Как вести секретную переписку. Часть 2

https://theintercept.com/2015/07/14/communicating-secret-watched/
  • Перевод
В нашем блоге мы часто рассказываем о собственных кейсах — пишем о том, как бизнес работает с IaaS. Помимо этого мы обращаемся и к западному опыту в профильной сфере.

Например, мы рассказывали:


Сегодня мы продолжим знакомство с руководством одного из авторов The Intercept, который привел детальный разбор того, как вести переписку с использованием методов шифрования.

/ Фото Wendelin Jacober CC

Если вы хотели бы пропустить чтение и сразу перейти к практическим действиям, вы можете воспользоваться соответствующим разделом в руководстве Мика Ли:


Для Windows и Linux


Для начала работы вам потребуется создать учетную запись в Jabber с помощью браузера Tor. Об этом мы немного поговорили в первой части.

Для работы на Windows и Linux используется Pidgin. Настройка этого ПО аналогично требует фоновой работы браузера Tor. Каждый раз, когда вам нужно что-то сделать с аккаунтов в Jabber, ваш браузер Tor должен быть запущен в фоновом режиме.

Для Linux потребуются пакеты pidgin, pidgin-otr и tor.

В Pidgin в окне «Список собеседников» (Buddy List) нужно выбрать пункт «Управление учетными записями» (Manage Accounts) и «Добавить учетную запись» (Add Account).

Далее:

  • Вкладка «Прокси-сервер» (Proxy) — «Tor/Privacy (SOCKS5)»
  • «Хост» — «127.0.0.1», «Порт» — «9150» (для Windows), и «9050» (для Linux)
  • «Протокол» (Protocol) — «XMPP»
  • «Домен» (Domain) — название сервера Jabber
  • «Ресурс» (Resource) — «anonymous»
  • «Добавить» (Add) — чтобы сохранить настройки

Если все выполнено верно, вы должны увидеть окно «Список собеседников» со статусом «Доступен» (Available).



Cоздание ключа шифрования (OTR):

  • «Список собеседников» (Buddy List) — «Инструменты» (Tools) — «Плагины» (Plugins) — «Off-the-Record Messaging» — поставить галочку слева от нее.
  • «Настроить плагин» (Configure Plugin) — выбрать учетную запись — «Сгенерировать» (Generate) — поставить галочку напротив «Требовать защиту» (Require private messaging)


После начала обмена зашифрованными сообщениями, вы сможете видеть отпечаток ключа своего собеседника, а он сможет увидеть ваш. Если отпечаток, который вам передали, совпадает с отпечатком, который отображается в Pidgin, то этот контакт можно отметить как надежный. Если отпечатки ключа не совпадают, это значит, вы подверглись атаке посредника. В этом случае не отмечайте контакт как надежный, а попытайтесь повторить процедуру чуть позже.

Здесь неплохо работают способы «Вопрос и ответ» и «Секретное слово». Для простоты можно просто подтвердить OTR-отпечаток по внешнему каналу (не в текущем чате), сравнить символы отпечатка и отметить контакт как надежных. При выполнении этих условий с двух сторон статус беседы сменится с «Не подтверждено» (Unverified) на «Защищено» (Private).

Дополнительные инструкции для настройки анонимного обмена сообщениями на других платформах приведены в общем руководстве Мика Ли.
ИТ-ГРАД 284,37
vmware iaas provider
Поделиться публикацией
Комментарии 16
  • +1
    Еще Сноуден советовал Signal (textSecure) от Whispersystems, оч клевая штука и еще голосом можно общаться безопасно
    • +1
      А что на счет Telegram?
      • +2
        Desktop клиент не поддерживает end-to-end, нет шифрованных групп, end-to-end не включен по умолчанию, по умолчанию шифрование до сервера, откуда при желании можно всё достать.
        • 0
          На счет desktop-а верно. А на счет «по умолчанию шифрование до сервера» — это где такое написано? Вы про секретные чаты?

          Разумеется, имеет смысл использовать только секретные чаты, с end-to-end шифрованием. Но даже это уже не плохо.
          • 0
            да, про них. Их же отдельно надо открывать
      • –1
        Зачем?
        • –8
          Спасибо за перевод, для террористов будет весьма актуально. Вряд ли они читают Хабр, но эта статья наверное проиндексируется Гуглом, и ее будет очень легко находить.

          (последними событиями навеяло)

          PS: Готов получать минусы
          • +2
            Вы правда думаете, что террористы идиоты и не имеют «в штате» специально обученного человека, который обладает достаточной квалификацией, чтобы месседжер с шифрованием поставить на телефоны?
            • –1
              А Вы как думаете?
              geektimes.ru/post/266184
              • +1
                Я думаю, что вы не потрудились почитать комментарии к статье, на которую вы ссылаетесь.
                Я позволю себе цитату:
                Есть мнение, что шифроваться нужно при подготовке. А когда «экшн» уже начинается, спецслужбы уже ни чем не смогу помешать. Какой смысл шифроваться в последнюю минуту? Личности итак установят. Самое главное — цель достигнута. Если несколько месяцев приступники общались в закрытых каналах телеграма, то абсолютно не важно как была дана команда к старту. А если б они находились в квартале друг от друга и крикнули громко-громко, то это что-то изменило-бы?


                И как информация, приведенная в статье по ссылке, опровергает мое предыдущее сообщение?
              • +1
                Весьма вероятно что не имеют.
                Скорее всего это просто обычные граждане (причем из неблагополучных слоев населения), которые повелись на религиозную пропаганду, и вряд ли имеют специальных знаний в ИТ. Так что такие статьи будут им весьма кстати.
                • +3
                  Весьма вероятно что не имеют.

                  Инструкторов имеют, подрывников имеют, а «айтишников» не имеют. Удивительная недальновидность.

                  Скорее всего это просто обычные граждане (причем из неблагополучных слоев населения)

                  Вот вы обычный гражданин. Вы знаете где АК можно купить так, чтобы никто из спецслужб об этом не узнал? Исполнители могут быть такие, про которых вы пишите. Но мы то про организаторов речь ведем, которые исполнителю и автомат дадут и бомбу и телефон…
              • 0
                В даркнете подобные технолигии идут факом, в статье нет ничего нового — это используется уже долгими годами.
                Другое дело, что для защиты личной переписки с сохранением анонимности в белом мире сегодня туго.

                То есть я соседу напишу письмецо о том, что недоволен политикой местного сельсовета, но согласен с философией Вольтера в социальных вглядах. А шериф та вскроет конвертик и назовёт меня бунтарём, так как не шарит в Вольтере, но недовольства не потерпит.

                Зато вот Ваньке хулигану, что шифрует письма по цезарю и организует налёты на пасеку бандой, всё сойдёт с рук,
              • 0
                А что насчёт Tox?
                • 0
                  На мобилах не работает, нестабилен, малоизвестен. Но вообще да
                • +2
                  Очень забавно совпало:

                  «Лучшее на Geektimes

                  Исполнители парижских терактов общались по SMS без шифрования»

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое