id: Гость   вход   регистрация
текущее время 16:59 22/09/2018
Владелец: Вий (создано 19/01/2009 17:31), редакция от 08/04/2015 14:27 (автор: SATtva) Печать
Категории: инфобезопасность, защита im
создать
просмотр
редакции
ссылки

Шифрование сообщений с помощью OTR


Довольно интересный способ шифрования сообщений, основанный на использовании протокола OTR, существует в кроссплатформенном клиенте мгновенных сообщений – Pidgin, который, однако, в большей степени используется пользователями ОС Linux. Хотя мне лично гораздо более импонирует OpenPGP шифрование, данный способ может быть интересен пользователям данной программы обмена мгновенными сообщениями, к тому же производимые настройки не вызовут больших затруднений. С другой стороны данный протокол нельзя сравнивать с технологией OpenPGP по причине ряда существенных, принципиальных отличий (в частности, отсутствия ЭЦП), о деталях протокола можно почитать данном обсуждении. Насколько совместим протокол, используемый в модуле Pidgin, с модулями поддержки OTR в некоторых других мессенджерах мне неизвестно. Скрин-шот окна модуля приведен на рисунке.


 (34 Кб)


Итак приступим:


Сначала загляните в меню Pidgin "Сервис – Модули" и попробуйте найти модуль "Off-the-Record Messaging". Если этого модуля у вас нет, то нужно сделать следующее:


  1. Выйдите из программы Pidgin

  1. Установите модуль "Off-the-Record Messaging" с помощью следующей команды:


Команда приведена для ОС Ubuntu Linux

  1. Запустите Pidgin

  1. Найдите установленный модуль в меню "Сервис – Модули"

  1. Отметьте галочкой данный модуль с целью его активации

  1. Нажимте на кнопку "Настроить модуль"

  1. Откройте вкладку окна "Config"

  1. Выберите нужную (если она не одна) учетную запись напротив поля "Key for Account"

  1. Нажмите кнопку "Generate" для генерации ключа шифрования

После этих операций вместо слов "No Key Present", что изображено на скрин-шоте, появится слово "fingerprint" (отпечаток), а далее, против этого слова, длинный буквенно-цифровой код. Это хеш-значение вашего ключа шифрования. Если кнопка "Generate" не активна, проверьте, возможно вместо слов "No Key Present" у вас уже присутствует слово "fingerprint" с отпечатком ключа шифрования. Это значит, что ключ уже создан и скорее всего это произошло при установке модуля (если же ключ был сгенерирован заранее сборщиками пакета, то это очень плохой знак, однако подробного расследования автор данной заметки не проводил. Данный случай описывается по причине того, что мой собеседник пожаловался именно на такую ситуацию). Остальные настройки окна оставьте по умолчанию.

Теперь в окне обмена сообщениями вы получите дополнительное информационное поле "OTR Not Private". Ваша программа готова для начала приватного общения с вашими собеседниками, но необходимо, что бы они произвели те-же самые процедуры.

После проведения данных процедур вашими собеседниками и попытке установления чата вы получите сообщение с отпечатками ключа вашего собеседника (для того, что бы получить отпечатки предварительно отправьте друг-другу одно-два произвольных сообщений, это важно для генерации так называемых MAC-кодов, этой же операцией вы даете программе клиента понять, с кем необходимо обменяться этим кодами).

  1. Вновь откройте модуль, только на этот раз не вкладку "Config", а вкладку "Known finderprint". В данном поле вы увидите учетную запись вашего собеседника и значение поля "fingerprint", соответствующее хеш-значению ключа вашего собеседника (иначе это можно назвать отпечатком ключа).

После этого, если для вас это важно, свяжитесь каким-либо другим способом с вашим собеседником (например по телефону или зашифрованной и подписанной с помощью заверенных ключей OpenPGP электронной почтой) и сверьте коды друг друга. Коды должны совпадать. Это будет значить, что вы действительно общаетесь с тем человеком, которого считаете своим собеседником. До тех пор пока вы не произведете эту проверку и операцию, приведенную в п.11, в информационном поле чата вы будете видеть сообщение "OTR Unverified", свидетельствующее о том, что проверка отпечатков не произведена и чат не может считаться авторизованным.

