Come installare, configurare e Utilizzare OTR su sistemi Linux

QUESTA GUIDA ILLUSTRA COME UTILIZZARE AL MEGLIO OTR SU LINUX

Seguendo passo-passo le istruzioni sarai in grado di proteggere la confidenzialità delle tue comunicazioni

INDICE

SCHEDA TECNICA

Luogo di download

Requisiti di sistema

Versione utilizzata in questa guida

Licenza 

Costo software

Livello utente

Tempo richiesto

Ultima recensione

Cos'è OTR?

OTR (Off-the-record) è un protocollo  che consente alle persone di avere conversazioni riservate utilizzando gli strumenti di messaggistica con cui hanno già familiarità. OTR fornisce questa sicurezza:

Questo non deve essere confuso con "Off the record" di Google, che semplicemente disabilita la registrazione della chat e non ha crittografia o capacità di verifica.

Esistono diversi modi per utilizzare OTR su Linux. In questa guida ti illustreremo come utilizzare il plug-in OTR per Pidgin. Pidgin è un popolare client di messaggistica istantanea disponibile per molte distribuzioni Linux. Può essere esteso con capacità extra tramite plugin, che di solito vengono installati separatamente.

Il client di messaggistica istantanea, Pidgin, registra automaticamente le conversazioni non OTR per impostazione predefinita, tuttavia è possibile disabilitare questa funzionalità. Detto questo, è utile ricordare che non hai il controllo sulla persona con cui stai chattando, questa infatti potrebbe registrare o prendere screen-shot della tua conversazione, anche se tu stesso hai ne disattivato la registrazione.

Perché dovrei usare Pidgin + OTR?

Quando hai una conversazione chat che utilizza Google Hangouts o una chat di Facebook sui siti web di Google o Facebook, quella chat viene crittografata utilizzando HTTPS, il che significa che il contenuto della tua chat è protetto dagli hacker e da altre terze parti mentre è in transito. Tuttavia, non è protetto da Google o Facebook, che hanno le chiavi delle tue conversazioni e possono leggerla ed eventualmente anche consegnarle alle autorità qualora gli venga richiesto di farlo con un'ordinanza del Tribunale per esempio.

Dopo aver installato Pidgin, puoi eseguire l'accesso utilizzando più account contemporaneamente. Ad esempio, potresti utilizzare Google Hangouts, Facebook e XMPP contemporaneamente. Pidgin ti consente anche di chattare usando questi strumenti senza OTR. Dato che OTR funziona solo se entrambi lo usano, questo significa che anche se l'altra persona non lo ha installato, puoi comunque chattare con loro usando Pidgin.

Pidgin ti consente anche di eseguire la verifica fuori banda per assicurarti di parlare con la persona con cui pensi di parlare e di non essere soggetto a un attacco MITM. Per ogni conversazione, c'è un'opzione che ti mostrerà la chiave le delle impronte digitali che ha per te e la persona con cui stai chattando. Una chiave  "impronta digitale" è una stringa di caratteri come: "342e 2309 bd20 0912 ff10 6c63 2192 1928", usata per verificare una chiave pubblica più lunga. Scambia le tue impronte digitali attraverso un altro canale di comunicazione, come Twitter, oppure tramite e-mail, per assicurarti che nessuno interferisca con la tua conversazione.

Limitazioni: quando non dovrei usare Pidgin + OTR?

I tecnologi hanno un termine per descrivere quando un programma o una tecnologia potrebbero essere vulnerabili ad attacchi esterni: dicono che ha una grande "superficie d'attacco". Pidgin ha una grande superficie d'attacco. È un programma complesso, che non è stato scritto con la sicurezza come priorità assoluta. Quasi certamente ha dei bug, alcuni dei quali potrebbero essere utilizzati dai governi o persino dalle grandi aziende per entrare nei computer che lo utilizzano. Utilizzando Pidgin per crittografare  le tue conversazioni sono una grande difesa contro il tipo di sorveglianza generale e non mirata che viene usata per spiare le conversazioni su Internet di tutti, ma se pensi di essere personalmente preso di mira da un attaccante ben equipaggiato (come uno stato-nazione), dovresti considerare precauzioni più forti, come PGP e l'email crittografata.

Ottenere e installare Pidgin e Pidgin OTR

Mentre Pidgin e il plugin OTR funzionano in modo simile su ogni distribuzione Linux, ci sono alcune differenze. La più grande differenza tra le distribuzioni è come trovare e installare Pidgin e Pidgin OTR.

