OTR staat voor "off the record". Het is een manier om online gecodeerde privéchatgesprekken te voeren. Het maakt gebruik van end-to-end-codering, zodat uw netwerkprovider, de overheid en zelfs de instant messaging-service zelf de inhoud van uw berichten niet kunnen zien.
Dit is niet zo moeilijk om in te stellen, hoewel beide mensen de juiste software moeten gebruiken en een snel installatieproces moeten doorlopen voordat uw gesprekken worden gecodeerd.
Hoe OTR werkt
VERWANT: Wat is versleuteling en hoe werkt het?
Zoals alle software is OTR niet perfect. Elke kwetsbaarheid in libpurple - de mssaging-bibliotheek die wordt gebruikt in zowel Pidgin als Adium - of een kwetsbaarheid in de OTR-plug-in zelf kan ervoor zorgen dat een aanvaller je beveiligde sessie in gevaar brengt. Als de NSA je echt wilde bespioneren, is het mogelijk dat ze al een manier hebben om OTR te breken.
Maar OTR heeft meer toepassingen dan alleen uw gesprekken verbergen voor de NSA. Het biedt een extra versleutelings- en authenticatielaag via AIM, Google Talk, ICQ, Yahoo! Messenger, MSN Messenger of elk ander protocol dat Pidgin of Adium ondersteunt. Dit verbergt waar u het over heeft voor de instant messaging-service die u gebruikt, uw internetprovider, uw lokale netwerkoperator en - in theorie - inlichtingendiensten die uw internetgebruik volgen.
OTR biedt ook authenticatie, dus je hebt enige garantie dat je met de echte persoon praat. Zelfs als zijn account is gehackt en iemand anders probeert met je te praten met zijn schermnaam, krijg je een foutmelding omdat de versleuteling informatie zou niet kloppen.
Hoewel OTR waarschijnlijk niet perfect is, kan het wat extra privacy toevoegen als u online over gevoelige zaken moet praten.
OTR instellen
OTR is een plug-in voor de Pidgin instant messenger. Om het te gebruiken, moet u installeren Pidgin en de Pidgin-OTR-invoegtoepassing . Beide zijn beschikbaar voor Windows en zouden in de softwarebronnen van uw Linux-distributie moeten staan. Mac OS X-gebruikers zullen Adium in plaats daarvan.
Start na de installatie Pidgin en stel uw accounts in als u dat nog niet heeft gedaan. Ga naar het menu Extra> Plug-ins en activeer de plug-in Off-the-Record Messaging.
Klik op de knop Plug-in configureren om de opties te bekijken. Selecteer het account waarmee u privé wilt chatten en klik op de knop Genereren om een privésleutel voor dat specifieke account te maken. Deze sleutel wordt gebruikt om uw berichten te versleutelen.
U moet voor elk account afzonderlijk sleutels genereren als u OTR met meerdere accounts wilt gebruiken.
Als de persoon met wie u wilt praten nog geen OTR heeft ingesteld, moet hij dit proces op zijn eigen computer doorlopen om zijn software in te stellen en een privésleutel te genereren.
Start een privégesprek
Open vervolgens een gespreksvenster met de persoon met wie u wilt praten. Je ziet een OTR-knop met de tekst 'Niet privé' als een gesprek niet is beveiligd met OTR. Klik op de knop en selecteer Privégesprek starten om te beginnen.
Je krijgt nu een bericht te zien dat de sessie is beveiligd met versleuteling, maar dat je buddy niet is geverifieerd. Als dit niet werkt, heeft uw buddy waarschijnlijk geen OTR ingesteld en correct geconfigureerd.
Verifieer uw Buddy
U wilt nu uw buddy verifiëren of verifiëren. Om dit proces te starten, klikt u nogmaals op de OTR-knop en selecteert u Authenticatie-buddy.
Selecteer Vraag en antwoord, Gedeeld geheim of Handmatige vingerafdrukverificatie. Het idee hier is dat je verifieert dat de persoon met wie je verbinding hebt eigenlijk je maatje is en niet een bedrieger. U kunt bijvoorbeeld van tevoren persoonlijk afspreken en een geheime zin kiezen die u later gebruikt, of een vraag stellen die alleen zij kennen.
Uw buddy ziet de authenticatieprompt en moet reageren met het exacte bericht dat u hebt getypt. Het is hoofdlettergevoelig.
Zodra de authenticatie is voltooid, verandert de status van uw gesprek van niet-geverifieerd in privé.
Bekende sleutelvingerafdrukken
De OTR-plug-in onthoudt nu de sleutelvingerafdruk van uw buddy. De volgende keer dat u verbinding maakt met die buddy, controleert deze of deze dezelfde sleutel gebruikt en verifieert deze automatisch. Als iemand anders zijn account in gevaar brengt en probeert verbinding te maken met een andere sleutelvingerafdruk, weet u dat.
Maak toekomstige gesprekken privé
De plug-in zou nu automatisch een veilig gesprek met je buddy moeten beginnen, elke keer dat je met hem praat.
Houd er rekening mee dat het eerste bericht dat in elk gesprek wordt verzonden en ontvangen, onversleuteld wordt verzonden! Het beveiligde gesprek wordt pas gestart nadat het bericht is verzonden. Om deze reden is het een goed idee om een gesprek te beginnen met een korte begroeting zoals 'Hallo'. Begin geen gesprek met iets gevoeligs, zoals 'Laten we protesteren bij [location]' of door een gevoelig bedrijfsgeheim te onthullen.
OTR is waarschijnlijk niet nodig voor de overgrote meerderheid van de gesprekken, maar het biedt wat extra privacy wanneer u over iets gevoelig moet praten. Het zou goed genoeg moeten werken, maar we moeten waarschijnlijk allemaal aannemen dat er ergens in Pidgin of de OTR-plug-in beveiligingslekken zijn waar inlichtingendiensten van zouden kunnen profiteren, net zoals in alle stukjes software.
Het gebruik van OTR is natuurlijk altijd meer privé dan praten in duidelijke tekst! (Tenzij de NSA meer aandacht aan u begint te besteden wanneer ze zien dat u coderingssoftware gebruikt, wat ook een mogelijkheid is.)
