Veilige Instant Messaging met Pidgin plus OTR

Pidgin is een gratis open source messaging-client die al uw IM-accounts bij elkaar brengt, zodat u eenvoudig kunt chatten met vrienden op veel verschillende netwerken. Het biedt veel meer beveiliging dan de meeste andere berichtenclients, met name bij gebruik met de OTR-plug-in, en ondersteunt ook een groot aantal externe plug-ins om de functionaliteit ervan uit te breiden.


Pidgin is een client die al uw Instant Messaging-accounts bij elkaar brengt, dus om het te gebruiken heeft u een of meer IM-accounts nodig. Met Pidgin kunt u niet chatten via IM-services (d.w.z. u kunt niet chatten met iemand op AIM met uw Google Hangouts-account), maar u kunt wel meerdere accounts tegelijkertijd beheren. De volgende IM-services worden ondersteund:

AIM, Bonjour, Gadu-Gadu, Google Hangouts (was Google Talk), Groupwise, ICQ, IRC, MIRC, MSN, MXit, MySpaceIM, QQ, SILC, SIMPLE, Sametime, Yahoo! en Zephyr.

De plug-in OTR (Off-the Record) is speciaal ontwikkeld voor Pidgin, hoewel de code nu is opgenomen in een aantal andere clients (zie hieronder) en waarmee u veilige privégesprekken kunt voeren door het aanbieden van:

  • Encryption - met behulp van AES-codering en de SHA-1-hashfunctie zodat niemand uw bericht kan lezen
  • authenticatie –Om ervoor te zorgen dat de persoon aan de andere kant is wie je denkt dat ze zijn
  • ontkenbaarheid - berichten worden niet digitaal ondertekend. Dit betekent dat ze niet meer door een derde kunnen worden gecontroleerd nadat het gesprek is beëindigd en dus wordt gebruikt om te bewijzen dat u ze hebt gemaakt. Tijdens een gesprek weet u echter zeker dat alle verzonden of ontvangen berichten authentiek en ongewijzigd zijn
  • Perfect Forward Secrecy - we bespreken PFS uitgebreid in dit artikel, maar het betekent in feite dat elk gesprek afzonderlijk wordt beveiligd, dus als je sleutels zijn aangetast, is alleen dat ene gesprek (en geen eerdere) aangetast.

Pidgin + OTR-alternatieven

Pidgin en de OTR-plug-in zijn beschikbaar voor Windows en Linux, en Windows-gebruikers kunnen ook Miranda IM proberen, dat ook de OTR-plug-in ondersteunt. Mac-gebruikers hebben Adium, waarin OTR is ingebakken, en gebruikers van elk platform (Windows, OSX, Linux, iOS of Android) kunnen Gibberbot gebruiken. Gibberbot is ontwikkeld door The Guardian Project en ondersteunt native OTR.

Pidgin en OTR instellen

1. Volg de links op de Pidgin-webpagina om de Pidgin-client te downloaden. Installeren, maar voer het niet uit (als u het uitvoert, zorg er dan voor dat het gesloten is wanneer u de OTR-plug-in installeert).

2. Download en installeer de OTR-plug-in.
3. Voer Pidgin uit. Wanneer u het programma voor het eerst uitvoert, wordt u gevraagd uw eerste IM-account te configureren, dus klik op ‘Toevoegen’.

pid 1

4. Selecteer een service die u wilt gebruiken en vul de vereiste details in (die enigszins verschillen voor elke service). We gaan deelnemen aan Google Talk (dat onlangs is omgedoopt tot Google Hangouts). ‘Local Alias’ is gewoon een bijnaam en is optioneel. Wanneer u klaar bent, klikt u op ‘Toevoegen’.

pid 2

Je zou nu al je IM ‘Buddies’ moeten zien in de ‘Buddies’ lijst. Nieuwe kunnen worden toegevoegd door naar Buddies te gaan -> Voeg Buddy toe en volg de wizard. Als andere mensen mogelijk toegang hebben tot uw pc, moet u nooit 'Wachtwoord onthouden' aanvinken.

pid 3

Pidgin is nu klaar om te worden gebruikt als een reguliere IM-client.