Nella seguente procedura, utilizziamo Mint 17, che fornisce Pidgin per impostazione predefinita e offre Pidgin OTR nel suo Centro Software Mint. Entrambi i programmi saranno quasi certamente disponibili nel repository software della propria distribuzione Linux: Ubuntu Software Center per Ubuntu, PackageKit per Redhat o Fedora, il comando apt-get per Debian e così via. Il pacchetto per Pidgin stesso viene solitamente chiamato "pidgin"; il pacchetto per il plugin OTR è solitamente chiamato "pidgin-otr".

Pidgin può anche apparire leggermente diverso dagli screenshot qui sotto, in base al quale si usa Linux windows manager.

Per installare pidgin-otr su mint, fare clic sul menu Mint e selezionare l'icona Mint Software Center

Ora si apre la finestra principale di Software Center

Si apre una finestra e richiede la tua password. Inserisci la tua password e fai clic su "OK" 

Troverete pidgin-otr nel Software Center dopo aver digitato "pidgin" nella barra di ricerca e fare clic su "Invio"

Fare doppio clic sulla voce pidgin-otr per visualizzare ulteriori informazioni su pidgin-otr. 

Fai clic su "Installa". Il Software Center installerà pidgin-otr. Mentre pidgin-otr si sta installando, vedrai una barra di caricamento nella parte inferiore della finestra di Software Center. Una volta completata l'installazione, il pulsante "Installa" si trasformerà in un pulsante "Rimuovi"

Configurazione del Pidgin

Fai clic sul menu Mint, passa con il mouse sopra la selezione "Internet" e fai clic su "Pidgin Internet Messenger" dal menu

Aggiunta di un dell'account 

Quando Pidgin si avvia per la prima volta, vedrai questa finestra di benvenuto che ti darà la possibilità di aggiungere un account. Poiché non hai ancora configurato un account, fai clic sul pulsante "Aggiungi" 

Vedrai la finestra "Aggiungi account". Pidgin è in grado di funzionare con molti sistemi di chat, ma ci concentreremo su XMPP, precedentemente noto come Jabber.

Selezionando la casella con la voce "Ricorda password", l'accesso al tuo account sarà più semplice. Tieni presente che ricordare la password salverà la password sul computer, rendendola accessibile a chiunque abbia accesso al tuo computer. Se questo è un problema, non selezionare questa casella. Ti verrà richiesto di inserire la password dell'account XMPP ogni volta che avvii Pidgin.

Aggiunta di un amico

Ora vorrai aggiungere qualcuno con cui chattare. Fai clic sul menu "Amici" e seleziona "Aggiungi amico". Si aprirà la finestra "Aggiungi amico".

Nella finestra "Aggiungi amico" è possibile inserire il nome utente della persona con cui si desidera chattare. Questo altro utente non deve necessariamente appartenere allo stesso server, ma deve utilizzare lo stesso protocollo, come XMPP.

Alla voce Nome utente "Buddy", inserisci il nome utente con il nome del dominio. Questo sembrerà un indirizzo email.

Alla voce "Alias ​​(opzionale)", puoi inserire un nome a tua scelta. Questo è del tutto opzionale, ma può essere d'aiuto se l'account XMPP della persona con cui stai chattando è difficile da ricordare.

Dopo aver fatto clic su "Aggiungi", Boris riceverà un messaggio che chiede se autorizza l'utente a aggiungerlo: una volta Boris, aggiunge il tuo account e riceverai la stessa richiesta. Fai clic su "Autorizza ". 

Configurare l' OTR plug-in

Ora configurerai il plugin OTR in modo da poter chattare in modo sicuro. Fai clic sul menu "Strumenti"e seleziona l'opzione "Plugin". 

Scorri verso il basso fino ad arrivare a "Off-the-Record" Messaggistica "e selezionare la casella. Ora fai clic sulla voce "Off-the-Record Messaging" e fai clic sul pulsante "Configure Plugin"

Ora vedrai la finestra di configurazione "Messaggistica fuori dal registro". Si noti che è scritto "Nessuna chiave  presente. "Fare clic sul pulsante" Genera"

Ora una piccola finestra si aprirà e genererà una chiave. Al termine, fai clic su "OK"

Ora vedrai nuove informazioni: una stringa di testo di 40 caratteri, suddivisa in 5 gruppi di otto caratteri. Questa è la tua impronta digitale OTR . Scrivilo per i tuoi dati. Fai clic sul pulsante "Chiudi".

