在互联网上聊天(即时通信)中,通过使用开源免费的软件可以确保软件没有后门,通过使用加密传输协议(如基于 SSL 的 HTTPS)可以确保信息在传输至服务器的过程中不被第三方截获,不过这样仍不能避免聊天服务提供商记录或者分析你的聊天内容,所以为了保护聊天的隐私,最好使用“端到端”的加密技术让聊天内容只能由聊天的双方阅读。
在众多的“端到端”加密技术当中,开源免费的 OTR(Off the record,大概可翻译为“路过不留痕” :D)相对方便且容易使用,跟传统的 PGP 系统不同的是,OTR 更适合网络聊天,因为 PGP 运用到网络聊天会有一些缺点:
1、钥匙对(key pair)的有效期较长。
经过 PGP 加密的聊天内容,作为第三攻击方虽然不能即时破译不过却可以先记录下来,以后通过一定的方法获取某一方的密钥(private key),攻击方就可以还原之前的所有聊天记录了。
2、数字签名的能保证聊天内容的数据完整性以及确定内容的作者,在当次聊天当中是必须的,但在将来假如某一方的密钥泄露的情况下,之前数字签名过的聊天内容就变成“证据”了。
OTR 通过每次会话都使用短期有效密钥的方法避免了 PGP 的缺点,所以在安全性方面更有保障。
为了傻瓜化地使用 OTR,我们需要使用即时通信软件 Pidgin 配合,这是一款支持多种即时通信服务的客户端软件,而且有丰富的插件提供功能扩展。Pidgin 支持的即时通信服务包括 MSN、AIM、Yahoo、Google Talk 还有 QQ(Linux 下通过安装 LWQQ 插件实现)。OTR 将会以插件的形式在 Pidgin 中运行,它会把你的信息在发送之前先加密,然后对方接收到信息后会自动解密,简单来说它对用户是透明的,所以非常方便。
下面简单介绍安装和使用 Pidgin 和 OTR 的步骤。@ivarptr。
1、安装 Pidgin
Pidgin 同样是开源免费的程序,而且能在 Windows 和 Linux 下运行,对于 OSX 系统,可以使用基于同样内核的 Adium。
对于 Linux 系统,一般能在官方源里找到 Pidgin 以及 OTR 插件。比如对于 Ubuntu 系统,在软件中心搜索 Pidgin 即可找到这两个软件;对于 Arch Linux,可直接安装软件包 pidgin 和 pidgin-otr,如果希望登录 QQ,则再安装软件包 pidgin-lwqq,详细的请阅读 Arch Linux 的 Pidgin Wiki。
对于 Windows 系统,先下载主程序 Pidgin,再下载 OTR 的 Pidgin 插件,然后依次安装即可。
2、配置帐号
首次运行 Pidgin 会要求你配置一个聊天帐号,这里你可以输入 MSN、AIM、Yahoo、Google Talk 或者 QQ 的登录名和密码,成功后应该能看到联系人并且能与之聊天。
3、激活及配置 OTR
在 Pidgin 主窗口点击菜单“工具(tools)”->“插件(Plugins)”,找到插件 “(不留痕)Off-the-Record Messaging”点击并勾上它。
然后点击窗口下方的“配置插件(Configure Plugin)”按钮,在新出现的窗口中点击“生成(Generate)”按钮以生成你自己专属的密钥。
大概1分钟左右密钥生成完成。
4、尝试使用 OTR 加密聊天
现在你该找一位朋友帮你测试 OTR 加密了,首先你的朋友也要重复以上的步骤,然后你双击它的头像进入聊天窗口。
在聊天窗口的菜单中点击“OTR”,然后点击”开始加密聊天(Start private conversation)”,如果对方也安装有 OTR 则会建立一个加密的会话。不过这样的会话是存在漏洞的,因为对方可能被第三方入侵(即其他人冒充你的朋友),为了完善,你需要验证一下对方是否为本尊。点击菜单“OTR”或者点击消息发送框右上角的按钮,选择“身份验证”会显示如下一个窗口。
OTR 支持3种身份验证方式:
- 问答式:你设定一个问题和一个答案,让对方根据问题输入答案,如果他输入的答案跟你设定的完全吻合,则通过验证。
- 暗号式:你设定一个暗号(可以是一个句子),当对方输入完全相同的暗号时则通过验证。
- 指纹验证:在第3步生成你的密钥时,如果注意观察的话会发现那里会显示一个指纹值(一串字母,可以再次进入OTR设置窗口查看),记下这个指纹值,然后你可以通过电话跟你的朋友核对一下各自的指纹值,一致的话则点击“已核对”按钮,身份验证即完成。
以上3种方式你可以任选一种,一旦身份验证后,消息发送框右上角的按钮即变为绿色的“加密(private)”,即表示现在你们的会话已经安全地加密了。
1、钥匙对(key pair)的有效期较长。作为第三攻击方虽然不能即时破译聊天内容,不过却可以先记录下来,以后抄家时只要获取某一方的密钥(private key)就可以还原之前的所有聊天记录了。甚至包括将来的,假如另一方不知道该方的密钥已经泄露的话。
2、数字签名的数据完整性以及无法抵赖特性在当次聊天当中是必须的,但在将来假如某一方的密钥泄露的情况下,之前数字签名的聊天内容就变成“呈堂证据”了。
本站文章采用 CC BY-NC-ND 授权协议,转载时请保留署名和本文链接,谢谢!From 
点击这个链接了解一下吧~