Configureer de OTR-plug-in

Beide partijen in een gesprek moeten de OTR-plug-in hebben geïnstalleerd en ingeschakeld. Als de persoon naar wie u een bericht verzendt, de plug-in niet heeft geïnstalleerd en ingeschakeld, ontvangt hij een bericht waarin hij wordt gewezen op het feit, samen met een link naar de OTR-website.

pid 8

1. Schakel de plug-in in door naar Tools te gaan -> plugins.

pid 4

Blader door de lijst totdat u ‘Off-the-Record Messaging’ ziet, schakel het selectievakje in, klik op de naam van de plug-in en selecteer ‘Plug-in configureren’.

pid 5

2. Genereer een unieke privésleutel. Om dit te doen, drukt u gewoon op de knop ‘Genereren’. Voor maximale veiligheid moet u er eerst voor zorgen dat ‘Automatisch privéberichten starten’ en ‘Log niet OTR-gesprekken niet zijn aangevinkt.

pid 6

Zodra het genereren van de sleutel is voltooid, klikt u op 'OK' en ziet u nu dat u een vingerafdruk hebt (een lange reeks letters en cijfers die worden gebruikt om een ​​sleutel te identificeren).

pid 7

U hebt nu een privésleutel voor uw account, die wordt gebruikt om uw gesprekken te coderen. Vergeet niet dat je buddy deze stappen ook moet uitvoeren.

3. Verifieer een privégesprek. Dubbelklik op de buddy waarmee u een privégesprek wilt voeren en u ziet de knop 'Niet privé' gemarkeerd in het rood. Klik op deze knop en selecteer 'Start privégesprek'.

pid 10

Het gespreksscherm ziet er nu ongeveer zo uit ...

pid 11

U kunt nu een bericht sturen naar uw contactpersoon en alle berichten zijn privé en gecodeerd. Je hebt de identiteit van je buddy echter nog niet geverifieerd (die een bedrieger kan zijn).

4. Verifieer de identiteit van uw buddy.

Er zijn drie manieren om te verifiëren dat je Pidgin-buddy is wie je denkt dat hij of zij is. De ‘Vraag en antwoord’, ‘Gedeeld geheim’ of ‘Handmatige vingerafdrukverificatiemethoden. Alle methoden vereisen communicatie met uw buddy met behulp van een andere communicatiemethode dan Pidgin. Persoonlijk is het beste, maar met PGP gecodeerde e-mail is een andere goede optie. Telefoongesprekken worden vaak aanbevolen, maar dankzij het algemene telefoonbewakingsprogramma van de NSA denken we dat dit het beste kan worden vermeden.

Klik op naar de OTR-menuknop en selecteer ‘Buddy verifiëren’.

pid 12

Kies welke methode u wilt gebruiken om uw buddy te authenticeren.

  • Vraag en antwoord - je buddy moet de vraag correct beantwoorden
  • Gedeeld geheim - dit is waarschijnlijk een vooraf afgesproken wachtwoord of zin
  • Handmatige vingerafdrukverificatie - controleer met een andere vorm van communicatie of vingerafdrukken die u voor elkaar hebt exact overeenkomen.

De antwoorden moeten exact zijn (inclusief hoofdletters en spaties) voordat OTR ze accepteert.

Hier hebben we de Shared Secret Method gebruiktpid 13

Mijn buddy wordt gevraagd om het geheim in te voeren (alleen bekend bij ons)pid 14

Na een bevestigingsbericht dat authenticatie succesvol is, kunnen we ons gesprek nu privé voortzetten en veilig zijn in de wetenschap dat mijn buddy in feite mijn buddy is.pid 16

Conclusie

Pidgin plus OTR is een stuk eenvoudiger in te stellen dan bijvoorbeeld e-mail met PGP-codering en zorgt ervoor dat je privégesprekken kunt voeren met geverifieerde Buddys die gegarandeerd privé blijven. In gebruik is het zeer transparant, tot het punt dat je bijna kunt vergeten dat het er is en, zelfs zonder de OTR-functionaliteit, het is een uitstekende manier om je IM-contacten te beheren en contact te houden via een aantal verschillende netwerken.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me