  1. Отметьте мышью (все это делается во вкладке "Known finderprint"), что бы выделить, учетную запись вашего корреспондента и нажмите накнопку "Verify Fingerprint".

  1. После в выпадающем меню выберите ответ "I Have verifid that this is in fact correct fingerprint for the [ник вашего собеседника]". Давая утвердительный ответ на данное предложение вы тем самым подтверждаете, что произвели проверку отпечатков ключей, т.е. на стороне вашего собеседника присутствует действительно тот человек, за которого себя выдает собеседник чата (вы это сверили по телефону, с помощью заверенных ключей OpenPGP по e-mail или иным способом).

После проведения этих операций в окне чата вы будете видеть информационное поле "OTR Private". Это значит, что теперь вы общаетесь в приватной беседе.


 (7 Кб)


При повторном установлении сеанса переписки (к примеру на следующий день) в информационном поле вы будете видеть сообщение "OTR Not Private", которое сменится на сообщение "OTR Private", свидетельствующее о начале приватного чата, после отправки одним из вас любого произвольного сообщения.


В окне настройки модуля вы так же сможете видеть кнопки "Start Privatr Connection" и "End Private Connection", назначение которых логически понятно, а так же кнопку "Forget Fingerprin", по нажатию на которую вы обнулите поле отпечатков ключей "Known finderprint". Для их генерирования вам вновь придется пройти процедуру генерирования MAC-кодов и проверки доверия, как описано в п. 10-12.


После установки модуля вам будет так же доступно дополнительное меню в листе контактов по клику правой кнопки мыши на контакте собеседника.


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— Гость (20/01/2009 14:53)   <#>
Хотя я данный способ субъективно считаю менее надежным

OTR разрабатывали люди со знанием дела, можете быть спокойны.

© SATtva.
Вий, вы просто давно не были на форуме... и много что пропустили. Как теперь будете сдавать – не знаю...

Ещё OTR подробно обсуждался здесь.
— Гость (20/01/2009 14:56)   <#>
Кстати в совеременных тенденциях всё большее число jabber-клиентов поддерживают OTR... даже mcabber в их числе.
— SATtva (20/01/2009 14:59)   профиль/связь   <#>
комментариев: 11530   документов: 1036   редакций: 4054
А для ткаббера даже плагина нет. =( Ставить OTR-прокси как-то не того.
— Гость (20/01/2009 22:19)   <#>
Так оно для блондинок, SATtva, потому там не только OTR нет, но и понавешано всяких менюшечек, игрушечек, смайликов, etc. Тру гуры сидят в консоле, в mcabber.
— SATtva (20/01/2009 22:38)   профиль/связь   <#>
комментариев: 11530   документов: 1036   редакций: 4054
Каждый день узнаю для себя что-то новое.
— Гость (21/01/2009 06:27)   <#>
Да, причём выглядит это примерно вот так (пара скринов в архиве). И никаких розовых слоников, а только строгий цветовой стиль.
— SATtva (21/01/2009 11:56)   профиль/связь   <#>
комментариев: 11530   документов: 1036   редакций: 4054
Я знаю, что такое mcabber. В ткаббере розовых слоников не видел (может не туда смотрел?).
— Гость (21/01/2009 12:56)   <#>
Не ту траву курите :)
— Гость (21/01/2009 12:58)   <#>
Дело даже не в слониках. Для tkabber есть много плагинов, и в плане производительности/легковесности он сильно уступает ряду других клиентов (видимо, много рюшечек включено по умолчанию). Когда мне приходилось работать на слабой машине, mcabber стартовал буквально за пару секунд, в то время как запуск tkabber'а в умолчальной конфигурации занимал около 30 секунд в лучшем случае. Ну и вообще оконный интерфейс не люблю – вендой это всё пахнет. Как по мне, так лучше тайловые WM, интеграция с терминалом всего и вся, что даёт быстроту, удобство и практичность. имхо.
— SATtva (21/01/2009 13:36)   профиль/связь   <#>
комментариев: 11530   документов: 1036   редакций: 4054
Для tkabber есть много плагинов, и в плане производительности/легковесности он сильно уступает ряду других клиентов (видимо, много рюшечек включено по умолчанию).

