id: Гость   вход   регистрация
текущее время 14:32 25/04/2024
Владелец: Вий (создано 19/01/2009 17:31), редакция от 08/04/2015 14:27 (автор: SATtva) Печать
Категории: инфобезопасность, защита im
создать
просмотр
редакции
ссылки

Шифрование сообщений с помощью OTR


Довольно интересный способ шифрования сообщений, основанный на использовании протокола OTR, существует в кроссплатформенном клиенте мгновенных сообщений – Pidgin, который, однако, в большей степени используется пользователями ОС Linux. Хотя мне лично гораздо более импонирует OpenPGP шифрование, данный способ может быть интересен пользователям данной программы обмена мгновенными сообщениями, к тому же производимые настройки не вызовут больших затруднений. С другой стороны данный протокол нельзя сравнивать с технологией OpenPGP по причине ряда существенных, принципиальных отличий (в частности, отсутствия ЭЦП), о деталях протокола можно почитать данном обсуждении. Насколько совместим протокол, используемый в модуле Pidgin, с модулями поддержки OTR в некоторых других мессенджерах мне неизвестно. Скрин-шот окна модуля приведен на рисунке.


 (34 Кб)


Итак приступим:


Сначала загляните в меню Pidgin "Сервис – Модули" и попробуйте найти модуль "Off-the-Record Messaging". Если этого модуля у вас нет, то нужно сделать следующее:


  1. Выйдите из программы Pidgin

  1. Установите модуль "Off-the-Record Messaging" с помощью следующей команды:


Команда приведена для ОС Ubuntu Linux

  1. Запустите Pidgin

  1. Найдите установленный модуль в меню "Сервис – Модули"

  1. Отметьте галочкой данный модуль с целью его активации

  1. Нажимте на кнопку "Настроить модуль"

  1. Откройте вкладку окна "Config"

  1. Выберите нужную (если она не одна) учетную запись напротив поля "Key for Account"

  1. Нажмите кнопку "Generate" для генерации ключа шифрования

После этих операций вместо слов "No Key Present", что изображено на скрин-шоте, появится слово "fingerprint" (отпечаток), а далее, против этого слова, длинный буквенно-цифровой код. Это хеш-значение вашего ключа шифрования. Если кнопка "Generate" не активна, проверьте, возможно вместо слов "No Key Present" у вас уже присутствует слово "fingerprint" с отпечатком ключа шифрования. Это значит, что ключ уже создан и скорее всего это произошло при установке модуля (если же ключ был сгенерирован заранее сборщиками пакета, то это очень плохой знак, однако подробного расследования автор данной заметки не проводил. Данный случай описывается по причине того, что мой собеседник пожаловался именно на такую ситуацию). Остальные настройки окна оставьте по умолчанию.

Теперь в окне обмена сообщениями вы получите дополнительное информационное поле "OTR Not Private". Ваша программа готова для начала приватного общения с вашими собеседниками, но необходимо, что бы они произвели те-же самые процедуры.

После проведения данных процедур вашими собеседниками и попытке установления чата вы получите сообщение с отпечатками ключа вашего собеседника (для того, что бы получить отпечатки предварительно отправьте друг-другу одно-два произвольных сообщений, это важно для генерации так называемых MAC-кодов, этой же операцией вы даете программе клиента понять, с кем необходимо обменяться этим кодами).

  1. Вновь откройте модуль, только на этот раз не вкладку "Config", а вкладку "Known finderprint". В данном поле вы увидите учетную запись вашего собеседника и значение поля "fingerprint", соответствующее хеш-значению ключа вашего собеседника (иначе это можно назвать отпечатком ключа).

После этого, если для вас это важно, свяжитесь каким-либо другим способом с вашим собеседником (например по телефону или зашифрованной и подписанной с помощью заверенных ключей OpenPGP электронной почтой) и сверьте коды друг друга. Коды должны совпадать. Это будет значить, что вы действительно общаетесь с тем человеком, которого считаете своим собеседником. До тех пор пока вы не произведете эту проверку и операцию, приведенную в п.11, в информационном поле чата вы будете видеть сообщение "OTR Unverified", свидетельствующее о том, что проверка отпечатков не произведена и чат не может считаться авторизованным.

  1. Отметьте мышью (все это делается во вкладке "Known finderprint"), что бы выделить, учетную запись вашего корреспондента и нажмите накнопку "Verify Fingerprint".

