Psi+ шифрование OTR и PGP
moder
Администратор
Psi+ — это интернет-мессенджер, работающий по протоколу XMPP. Мы уже писали о связке Psi+ и PGP, а в этой теме рассмотрим также встроенный в Psi+ механизм шифрования OTR.
Для начала, пару слов, зачем это нужно. Ваша переписка в незашифрованном виде может быть получена третьими лицами разными способами: перехвачена на уровне провайдера, через открытый Wi-Fi, через корпоративную сеть и т.д. Наконец, большинство популярных мессенджеров (Skype, ICQ, Mail.Ru и др.) хранят вашу переписку на сервере и предоставляют к ней доступ по запросу органов (а это могут быть и оборотни на службе у ваших конкурентов). При использовании PGP или других механизмов шифрования, сообщение шифруется на вашем компьютере, а затем расшифровывается на компьютере вашего собеседника. Современные механизмы шифрования достаточно устойчивы к взломам, поэтому, даже если ваш трафик будет перехвачен, злоумышленники вряд ли смогут расшифровать ваши сообщения без ключа.
Программа Psi+ поддерживает два режима шифрование — PGP и OTR. Считается, что PGP надежнее, но зато у OTR есть одно важное преимущество: даже если ваш приватный ключ OTR попадет в чужие руки, то предыдущая переписка не будет скомпрометирована, поскольку публичный и приватный ключи используются только для первичной аутентификации пользователей, а все дальнейшие сообщения шифруются уже с помощью одноразовых AES-ключей (так называемых Message Authentication Codes или MACs).
Настройка OTR на Psi+
Итак, вы установили PSI+ на компьютер, осталось настроить шифрование. Для этого заходим в Настройки -> Плагины, выбираем из списка Off-the-Record Messaging plugin и ставим галочку Активировать .
Теперь заходим во вкладку Мои Личные Ключи и генерируем новый ключ.
Во вкладке Настройка выбираем пункт «Вручную запускать личные сообщения» и ставим галочку «Завершать сессию при уходе контакта в оффлайн» и нажимаем Применить.
OTR влючен, теперь настраиваем шифрованное общение с собеседником. В диалоговом окне нажимаем на замочек otr и выбираем пункт «Начать частную беседу«.
Теперь нужно авторизовать друг друга. Для этого снова нажимаем на замочек OTR и «Аутентифицировать контакт«.
Аутентифицировать контакт можно тремя способами: через вопрос и ответ, через общий секретный ключ или путем сверки электронного отпечатка.
1. Вопрос и ответ.
Вы задаете вопрос, который знает только ваш собеседник, и ответ на него, а ваш собеседник должен правильно ответить на вопрос.
2. Общий секретный ключ.
Здесь нужно написать одинаковую фразу обоим собеседникам, фразу безопасно можно передать через сервис https://privnote.com/.
3. Сверка электронного отпечатка.
Нажимаем на замок otr и выбираем «Показать свой отпечаток«. После этого подтверждаем отпечаток собеседника.
Настройка PGP на Psi+
Если у вас Microsoft Windows любой версии, то вам потребуется скачать и установить систему шифрования и управления ключами GnuPG — GPG4Win. Скачайте Light версию , если вы планируете использовать PGP-шифрование только для общения. Если у вас Linux, то устанавливать ничего не нужно, поскольку GPG уже имеется в дистрибутиве.
Для корректной работы связки Psi+и GPG, необходимо установить gpg4win строго в папку C:\Program Files\GNU\GnuPG , где С — системный диск. Далее следуйте инструкции.
В Psi+ уже есть свой встроенный менеджер ключей, нам нужно лишь его активировать. Для этого заходим в Настройки — Плагины , выбираем из списка GnuPG Key Manager и жмем Активировать .
Тут же можно сгенерировать новый ключ, нажав кнопку Добавить или выбрать из списка существующий, созданный ранее.
Когда ключ создан, присваиваем его к нашему аккаунту. Для этого кликаем правой кнопкой мыши на имени аккаунта и выбираем Присвоить ключ OpenPGP . Программа попросит ввести пароль для ключа и будет спрашивать его при каждом перезапуске.
PSI+ + OTR @ MAC OS = CRASH #529
Comments
Copy link Quote reply
Ri0n commented Mar 19, 2015
Original issue 521 created by psi-plus on 2012-10-07T12:35:16.000Z:
Mac OS 10.8.2
Psi+ версия v0.15.5368-webkit (пробовал также без webkit).