В плане производительности он уступает из-за того, что писан на интерпретируемом языке — на тикле. К тому же скорость запуска — вряд ли определяющий фактор для im-клиента.

Ну и вообще оконный интерфейс не люблю – вендой это всё пахнет.

Эка Вы хватанули! Если мне не изменяет склероз, X11 был создан ещё во времена царствия DOS'а. Не знаю, как Вам, а для меня работать только в консоли — непозволительная роскошь.
— Гость (21/01/2009 15:18)   <#>
Не знаю, как Вам, а для меня работать только в консоли — непозволительная роскошь.

В терминале != в текстовой консоли. Консоль может быть и графической, как на скрине в ссылке выше. Запускаете менеджер шеллов screen и сразу получается "псевдооконный менеджер в консоли", в котором можно крутить не только джаббер (mcabber), но и почту (mutt), редактор (vim), управление файлами (zsh с интеллектуальным автодополнением), расчётные программы (octave/maxima/MatLab/etc). Единственное исключение из повседнгевных неконсольных программ – браузер. Так вот и происходит работа: на экране всегда 2 окна, оба не полный экран: одно – терминал с запущенным screen'ом, а другое – браузер. В иксах, естественно :) Но интерфейс может быть не окошечный, а как в тайловых менеджерах (ion/ratpoison/xmonad/wmii/dwm/etc).
— SATtva (21/01/2009 15:32)   профиль/связь   <#>
комментариев: 11530   документов: 1036   редакций: 4054
Ну и каковы преимущества, если всё равно запускать иксы? Я могу понять чистую консоль — с точки зрения безопасности на укреплённом ядре с мандатным контролем доступа это лучший вариант. А то, что Вы описали — просто дело привычки и вкуса.
— unknown (21/01/2009 15:53)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Единственное исключение из повседнгевных неконсольных программ – браузер.


[offtopic]
Вы ещё не настроили выборочный показ картинок в L{y, i}nx через фреймбуфер?
[/offtopic]
— Вий (21/01/2009 19:56, исправлен 21/01/2009 20:10)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Ого, я и не заметил, что здесь уже обсуждение идет...

SATtva:
Вий, вы просто давно не были на форуме... и много что пропустили. Как теперь будете сдавать – не знаю...


Не знаю SATtva, пытаюсь наверстывать :) :)

SATtva:
Не знаю, как Вам, а для меня работать только в консоли — непозволительная роскошь.

Согласен, на дворе 20-й век, ой 21-й уже... Винда потому и получила столь большой рывок, что Гейтс дал направление на создание операционки с красивыми рюшечками, что бы любая домохозяйка могла использовать его как бытовой прибор или записную книжку. Линуксам приходится догонять. Кстати успехи Linux на десктопе последних лет во многом обязаны активному развитию оконных оболочек и тех самых рюшечек.

По теме – я добавил в заметку (выше), что обнаружил в Pidgin еще один модуль для шифрования – "Pidgin-Encryption".
Судя по меню он использует асимметричную криптографию с ключами RSA. (хотел скрин прикрепить, но не понял как :)) К сожалению опробовать его с кем-либо из собеседников пока не удалось. Интересуют особенности реализации данного модуля и практического применения. Пользовался ли кто практически? Что известно по этому модулю о создателях, о его надежности, функционалу и т.д. и т.п.?
— SATtva (21/01/2009 20:19)   профиль/связь   <#>
комментариев: 11530   документов: 1036   редакций: 4054
Вий, вы просто давно не были на форуме... и много что пропустили. Как теперь будете сдавать – не знаю...

Не знаю SATtva, пытаюсь наверстывать :) :)

O_o Это не я писал.

хотел скрин прикрепить, но не понял как

В верхнем левом углу — кнопка Файлы. Идёте туда, загружаете файл, а в тексте даёте на него ссылку, как описано здесь.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3