Användarvisningsbild
traeskfisk
Inlägg: 63
Blev medlem: 09 sep 2015, 21:43
Områden: Barn
Kontakt: Twitter

[Guide] OTR (Off-the-Record messaging)

02 okt 2016, 16:35

Hej,
Här kommer ett litet ihopsläng om OTR.
I denna post är det blandat vad OTR är och hur du sätter upp ett konto och använda via klienten Pidgin.

OTR - Off-the-Record Messaging.
OTR är ett protokoll som används för att kryptera kommunikation över t.ex. protokoll för instant
messaging eller IRC.

Krypteringen är en kombination av AES-128 (symmetrisk primitiv med 128 bitars nyckel) och
Diffie-Hellman (nyckelutbytesprotokoll) med 1536 bits gruppstorlek och hashfunktionen SHA-1.
OTR är autentiserad, vilket innebär att det går att verfiera att meddelanden inte har ändrats genom
t.ex. en man-in-the-middle-attack. Detta uppnås med hjälp av en MAC som är 20 bytes (dvs. digesten av SHA-1).
OTR tillhandahåller också forward secrecy för användaren, vilket medför att om någon till exempel
skulle komma över long-term keys så äventyrar det inte gamla sessionsnycklar.

Forward secrecy skyddar gamla sessioner mot framtida stulna nycklar/lösenord.
Forward secrecy är vanligt förekommande i protokoll som du använder dagligen: SSH, TLS,
OpenSSL och Signals protokoll, för att nämna några.

Exempel på chatklienter som har stöd för OTR är:
  • Pidgin (x-platform, OTR installeras som plugin.)
  • Adium (osx, OTR kommer inbygt med Adium.)
  • Irssi, xchat, weechat (OTR installeras som plugin.)
  • Google Talk använder sig utav vad de kallar “off the record” men det är inte samma sak
    som detta. (source: https://en.wikipedia.org/wiki/Google_Talk#Encryption)
Jag har tittat på Pidgin för Windows och Linux.
Från och med OTR 3.1 finns det support för gemensam autentisering mellan användarna genom att
använda en delad hemlighet genom det så kallade ‘socialist millionaire’-protokollet.
Detta gör det möjligt att användarna verifierar identiteten hos varandra för att undvika en man-inthe-middle-attack.
Det gör kommunikation mer praktisk eftersom slipper manuellt jämföra den publika nyckelns
fingeravtryck via en annan källa.

Screenshots och liknande kommer vara ifrån Pidgin.
Pidgin version: Pidgin 2.10.12 (libpurple 2.10.12)
OTR version: 4.0.2

Hur skapar du en användare för att kunna chatta via OTR?
Det finns flera websidor där du kan signa upp för att få ett konto som har stöd för detta.
Det vi använder är xmpp(‘jabber’). Pidgin har support för olika protokoll.
Demostrationen körs via jodo.im. Lista med fler servrar för jabber konto kan ni hitta här: https://xmpp.net/directory.php

Här är en bild på vad man kan använda:
Bild
Bild från Google, eftersom jag inte kunde ta screenshots av menyerna.

Det vi använder som nämnt tidigare är XMPP.
För att skapa ett konto som du kan använda så kan vi börja med att gå till
http://jodo.im/en/registration/

Du måste fylla I fälten nedan
Bild
Du kommer behöva fylla I en e-postadress för att kunna slutföra registreringen.
Jag använder mig utav 10minutemail.com I detta fall.

Efter några minuter så får man ett mail.
Bild

Klicka på länken I mailet för att aktivera kontot.
Bild

Lägg sedan till informationen I Pidgin för att kunna börja chatta med folk

Jag installerade Pidgin genom terminalen.

Kod: Markera allt

user@lisa:~$ sudo apt-get install pidgin

När pidgin är installerat så behöver ni även OTR pluginet.

Kod: Markera allt

user@lisa:~$ sudo apt-get install pidgin-otr

Starta sedan pidgin och lägg till eran nya användare
Bild

När ni loggat in så går ni in på Tools – Plugins och var säkra på att OTR är aktiverat.
Bild
Återigen bild från Google då jag inte kan screenshotta menyn.

När ni kommit in på Plugins så letar ni upp OTR och bockar I rutan
Bild
För att skapa en handskakning med eran vän så att ni kan använda OTR gör då på följande sätt.

Detta kräver ju givetvis att du har hittat dig en vän som du vill prata med och lagt till I din lista med
vänner.