OTR plugin 0.9.5-pre
с другой стороны Adium 1.5.3
Шаги по воспроизведению проблемы:
- Контакты друг у друга в ростерах.
- На Adium нажимаю кнопку включения шифрования, появляется сообщение «Чат шифруется при помощи OTR».
- Отправляю любое сообщение, Psi+ вылетел.
В обратную сторону все работает.
Copy link Quote reply
Ri0n commented Mar 19, 2015
Comment #1 originally posted by psi-plus on 2012-10-07T12:55:43.000Z:
Дополнение. Тоже самое происходит даже если не включать шифрование, т.е. 2-й шаг можно пропустить. Просто пишу сообщение с adium на psi+ с включенным OTR и crash.
Copy link Quote reply
Ri0n commented Mar 19, 2015
Comment #2 originally posted by psi-plus on 2012-10-07T18:33:05.000Z:
Я так понимаю, что бэктрэйс просить бесполезно? Можно хотя бы лог хмл-консоли? И еще — шифрованная переписка между двумя Пси+ проходит нормально?
Copy link Quote reply
Ri0n commented Mar 19, 2015
Comment #3 originally posted by psi-plus on 2012-10-07T18:36:41.000Z:
Бэктрейс как раз просить не бесполезно, могу прислать, только не сюда, а в почту, куда скажете. Собственно, как и лог консоли. С двумя пси+ проверю, отпишусь чуть позже.
Copy link Quote reply
Ri0n commented Mar 19, 2015
Comment #4 originally posted by psi-plus on 2012-10-07T19:10:13.000Z:
Взял два компьютера. Установил на них PSI+ с нуля. Создал две новые учетные записи на сервере. Включил OTR, установи настройку «Автоматически запускать личные сообщения», создал ключи. Сообщения ходят в обе стороны без проблем. Затем на 1-м компьютере зашел под той же учетной записью через Adium. Первое же сообщение от Adium к PSI+ и PSI+ вылетел.
Copy link Quote reply
Ri0n commented Mar 19, 2015
Comment #5 originally posted by psi-plus on 2012-10-08T06:41:47.000Z:
Понятно. Давай логи хмл консоли и бэктрэйс, закинь на http://pastebin.com/
И, я так понял, если ты начнешь общение с адиумом так, чтобы первое сообщение шло от Пси+ — то все будет ок? Или тоже потом вылетит?
Copy link Quote reply
Ri0n commented Mar 19, 2015
Comment #6 originally posted by psi-plus on 2012-10-08T08:26:29.000Z:
Провел тест.
Пишу с Psi+ -> Adium. Включается шифрование, сообщения доходят нормально. Первое же сообщение Adium -> Psi+, Psi+ вылетел.
Насчет логов.
Вопрос не в том, куда выложить логи, а в том, что я не хотел бы их выкладывать не всеобщее обозрение.
Вы наверняка видите мой полный email, предлагаю кинуть на него ваш адрес (для меня он скрыт), на который я отправлю ссылку на pastebin или приаттачу файл.
Psi mac os otr
Psi+ Dev Team
Активные участники проекта представлены ниже:
Основатель проекта и ведущий автор патчей
Основатель проекта, автор патчей и бывший сопровождающий сборок для MS Windows
majik
Основатель проекта, автор патчей и бывший дизайнер
Dealer_WeARE
Автор патчей и разработчик плагинов; бывший сопровождающий сборок для macOS
liuch
Автор патчей и разработчик плагинов
tehnick
Координатор переводчиков; автор патчей; сопровождающий пакетов для Debian и Ubuntu; сопровождающий сборок под MS Windows и macOS
KukuRuzo
Автор патчей и разработчик плагинов; сопровождающий сборок под MS Windows
taurus
Автор патчей, разработчик плагинов и бывший сопровождающий пакета для Fedora
ivan1986
Автор патчей и бывший сопровождающий пакета для Debian
nexor (aka zerkalica)
Бывший сопровождающий пакета для Ubuntu
Flint (aka Флинт)
Бывший сопровождающий пакета для Mandriva Linux
ivan101
Бывший переводчик на русский язык и автор патчей
Z_God
Автор патчей для Psimedia и английского перевода Wiki
Основатель сборок для Ubuntu/Debian/Mandriva/Fedora/OpenSUSE/AltLinux
Руководство по OTR для Mac
Ссылка для скачивания: https://adium.im/
Системные требования (Adium 1.5 и выше): Mac OS X 10.6.8 и выше, компьютер Apple
Версия, использованная в этом руководстве: Adium 1.5.9
Лицензия: GNU GPL
Уровень: Начальный / средний
Необходимое время: 15-20 минут
Adium – программа для обмена мгновенными сообщениями. Adium бесплатный, с открытым кодом и работает в OS X. Он позволяет переписываться с пользователями различных протоколов обмена сообщениями в режиме реального времени, включая Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ и XMPP
.
