Messaggistica istantanea sicura con Pidgin più OTR

Pidgin è un client di messaggistica open source gratuito che riunisce tutti i tuoi account di messaggistica istantanea in modo da poter chattare facilmente con gli amici su molte reti diverse. Offre una sicurezza molto maggiore rispetto alla maggior parte degli altri client di messaggistica, in particolare se utilizzato con il plug-in OTR, e supporta anche un gran numero di plug-in di terze parti per estenderne le funzionalità.


Pidgin è un client che riunisce tutti i tuoi account di Instant Messaging, quindi per usarlo hai bisogno di uno o più account di messaggistica istantanea. Pidgin non ti consente di chattare tra i servizi di messaggistica istantanea (ovvero non puoi chattare con qualcuno su AIM utilizzando il tuo account Google Hangouts), ma ti consente di gestire più account contemporaneamente. Sono supportati i seguenti servizi di messaggistica istantanea:

AIM, Bonjour, Gadu-Gadu, Google Hangouts (era Google Talk), Groupwise, ICQ, IRC, MIRC, MSN, MXit, MySpaceIM, QQ, SILC, SEMPLICE, Sametime, Yahoo! e Zephyr.

Il plug-in OTR (Off-the Record) è stato sviluppato appositamente per Pidgin, sebbene il codice sia stato ora incorporato in un numero di altri client (vedi sotto) e ti consente di avere conversazioni private sicure offrendo:

  • crittografia - utilizzando la crittografia AES e la funzione hash SHA-1 in modo che nessuno possa leggere il tuo messaggio
  • Autenticazione –Per assicurarsi che la persona all'altro capo sia chi pensi di essere
  • deniability - i messaggi non sono firmati digitalmente. Ciò significa che non possono essere controllati da terzi una volta terminata la conversazione e quindi utilizzati per dimostrare che li hai creati. Durante una conversazione, tuttavia, si garantisce che tutti i messaggi inviati o ricevuti sono autentici e non modificati
  • Segretezza diretta in avanti - discutiamo a lungo di PFS in questo articolo, ma sostanzialmente significa che ogni conversazione è protetta individualmente, quindi se le tue chiavi sono compromesse, solo una conversazione (e non nessuna precedente) è compromessa.

Pidgin + OTR Alternative

Pidgin e il plug-in OTR sono disponibili per Windows e Linux e gli utenti Windows possono anche provare Miranda IM, che supporta anche il plug-in OTR. Gli utenti Mac hanno Adium, con OTR integrato, e gli utenti di qualsiasi piattaforma (Windows, OSX, Linux, iOS o Android) possono utilizzare Gibberbot. Gibberbot è sviluppato da The Guardian Project e supporta nativamente OTR.

Setup Pidgin e OTR

1. Seguire i collegamenti sulla pagina Web Pidgin per scaricare il client Pidgin. Installa, ma non eseguirlo (se lo esegui, assicurati che sia chiuso quando installi il plug-in OTR).

2. Scarica e installa il plug-in OTR.
3. Esegui Pidgin. Quando avvii inizialmente il programma ti chiederà di configurare il tuo primo account IM, quindi fai clic su "Aggiungi".

pid 1

4. Seleziona un servizio che desideri utilizzare e inserisci i dettagli richiesti (che differiscono leggermente per ciascun servizio). Entreremo a far parte di Google Talk (che è stato recentemente ribattezzato Google Hangouts). "Local Alias" è semplicemente un soprannome ed è facoltativo. Al termine, fai clic su "Aggiungi".

pid 2

Ora dovresti vedere tutti i tuoi "amici" di messaggistica istantanea nell'elenco "Amici". Puoi aggiungerne di nuovi andando su Amici -> Aggiungi Buddy e segui la procedura guidata. Se altre persone potrebbero accedere al tuo PC, non dovresti mai selezionare "Ricorda password".

pid 3

Pidgin è ora pronto per essere utilizzato come normale client di messaggistica istantanea.