Chat sicurA

Adesso puoi chattare con Boris. Voi due potete inviarvi i messaggi. Tuttavia, non stiamo ancora chattando in modo sicuro. Anche se ti stai connettendo a XMPP server, è possibile che la connessione tra te e Boris non sia protetta dallo snooping. Se guardi la finestra della chat, noti che dice "Non privato" in rosso in basso a destra. Fai clic sul pulsante "Non privato".

Si aprirà un menu:

Nota che il pulsante ora dice "Non verificato" in giallo. Mentre la tua conversazione è ora crittografata, potrebbe essere un avversario  ha intercettato la tua conversazione e sta ascoltando (in quello che viene chiamato un attacco "man-in-the-middle"). Per garantire che la tua conversazione sia completamente sicura, devi verificare che la persona all'altra estremità della conversazione crittografata sia in realtà il tuo compagno. Per fare ciò, fare clic sul pulsante "Non verificato"

Si aprirà un menu:

Si aprirà una finestra. Ti viene chiesto "Come vorresti autenticare il tuo amico?" Il menu a discesa ha tre opzioni

segreto condiviso condiviso

Un segreto condiviso è una riga di testo che tu e la persona con cui vuoi chattare hai accettato di utilizzare in anticipo. Quando possibile, condividi questa riga di testo l'uno con l'altro di persona; non scambiare mai queste informazioni su canali non sicuri come e-mail o Skype.

Tu e il tuo amico dovete inserire questo testo insieme. Fai clic su "Autentica"

La verifica segreta condivisa è utile se tu e il tuo amico avete già preso accordi per chattare in futuro ma non avete ancora creato OTR  impronte digitali sul computer che si sta utilizzando. 

Impronta digitale manuale verifica

La verifica manuale delle impronte digitali è utile se ti è già stata fornita l'impronta digitale del tuo amico e ora ti stai connettendo con pidgin. Questo non sarà utile se il tuo amico ha cambiato computer o ha dovuto creare nuove impronte digitali.

Se hai ricevuto l'impronta digitale e l'impronta sullo schermo corrisponde, seleziona "I have" e fai clic sul pulsante "Autentica"

Domanda e risposta

La verifica di domande e risposte è utile se conosci il tuo amico ma non hai stabilito un segreto condiviso né hai la possibilità di condividere le impronte digitali. Questo metodo è utile per stabilire la verifica in base a qualcosa che entrambi conoscono, come un evento o una memoria condivisi.

Inserisci la domanda che vuoi chiedere. Non rendere troppo semplice il fatto che qualcuno possa indovinarlo facilmente, ma non renderlo impossibile. Un esempio di una buona domanda sarebbe "Dove siamo andati a cena a Minneapolis?" Un esempio di una brutta domanda sarebbe "Puoi comprare mele a Tokyo?"

La capitalizzazione è importante, quindi potresti prendere in considerazione una nota tra parentesi (ad esempio: usa maiuscole, minuscole)

Inserisci la domanda e rispondi quindi fai clic su "Autentica"

Il tuo amico avrà una finestra aperta con la domanda visualizzata che chiede la risposta. Farà clic sul pulsante "Autentica" e riceverà un messaggio per informarlo che l'autenticazione ha avuto successo.

Una volta che il tuo amico ha completato la procedura di autenticazione, avrai una finestra che ti farà sapere che l'autenticazione è riuscita

Il tuo amico dovrebbe anche verificare il tuo account in modo che entrambi possano essere sicuri che la comunicazione sia sicura. Ecco come sarebbe per Akiko e Boris. Notare le icone "private" verdi nella parte inferiore destra della finestra di chat. 

Lavorare con altri software

I meccanismi per verificare l'autenticità dovrebbero funzionare tra diversi software di chat come Jitsi, Pidgin, Adium e Kopete. Non è necessario utilizzare lo stesso software di chat per utilizzare la chat su XMPP  e OTR, ma a volte ci sono errori nel software. Adium, un software di chat per OS X, ha un errore nel ricevere la verifica di domande e risposte. Se si scopre che la verifica degli altri non funziona per te quando si utilizza la verifica di domande e risposte, verificare se stanno utilizzando Adium e vedere se è possibile utilizzare un altro metodo di verifica. 

RISORSE