OTR (от англ. Off-the-record) – протокол, который позволяет людям вести конфиденциальные беседы с помощью уже знакомых им инструментов. Не путайте OTR с функцией Google под названием «Off the record», которая просто выключает запись чата, ничего не шифрует и не позволяет проверять личность собеседника. Для Mac программное обеспечение OTR поставляется в комплекте с Adium.
Протокол OTR использует сквозное шифрование. Вы можете вести переписку, например, в Google Hangouts, и эта компания — изготовитель ПО не сможет получить доступ к содержимому ваших сообщений. Тем не менее, тот факт, что вы общаетесь известен поставщику услуг мессенджера.
Зачем нужно использовать Adium вместе с OTR
? Anchor link
Когда вы общаетесь с помощью Google Hangouts на сайтах Google ваш чат по умолчанию уже шифруется с помощью HTTPS. Иными словами, содержание чата защищено от злоумышленников и любых третьих лиц, пока информация находится в пути. Но чат не защищён от самой компании Google. Эта компания имеет шифровальные ключи для вашего чата и может передать их властям или использовать своих маркетинговых целях.
После установки Adium вы сможете войти в программу, используя несколько учётных записей одновременно (например, Google Hangouts и XMPP). Adium позволяет общаться с помощью этих мессенджеров и без OTR. Защита OTR работает, только если оба собеседника используют эту технологию. Таким образом, даже если ваш собеседник не установил OTR, вы всё равно можете общаться с ним с помощью Adium.
Adium также позволяет осуществлять проверку личности собеседника и по альтернативным каналам — во избежание атаки посредника. Для каждого сеанса можно увидеть отпечатки ключей – как вашего, так и собеседника. Отпечаток ключа – это строка символов, которая выглядит примерно так: 342e 2309 bd20 0912 ff10 6c63 2192 1928. Отпечаток используется для проверки более длинного открытого ключа. Обменяйтесь вашими отпечатками по другому каналу связи (например, через личные сообщения Twitter или по электронной почте) и удостоверьтесь, что никто не вмешивается в ваше общение. Если ключи не совпадают, вы не сможете быть уверены, что общаетесь с нужным человеком. На практике, люди часто используют несколько ключей, а также теряют их и им нужно создать новые, так что не удивляйтесь, если вам придется время от времени снова проводить верификацию для подтверждения ключа.
Когда нет смысла использовать Adium + OTR? Anchor link
У специалистов есть термин для случая, когда программа или технология может быть уязвима для внешней атаки: «поверхность атаки». Adium имеет большую поверхность атаки. При написании этой сложной программы безопасность не ставили во главу угла. В программе почти наверняка есть ошибки. Некоторые из них могут быть использованы правительствами или даже крупными компаниями, чтобы проникнуть в компьютеры пользователей. Шифрование данных в Adium обеспечивает хороший уровень защиты от нецелевой слежки, то есть от попыток шпионить за всеми подряд. Если вы полагаете, что атака может быть направлена конкретно на вас и что злоумышленник обладает серьёзными ресурсами (например, на государственном уровне), следует рассмотреть более глубокие средства защиты, такие как PGP-шифрование электронной почты.
Установка Adium + OTR на Mac Anchor link
Шаг 1. Установка программы
Откройте в браузере https://adium.im/. Выберите «Download Adium 1.5.9». Файл .dmg будет скачан на ваш компьютер, скорее всего, в папку «Downloads».
Запустите файл двойным щелчком мыши. Откроется примерно такое окошко:
Перетащите значок «Adium» в папку «Applications», чтобы установить приложение. После установки найдите Adium в вашей папке программ и запустите его двойным щелчком мыши.