  1. После в выпадающем меню выберите ответ "I Have verifid that this is in fact correct fingerprint for the [ник вашего собеседника]". Давая утвердительный ответ на данное предложение вы тем самым подтверждаете, что произвели проверку отпечатков ключей, т.е. на стороне вашего собеседника присутствует действительно тот человек, за которого себя выдает собеседник чата (вы это сверили по телефону, с помощью заверенных ключей OpenPGP по e-mail или иным способом).

После проведения этих операций в окне чата вы будете видеть информационное поле "OTR Private". Это значит, что теперь вы общаетесь в приватной беседе.


 (7 Кб)


При повторном установлении сеанса переписки (к примеру на следующий день) в информационном поле вы будете видеть сообщение "OTR Not Private", которое сменится на сообщение "OTR Private", свидетельствующее о начале приватного чата, после отправки одним из вас любого произвольного сообщения.


В окне настройки модуля вы так же сможете видеть кнопки "Start Privatr Connection" и "End Private Connection", назначение которых логически понятно, а так же кнопку "Forget Fingerprin", по нажатию на которую вы обнулите поле отпечатков ключей "Known finderprint". Для их генерирования вам вновь придется пройти процедуру генерирования MAC-кодов и проверки доверия, как описано в п. 10-12.


После установки модуля вам будет так же доступно дополнительное меню в листе контактов по клику правой кнопки мыши на контакте собеседника.


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— Гость (21/01/2009 22:47)   <#>
Ну и каковы преимущества, если всё равно запускать иксы?

Удобство. Линейная адресация по номерам окон, вызов любого окна (его всплытия)/команды/управления им посредством хоткея. К примеру, у меня win+0 – обычно терминал, win+1 – обычно браузер и т.д. Скорость доступа не уменьшается с ростом числа окон, и жать по 20 раз win+tab не надо. Также не надо дёргать мышь и водить её на панель, т.к. панели нет, равно как и поддержки мыши как средства управления окнами. Также удобная поддержка alternating и прочих насущных вкусностей. Это всё позволяет оперативно, быстро и легко переключаться между окнами. Вопрос удобства, но это надо всё сначала настроить, а потом чуть привыкнуть.

А то, что Вы описали — просто дело привычки и вкуса.

Всё так, но любят то, к чему привыкли, а привыкают к тому, к чему приучили. Всем сейчас кажется естественным и удобным "интуитивно понятный интерфейс", который вообще говоря совершенно фигово апскейлится, и имеет преимущества лишь на стадии изучения из-за своей простоты (ценой неоптимальности). Не переживайте – я не в консоли родился, и было время когда ничего кроме стандартного windows не видел. И вот, возвращаться как-то не хочется...

Согласен, на дворе 20-й век, ой 21-й уже...

Классическая ошибочная аллегория. Мой шеф когда впервые увидел мой UNIX сказал что "это что, что-то типа DOS?". И с тех пор все относились к нему как нечто по типу DOS, всего лишь из-за того что и там и там в текстовом режиме белые буквы по чёрному фону (мало кто знает что винда тоже переводится в этот режим посредством магии пуск->выполнить команду->cmd->alt+enter).

Линуксам приходится догонять.

Не верно аппелировать к распространённости как к очевидной демонстрации качества. Кстати, компьютерами пользуются не только домохозяйки, и у специалиста требования к ОС могут отличаться от домохозяечных очень сильно.
— Гость (21/01/2009 22:58)   <#>
O_o Это не я писал.

А кому сейчас легко? Прийдётся взять на себя :)
— Kent (21/01/2009 23:03)   профиль/связь   <#>
комментариев: 437   документов: 30   редакций: 15
apt-get install

Вы какой дистрибутив используете?

aptitude is now the preferred text front end for APT, the Advanced Package Tool
— SATtva (22/01/2009 00:00)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Удобство.

Очень субъективная вещь. А будет ли удобен тайловый интерфейс, если запихать в него почтовый клиент, браузер, блендер, гимп, инкскейп и ещё пару-тройку приложений, едва ли юзабельных, если не развёрнуты на весь экран? Ваша проблема в том, что Вы пытаетесь доказать мне что-то, будто я этого не видел, не пробовал и не составил своего мнения.

Начали мы с того, что ткаббер не поддерживает OTR, а сейчас забрались уже в совсем дремучий офф-топик. Вот придёт Вий и потрёт эту нашу писанину. :-)
— Гость (22/01/2009 01:51)   <#>
А будет ли удобен тайловый интерфейс, если запихать в него почтовый клиент, браузер, блендер, гимп, инкскейп и ещё пару-тройку приложений, едва ли юзабельных, если не развёрнуты на весь экран? Ваша проблема в том, что Вы пытаетесь доказать мне что-то, будто я этого не видел, не пробовал и не составил своего мнения.

Про блендер и инскейп ничего не могу сказать, остальные – вполне юзабельны за исключением что может быть gimp'а (по началу непривычно с ним). Впрочем, гимп я использовал редко и редактировал не больше одной картинки – средствами тайлового wm справлялся.

Я понимаю что вы хотите сказать. Но среднестатистическому пользователю редко нужно что-то кроме браузера, мыла и IM, каковые вполне хорошо уживаются с тайловыми wm.
— Гость (22/01/2009 16:54)   <#>
Вы ещё не настроили выборочный показ картинок в L{y, i}nx через фреймбуфер?

Интересовался немного топиком, но ответ не нашёл. Дело в том, что не Linux'ом единым пользуется opensource-сообщество, и здесь как раз мой случай. Как я понимаю, реализация fb зависит от ОС, и совместимость приложений здесь никто не гарантирует, так что как будет себя "чувствовать" тот самый линкс под фрёвым или нэтбсдшным фрэймбаффером, судить не возьмусь. Были библиотеки в стиле directfb и попытки вынести всю графику в fb. Как я понял (на момент несколько лет назад это было), то не все распространённые вьюеры для fb есть. А как минимум надо уметь смотреть не только картинки в браузерах, но и pdf'ки хотя бы те же, да и djvu... но само направление мысли мне нравится. Ещё народ сильно ругал fb за его тормознутость по ср. с иксами. Fb в Linux более всего развито в генте, так что SATtva, пожалуй, мог бы покомпетентнее просветить насчёт текущего положения прикладных графических прог под fb.
— SATtva (22/01/2009 17:00)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Fb в Linux более всего развито в генте

На уровне отдельного fb-модуля (или патча к ядру?). Интересовался поверхностно с полгода назад, довольно обстоятельная инструкция была в gentoo-wiki.org, пока сайт не накрылся медным тазом. Мне это тогда показалось просто набором костылей, причём не универсальных.
— Гость (22/01/2009 17:29)   <#>
На уровне отдельного fb-модуля (или патча к ядру?).

Я имел в виду, что дистр, ессно, не важен, но в генте fb работает более искоробочно.
— Вий (24/01/2009 10:06, исправлен 24/01/2009 11:05)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Не верно аппелировать к распространённости как к очевидной демонстрации качества.

Разве я апеллировал этим как к демонстрации качества? Я говорил именно о распространенности. В данном случае это явилось следствием не качества (в смысле возможностей, надежности и т.п.), а понятности и красивости интерфейса.

Kent:
Вы какой дистрибутив используете?

Ubuntu Linux.

Расширение Pidgin-Encryption существует и для Федоры, хотя в репозитарии Федоры его нет, ставится пакетом rpm. В заметку добавил скрины для обоих модулей. Скрин модуля Pidgin-Encryption прислал мне пользователь Федоры (имя пользователя заменено на слово user, не спрашивал добро хозяина на публикацию). Мой модуль Pidgin-Encryption к сожалению не на русском языке, но разобраться в нем совсем не сложно. Скоро попробуем провести эксперимент по установке защищенного канала связи с использованием этого модуля, о результатах теста напишу дополнительно.
— Вий (24/01/2009 19:14)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Добавил немного о работе с модулем Pidgin-Encryption, насколько хватило небольшого количества времени, что бы его попробовать.
— Гость (19/08/2009 22:20)   <#>
PS. Уже после опробования в работе этих двух модулей мной был обнаружен еще один модуль для шифрования сообщений Pidgin с забавным наименованием "Pidgin-Paranoia". Принципы его работы мне неизвестны. Однако устанавливать и пробовать его у меня уже просто не хватило желания :) :) :)

Pidgin-paranoia is a plug-in for Pidgin (formerly known as Gaim) that provides information-theoretically secure encrypted conversations using one-time pads.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3