendekkan, kerana ia mungkin mengandungi kod penjejakan yang membolehkan anda mengenal pasti pihak lain. Jika anda mesti membuka pautan yang mencurigakan, hanya bukanya di dalam pelayar Tor.

Klik di sini untuk mengetahui cara menyediakan akaun Jabber tanpa nama dengan penyulitan OTR.

Imej yang diketengahkan: Scott Griessel / Kelab Photo Dollar