Шаг 2. Настройка учётной записи
Сперва нужно определиться какие сервисы или протоколы для обмена мгновенными сообщениями вы хотите использовать при помощи Adium? Для разных протоколов настройки похожи, но не идентичны. В любом случае понадобятся имя пользователя и пароль от выбранного сервиса.
Чтобы настроить учётную запись, перейдите в меню Adium в верхней части экрана. Нажмите «Adium», затем «Preferences». Откроется окно с другим меню вверху. Выберите «Accounts», затем нажмите на значок «+» в нижней части окна. Вы увидите примерно такое меню:
Выберите желаемый мессенджер. Вам будет предложено либо ввести имя пользователя и пароль, либо использовать инструмент авторизации программы Adium. Следуйте внимательно инструкциям программы.
Защищённый OTR чат Anchor link
После активации в Adium одной или нескольких учётных записей можно пользоваться OTR.
Чтобы вести беседу под защитой OTR, оба собеседника должны использовать программы с поддержкой этого протокола.
Шаг 1. Начало чата
Выясните, кто из ваших собеседников использует OTR, нажмите на его имя дважды и начните с этим человеком беседу в Adium. Перед началом беседы обратите внимание на маленькое изображение открытого замочка в левом верхнем углу. Нажмите на эту картинку и выберите «Initiate Encrypted OTR Chat».
Шаг 2. Проверка соединения
После запуска чата и получения согласия от другого пользователя вы увидите, что замочек на картинке закрылся. Поздравляем, теперь ваш чат зашифрован. Впрочем, остался ещё один шаг.
Хотя чат и зашифрован, собеседникам следует подтвердить личности друг друга (если только вы не сидите в одной комнате). О том, почему это важно, рассказывается в главе о верификации ключей.
Итак, нажмите в Adium на изображение замочка и выберите «Verify». Появится окно с ключами обоих собеседников (ваш и вашего друга). Некоторые версии Adium поддерживают только ручное подтверждение. Тогда вам обоим придётся найти способ сверить отображённые на ваших экранах ключи и убедиться, что они полностью совпадают.
Простейший способ – прочитать отпечатки ключей друг другу вслух, но это не всегда возможно. Есть несколько способов решить эту задачу (разной надёжности). Например, можно прочитать ключи вслух по телефону. Способ подходит, если вы способны узнать голоса друг друга. Другой вариант – передать ключи по иному каналу связи, например, по электронной почте (с PGP-шифрованием). Некоторые публикуют свои ключи на веб-сайтах, в сообщениях Twitter и даже на визитных карточках.
Очень важно внимательно проверить ключи на полное соответствие. Все символы должны совпадать.
Шаг 3. Отключение журнала
Теперь, когда вы начали зашифрованный чат и подтвердили ключ собеседника, осталось сделать только одно. К сожалению, по умолчанию Adium сохраняет историю разговоров. Несмотря на шифрование сеанса связи, история записывается на жёсткий диск в незашифрованном виде. А это означает, что несмотря на всё шифрование, весь ваш разговор запишется на жесткий диск в виде обычного текста
Чтобы отключить эту функцию , выберите пункт «Adium» в верхней части экрана, затем «Preferences». В открывшемся окне выберите «General» и деактивируйте функции «Log messages» и «Log OTR-secured chats». Помните, однако, что вы не имеете контроля над собеседником. Вполне возможно, что он будет сохранять вашу беседу в виде текста или снимков экрана.
Теперь ваши настройки должны выглядеть примерно так:
Когда Adium уведомляет о новых сообщениях, их содержимое может сохраняться в Центре уведомлений операционной системы OS X. Получается, Adium не оставляет следов о переписке на вашем компьютере и компьютере вашего собеседника, зато операционная система может вести запись. Стоит подумать об отключении уведомлений.
Чтобы сделать это, выберите «Events» в окне «Preferences» и найдите записи «Display a notification». Для каждой записи откройте ниспадающее меню, нажав на серый треугольник, затем выберите недавно обнаруженную запись «Display a notification» и нажмите на значок минус («-») в нижней левой части окна, чтобы удалить строку. Если вы переживаете по поводу записей, которые были сохранены ранее на вашем компьютере, советуем использовать шифрование всего диска. Это защитит данные от третьих лиц, при условии, что у них не будет пароля.