Högst upp i chatfönstret ser du denna raden:
Bild
Klicka på OTR och välj “Authenticate Buddy” för att sedan välja vilket sätt du vill göra detta.
Bild
Question and Answer.
Detta är vad jag använt med andra Pidgin användare.
Då skriver man en fråga och ett svar och när din vän svarar rätt på frågan så skakas det hand och
verifieras och därefter kan ni prata via OTR.

Nästa är Shared Secret.
Bild
Man skriver en hemlighet där sedan kommer det komma en ruta på din väns skärm för att skriva in
hemligheten, därefter skakas det hand och man kan chatta via OTR.

Sen kan man manuellt verifiera.
Bild
Detta fick jag göra med en ‘Adium’ användare då han inte fick upp någon ruta när jag försökte
verifiera via question and answer.

När det är klart så ser man detta.
Bild
Google bild.

Längst ned I chattfönstret till höger så kan man se om chatten är privat.
Bild
När ni skriver med varandra nu så är det bara ni som kan se vad som skrivs. När du stänger ned chatrutan så försvinner historiken och det går inte att få tillbaka det som skrivits.
Personen du chattar med kan ju ha haft rutan kvar öppen och kan kopiera och klistra in det som
skrivits till dig men det är iallfall så att när chatrutorna stängs så försvinner det ni skrivit.

Loggningen stängs av med OTR och chatten är krypterad.

Varför vill man använda OTR istället för till exempel PGP?
Det kan vara skönt att chatta krypterad med varandra live som att sitta på Messenger, Steam, MSN
osv.
Slippa skicka mails till varandra eller skriva via IRC.
Jag tycker iallfall det är nice att använda Jabber eftersom live-chat är väldigt trevligt, en annan
känsla än mail och irc.
Värt att nämna är att PGP inte har forward secrecy, då skulle man praktiskt sett behöva skapa ett
nytt nyckelpar varje gång man skriver ett meddelande.

Nu finns det ännu mindre anledning för dig att inte skriva meddelanden privat.

Länkar:

Det går även kolla på denna posten som en pdf här: https://nup.pw/h7JP3f.pdf
traeskfisk@riseup.net (Email & xmpp)

grocid
Respekterad Medlem ²
Inlägg: 276
Blev medlem: 11 feb 2015, 12:10
Områden: ᴋʀyᴘᴛᴏaɴᴀrᴋism
Kontakt: Twitter

Re: [Guide] OTR (Off-the-Record messaging)

02 okt 2016, 17:10

Bra post!

Kan vara värt att nämna att kommunikationen inte är anonym per definition. Vill man att den ska vara det måste man registrera sig och konsekvent använda OTR över TOR.

Användarvisningsbild
traeskfisk
Inlägg: 63
Blev medlem: 09 sep 2015, 21:43
Områden: Barn
Kontakt: Twitter

Re: [Guide] OTR (Off-the-Record messaging)

02 okt 2016, 17:14

grocid skrev:Bra post!

Kan vara värt att nämna att kommunikationen inte är anonym per definition. Vill man att den ska vara det måste man registrera sig och konsekvent använda OTR över TOR.


Tack Grocid!

Japp. Ansluta via tor kan man göra också, det tog jag inte med nej. Det kan man lägga till lätt genom att trycka på "Accounts" -> "Edit Account" på ditt konto och sedan fliken "Proxy".

Bild
traeskfisk@riseup.net (Email & xmpp)

Användarvisningsbild
yag
Inlägg: 20
Blev medlem: 31 aug 2016, 09:12

Re: [Guide] OTR (Off-the-Record messaging)

02 okt 2016, 17:32

Bra guide! Välskrivet och lättläst!

Jag använder Pidgin med OTR ganska ofta själv och har för mig att default-inställningarna är att logga alla snabbmeddelanden och chattar, då jag inte vet om OTR stänger av detta åt mig (inte kollat upp, lathet) så gör jag det själv under Inställningar>Loggning, ett bra tips för den paranoida iaf!

Förut loggade även Pidgin mitt lösenord i klartext under /%Userprofile&/AppData/Roaming/.purple/accounts.xml (värt att kolla)

Det verkar dock vara fixat nu!

Tack för en bra guide!

Användarvisningsbild
ak
Inlägg: 275
Blev medlem: 29 dec 2015, 11:45
Områden: Vakta orten
Kontakt: Twitter

Re: [Guide] OTR (Off-the-Record messaging)

02 okt 2016, 19:24

Mycket bra guide som du både i text formulerar dig väldigt bra så att vilken idiot som helst kan förstå, samt att du visualiserar varje steg med bilder vilket jag tycker är proffsigt då en bild alltid oavsett vad säger mer än 1000 ord!
Tack för att du delar med dig av detta!
Min blogg | https://akboy.se/

Användarvisningsbild
adax
Moderator
Inlägg: 156
Blev medlem: 12 jul 2015, 10:59
Områden: allätare

Re: [Guide] OTR (Off-the-Record messaging)

03 okt 2016, 21:36

Bra jobbat traeskfisk, tror många kommer uppskatta denna guide.
keybase.io/abn0rm/key.asc

I didn't ask for this pain, it just came over me

Användarvisningsbild
drone
Inlägg: 15
Blev medlem: 13 jun 2016, 11:25

Re: [Guide] OTR (Off-the-Record messaging)

04 okt 2016, 08:30

Snyggt! Bra jobbat

Användarvisningsbild
traeskfisk
Inlägg: 63
Blev medlem: 09 sep 2015, 21:43
Områden: Barn
Kontakt: Twitter

Re: [Guide] OTR (Off-the-Record messaging)

12 okt 2016, 11:59

Jag är glad att det uppskattades av så många. :D

Hoppas nivån inte är för låg. Detta är väl ändå ett forum för att lära sig tänker jag.

Tack för era ord!
traeskfisk@riseup.net (Email & xmpp)

Användarvisningsbild
Ratcher
Inlägg: 191
Blev medlem: 22 nov 2014, 05:13
Kontakt: Twitter

Re: [Guide] OTR (Off-the-Record messaging)

14 okt 2016, 03:19

Tack, måste testas framöver.

Kanske en skit dum fråga, men tänkte på Question för att kunna verifiera, är det något som man träffas IRL och bestämmer som bara du och jag vet om, och sedan skickar frågan, får svaret man valt och sedan är man "godkänd"?

Aldrig använt mig av OTR, dom jag kommunicerar krypterat med har jag en kod avtalad med som jag kan be om samt den kan be om i fall vi skulle behöva kolla varandra en extra gång om det skulle finnas en misstanke om att vi är "röjda".

En sorts "jag är tvingad till svaret", eller "allt är okej".
| ratcher [at] swehack [dot] org || keybase.io/ratcher |
~ > Den som bor i hjärtat dör aldrig - S2000 < ~
~ > Don`t Learn to HACK - Hack to LEARN < ~
---> JAG FRÅGAR DET DU INTE VÅGAR FRÅGA < ---

Användarvisningsbild
traeskfisk
Inlägg: 63
Blev medlem: 09 sep 2015, 21:43
Områden: Barn
Kontakt: Twitter

Re: [Guide] OTR (Off-the-Record messaging)

16 okt 2016, 20:06

Ratcher skrev:Tack, måste testas framöver.

Kanske en skit dum fråga, men tänkte på Question för att kunna verifiera, är det något som man träffas IRL och bestämmer som bara du och jag vet om, och sedan skickar frågan, får svaret man valt och sedan är man "godkänd"?



Ja, precis. Det bästa är ju om man tar det IRL med någon. Jag skriver en fråga, typ "Vilket forum har blivit ddosat ett tag nu?" och skriver svaret "flashback" och sedan trycker på "Authenticate" så kommer det komma upp en ruta för din vän där det står "Vilket forum har blivit ddosat ett tag nu?" och skulle din vän svara fel så verifieras inte fingerprinten och det är inte med säkerhet att du pratar med din vän. Det är också viktigt då att man skriver svaret exakt som du skrev; skriver du med versal så ska din vän göra det också.

Skulle det vara så att man inte verifieras så ser man nere i hörnet "Not Private" eller ett annat som jag inte kommer på just i skrivande stund. Det står iallfall inte "Private" med en grön gubbe.

Ratcher skrev:Aldrig använt mig av OTR, dom jag kommunicerar krypterat med har jag en kod avtalad med som jag kan be om samt den kan be om i fall vi skulle behöva kolla varandra en extra gång om det skulle finnas en misstanke om att vi är "röjda".

En sorts "jag är tvingad till svaret", eller "allt är okej".


Ja, det låter ju bra det också.

-

Vill du testa så kan du ju bara lägga till mig traeskfirre@jodo.im så kan vi ju skicka olika metoder så du får se det själv istället för med bilderna.
traeskfisk@riseup.net (Email & xmpp)