Configura il plug-in OTR

Entrambe le parti in una conversazione devono avere il plug-in OTR installato e abilitato. Se la persona a cui stai inviando un messaggio non ha il plug-in installato e abilitato, riceverà un messaggio che li avverte del fatto, insieme a un link al sito Web OTR.

pid 8

1. Abilitare il plug-in andando su Strumenti -> plugin.

pid 4

Scorri l'elenco verso il basso fino a visualizzare "Messaggi non registrati", seleziona la casella di controllo, fai clic sul nome del plug-in e seleziona "Configura plug-in".

pid 5

2. Generare una chiave privata univoca. Per fare ciò basta premere il pulsante "Genera". Per la massima sicurezza, devi innanzitutto assicurarti che "Avvia automaticamente messaggistica privata" e "Non registrare le conversazioni OTR siano spuntati.

pid 6

Una volta completata la generazione della chiave, fai clic su "OK" e ora puoi vedere che hai un'impronta digitale (un lungo set di lettere e numeri utilizzati per identificare una chiave).

pid 7

Ora hai una chiave privata per il tuo account, che verrà utilizzata per crittografare le tue conversazioni. Ricorda che anche il tuo amico deve eseguire questi passaggi.

3. Autenticare una conversazione privata. Fai doppio clic sul compagno con cui desideri una conversazione privata e vedrai il pulsante "Non privato" evidenziato in rosso. Fai clic su questo pulsante e seleziona "Avvia conversazione privata".

pid 10

La schermata di conversazione ora avrà un aspetto simile a questo ...

pid 11

Ora puoi inviare un messaggio al tuo contatto e tutti i messaggi saranno privati ​​e crittografati. Tuttavia, non hai ancora verificato l'identità se il tuo amico (che potrebbe essere un impostore).

4. Autentica l'identità del tuo amico.

Esistono tre modi per autenticare che il tuo amico Pidgin è chi pensi che sia. I metodi di "Domanda e risposta", "Segreto condiviso" o "Verifica manuale delle impronte digitali. Tutti i metodi richiedono la comunicazione con il tuo amico utilizzando un metodo di comunicazione diverso da Pidgin. Di persona è la cosa migliore, ma l'e-mail crittografata con PGP è un'altra buona opzione. Le conversazioni telefoniche sono spesso consigliate, ma grazie al programma di sorveglianza telefonica generale dell'NSA, riteniamo che sia meglio evitarlo.

Fai clic sul pulsante del menu OTR e seleziona "Autentico amico".

pid 12

Scegli il metodo che desideri utilizzare per autenticare il tuo amico.

  • Domanda e risposta: il tuo amico deve rispondere correttamente alla domanda
  • Segreto condiviso: probabilmente si tratta di una password o frase prestabilita
  • Verifica manuale delle impronte digitali - usando un'altra forma di comunicazione, controlla che le impronte digitali che hai l'una con l'altra corrispondano esattamente.

Le risposte devono essere esatte (compresi lettere maiuscole e spazi) affinché OTR le accetti.

Qui abbiamo usato il metodo segreto condivisopid 13

Al mio amico viene chiesto di inserire il segreto (noto solo a noi)pid 14

A seguito di un messaggio di conferma che l'autenticazione ha esito positivo, ora possiamo continuare la nostra conversazione privatamente e assicurarci che il mio amico è in realtà il mio amico.pid 16

Conclusione

Pidgin plus OTR è molto più facile da configurare rispetto a dire, e-mail con crittografia PGP e garantisce che tu possa avere conversazioni private con amici autenticati che sono garantiti per rimanere privati. In uso è molto trasparente, al punto che puoi quasi dimenticarti che è lì e, anche senza la funzionalità OTR, è un modo eccellente per gestire i tuoi contatti di messaggistica istantanea e rimanere in contatto su un numero di reti diverse.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me