Menu

چگونه از OTR برای سیستم عامل Windows استفاده کنیم

OTR)off-the-road) پروتکلی است که به کاربران سیستمهای ارسال پیام یا چت اجازه می دهد مکالمات محرمانه داشته باشند. در این راهنما، خواهید آموخت که چگونه می توانید با استفاده از Pidgin که نرم افزاری رایگان و با متن باز برای کاربران ویندوز است، از OTR استفاده کنید.

محل دانلود:

  • https://pidgin.im/download/
  • https://otr.cypherpunks.ca/
 

سیستم مورد نیاز: اتصال اینترنت، کامپیوتری که سیستم عامل ویندوز XP یا بالاتر از آن دارد، یک اکانت (XMPP(jabber، اگر برای تمرین به اکانت XMPP احتیاج دارید، فهرستی از سرورهای رایگان و دستورالعملهای چگونگی ثبت نام در آنها در آدرس https://xmpp.net/directory.php موجود است.

نسخه های مورد استفاده در این راهنما:Windows 7 Ultimate; Pidgin 2.10.9, pidgin-otr 4.0.0-1

گواهینامه:Free Software; mix of Free Software licenses

برای مطالعه بیشترhttps://pidgin.im/cgi-bin/mailman/listinfo/support

سطح: ابتدایی و متوسط

مدت زمان لازم: ۲۰ دقیقه

OTR چیست؟

OTR پروتکلی است که به افراد اجازه می دهد تا با استفاده از ابزارهای ارسال پیام متداول خود، مکالمات محرمانه داشته باشند.  OTR به شیوه های زیر این امنیت را فراهم می آورد:

  • چت های شما را کدگذاری می کند.
  • به شما اطمینان می دهد کسی که با او چت می کنید، واقعا همان کسی است که می خواهید.
  • به سرور اجازه نمی دهد که مکالمات شما را ثبت کرده یا به آن دسترسی داشته باشد.

این نرم افزار نباید با امکان “محرمانه”(off the record) گوگل اشتباه گرفته شود که صرفاً ضبط داده های چت را از کار انداخته و امکان کدگذاری یا کنترل ورود ندارد. برای کاربران Mac، OTR  جزء جذایی ناپذیر Adium است. با وجود اینکه راههای مختلفی برای استفاده از OTR در مایکروسافت ویندوز وجود دارد، ما در اینجا بهترین و راحتترین ابزار را چت Pidgin یافته ایم که اتصال خود را از طریق Pidgin-otr انجام می دهد.

Pidgin که ابزاری برای ارسال پیام از طریق ویندوز است، به‌صورت پیش‌فرض و اتوماتیک مکالمات را ثبت می کند. اما می توانید  این ویژگی را غیرفعال کنید. با این وجود، شما کنترلی بر کسی که با او چت می کنید ندارید. او ممکن است متن چتتان را ثبت کند یا از آن عکس بگیرد، حتی اگر شما ثبت مکالماتتان را از کار انداخته باشید.

چرا باید از Pidgin+OTR استفاده کنم؟

هنگامی که با استفاده از Google Hangouts یا چت فیسبوک، روی سایتهایی نظیر گوگل یا فیسبوک چت می کنید، این چت با استفاده از HTTPS کدگذاری شده است؛ بدان معنا که از متن چت شما بهنگام تبادل، در برابر شخص سوم یا هکرها محافظت می شود. اما با این وجود، محتوای پیامتان در برابر فیسبوک یا گوگل محافظت شده نیست و با توجه به اینکه گوگل و فیسبوک به مکالمات شما دسترسی دارند، ممکن است آنها را به مقامات قانونی تحویل دهند.

پس از آنکه Pidgin را نصب کردید، می توانید هم زمان با اکانتهای مختلف خود به‌صورت همزمان وارد آن شوید. بعنوان مثال می توانید از Google Hangouts،فیسبوک و XMPP به‌‌صورت همزمان استفاده کنید. Pidgin همچنین به شما اجازه می دهد با استفاده از این ابزارها و بدون نیاز به OTR چت کنید، چرا که OTR فقط زمانی درست عمل  می کند کهدر یک مکالمه، هر دو نفر  از آن استفاده کنند. این بدان معناست که اگر طرف مقابل آن را نصب نکرده باشد، شما می توانید همچنان و با استفاده از Pidgin با او چت کنید.

Pidgin برای اطمینان از اینکه  با همان کسی صحبت می کنید که می خواهید و هدف حمله MITM(حمله مرد میانی) واقع نشده اید ، این امکان را ایجاد می کند که از کنترل ورود خارج از باند[۲] استفاده کنید. برای هر مکالمه، گزینه ای وجود دارد که اثر انگشتهای کلید خودتان و کسانی که با آنها چت می کنید را به شما نشان خواهد داد. اثر انگشت کلید، مجموعه ای از کاراکترها (نظیر ۳۴۲e 230 bd20 0912 ff10 6c63 2192 1928) است که به منظور کنترل و بررسی کلیدواژه ای که طولانی تر است، استفاده می شود. اثر انگشتها را از کانال ارتباطی دیگری نظیر توئیتر یا ایمیل، تبادل کنید تا مطمئن شوید که شخص دیگری مزاحم مکالمه و ارتباط شما نیست.

محدودیتها: چه زمانی نباید از Pidgin + OTR  استفاده کنم؟

تکنولوژیستها برای زمانی که ممکن است یک برنامه یا تکنولوژی هدف حمله خارجی واقع شود، اصطلاحی خاص دارند: آنها می گویند که سطح قابل حملۀ این برنامه زیاد است.Pidgin سطح قابل حملۀ زیادی دارد. این برنامه، برنامۀ پیچیده ای است که اولویت اولش تامین امنیت نیست. مطمئناً باگهایی دارد که ممکن است دولتها یا شرکتهای بزرگ از این باگها بهره برده و به سیستمهایی را که از آن استفاده می کنند، حمله می‌کنند. استفاده از Pidgin برای کدگذاری مکالماتتان، راه خوبی برای حفاظت در برابر دامِ پایشی است که بدون هدف مشخص، برای جاسوسی و پایش تمامی مکالمات اینترنتی استفاده شده قرار می گیرد، اما اگر فکر می کنید شخصاً هدف تهدید مهاجمی هستید که منابع و ابزارهای کارآمدی در اختیار دارد( مثلا یک دولت)، لازم است به تمهیدات بهتری نظیر PGP و ایمیل کدگذاری شده بیندیشید.

نصب Pidgin

برای دانلود Pidgin روی ویندوز می توانید به صفحه دانلود Pidgin رفته و برنامه نصب را دریافت کنید.

روی تب بنفش رنگ کلیک کنید، روی تب سبز رنگ Download Now کلیک نکنید چرا که ممکن است بخواهید فایل نصب متفاوتی را انتخاب کنید. از این طریق به صفحه دانلود هدایت خواهید شد.

روی دکمه سبز رنگ Download Now کلیک نکنید چرا که می خواهیم فایل نصب متفاوتی را انتخاب کنیم. فایل نصبی که به‌صورت default برای Pidgin در نظر گرفته شده، کوچکتر است چرا که حاوی تمامی اطلاعات و فایلهای دانلود برای شما نیست. این فایل گاهاً با مشکل مواجه می شود، بنابراین offline installer که حاوی تمامی ملزومات نصب برنامه است، میتواند انتخاب بهتری باشد. روی لینک offline installer کلیک کنید. به صفحه جدیدی هدایت می شوید که Sourceforge نام دارد. بعد از چند لحظه، پنجره کوچکی ظاهر می شود که از شما می پرسد آیا می خواهید فایل را ذخیره کنید یا خیر.

بخاطر داشته باشید که صفحه دانلود Pidgin از HTTPS استفاده می کند،بنابراین نسبتا از پایش ایمن است. خود وبسایت شما را به سمت دانلود نسخه ویندوز Pidgin که Sourceforge است، از HTTP استفاده کرده و هیچ محافظتی ندارد، هدایت می کند. بدان معنی که نرم افزاری که دانلود می کنید ممکن است پیش از آنکه توسط شما دانلود شود، جاسوسی شود.

این خطر بیشتر ممکن است از جانب کسی باشد که به زیرساختهای اینترنت محلی دسترسی داشته و قصد دارد به‌صورت هدایت‌شده‌ای، شخص شما را پایش و جاسوسی کند(بعنوان مثال یک ارائه دهنده hot-spot که نیات پلیدی داشته باشد) یا دولت و حاکمیتی که می خواهد نرم افزارهای قابل جاسوسی و کدگشایی را بین کاربران زیادی توزیع کند. برنامه HTTPS Everywhere extension می تواند URLهای دانلود Sourceforge را به‌صورت HTTPS بازنویسی کند. بنابراین توصیه می شود پیش از دانلود کردن هر نرم افزار دیگری نیز HTTPS را همه جا نصب کنید. بعلاوه، طبق تجربه ای که ما داریم، Sourceforge معمولا در صفحات دانلود خود، صفحات تبلیغاتی ای دارد که ممکن است افراد را به سمت دانلود کردن چیزهایی هدایت کند که نمی خواهند. می توانید پیش از هر چیز، یک برنامه برای بلاک کردن تبلیغات دانلود کنید تا از دیدن چنین تبلیغات گمراه کننده ای جلوگیری کنید. بخاطر داشته باشید که پیش از دانلود  فایلها از وبسایتهای غیر ایمن، به الگوی تهدید خود بیندیشید.

بسیاری از مرورگرها از شما می خواهند دانلود این فایل را تایید کنید. اینترنت اکسپلورر ۱۱(  Internet Explorer) کادر کوچکی را در پایین صفحه مرورگر خود نشان می دهد که لبه های نارنجی رنگ دارد.

در تمامی مرورگرها، بهترین راه آن است که پیش از آغاز به کار، فایل را در سیستم ذخیره کنید. بنابراین روی گزینه save کلیک کنید. معمولا تمامی مرورگرها، فایلهای دانلود شده را در فولدر Downloads نگهداری می کنند.

دریافت فایل OTR

میتوانید pidgin-otr را که نرم افزار ورود از طریق OTR برای Pidgin  است، از صفحه دانلود OTR ) OTR Download Page) دانلود کنید.

روی گزینه Downloads کلیک کنید تا به بخش  دانلودهای صفحه بروید. روی لینک Win32 installer for Pidgin کلیک کنید.

بسیاری از مرورگرها از شما می خواهند دانلود این فایل را تایید کنید. اینترنت اکسپلورر ۱۱(  Internet Explorer) کادر کوچکی را در پایین صفحه مرورگر خود نشان می دهد که لبه های نارنجی رنگ دارد.

در تمامی مرورگرها، بهترین راه آن است که پیش از آغاز به کار، فایل را در سیستم ذخیره کنید. بنابراین روی گزینه save کلیک کنید. معمولا تمامی مرورگرها، فایلهای دانلود شده را در فولدر Downloads نگهداری می کنند.

بعد از دانلود کردن فایل Pidgin  و pidgin-otr باید دو فایل جدید در فولدر دانلودهای خود داشته باشید.

نصب Pidgin

مرورگر ویندوز خود را باز کرده و روی pidgin-2.10.9-offline.exe.  دو بار کلیک کنید. از شما پرسیده می شود که اجازه می دهید این برنامه نصب شود یا خیر. روی دکمه Yes کلیک کنید.

پنجره کوچکی باز می شود و از شما می خواهد که زبان مد نظر خود را انتخاب کنید. پس از انتخاب زبان روی OK کلیک کنید.

پنجره دیگری باز می شود که مروری کوتاه بر فرایند نصب را به شما ارائه می دهد. روی دکمه Next کلیک کنید.

به بخش مرور گواهینامه های برنامه می رسید، روی Next کلیک کنید.

حالا می توانید ببینید که کدام اجزای برنامه روی سیستم شما نصب خواهند شد. تنظیمات را تغییر ندهید و روی Next  کلیک کنید.

اکنون محلی که Pidgin در آن نصب می شود را خواهید دید. این اطلاعات را نیز تغییر ندهید و روی Next کلیک کنید.

در این مرحله پنجره ای ظاهر می شود که فهرستی طولانی از نوشته های مختلف است؛ تا زمانی که عبارتInstallation Complete  ظاهر شود صبر کرده و سپس Next را بزنید.

بلاخره آخرین پنجره نصب Pidgin ظاهر می شود. روی عبارت Finish کلیک کنید.

نصب pidgin-otr

به پنجره مرورگر ویندوز خود بازگردید،pidgin-otr-4.0.0-1.exe را باز کرده و روی آن دو بار کلیک کنید. از شما پرسیده می شود که آیا می خواهید این برنامه را نصب کنید یا خیر. روی Yes کلیک کنید.

پنجره دیگری باز می شود که مروری کوتاه بر فرایند نصب را به شما ارائه می دهد. روی دکمه Next کلیک کنید.

حالا به بخش گواهینامه های برنامه می رسید، روی گزینه I Agree  کلیک کنید.

اکنون محلی که pidgin-otr در آن نصب می شود را خواهید دید. این اطلاعات را نیز تغییر ندهید و روی install کلیک کنید.

بلاخره آخرین پنجره نصب pidgin-otr ظاهر می شود. روی عبارت Finish کلیک کنید.

پیکربندی Pidgin

به منوی Start بروید، روی آیکون Windows کلیک کرده و Pidgin را از منو انتخاب کنید.

افزودن یک اکانت

هنگامی که Pidgin برای بار اول اجرا می شود، پنجره ای را خواهید دید که ضمن خوش آمدگویی به شما، امکان اضافه کردن یک اکانت را نیز دارد. از آنجا که هنوز هیچ اکانتی را در این برنامه ندارید، روی گزینه Add کلیک کنید.

حالا پنجره Add Account را میبینید. Pidgin امکان کار کردن با سیستمهای مختلف چت را دارد، اما ما روی XMPP متمرکز می شویم که پیش از این تحت عنوان Jabber شناخته می شده است.

در بخش پروتکل(XMPP ،(Protocol را انتخاب کنید.

بعنوان نام کاربری (Username)، نام کاربری XMPP خود را وارد کنید.

در بخش دامنه(Domain)، دامنه XMPP خود را وارد کنید.

در بخش رمز(Password)، رمز XMPP را وارد کنید.

علامت زدن بخش Remember password باعث می شود که آسانتر به اکانت خود دسترسی پیدا کنید. بدانید که با تیک زدن این گرینه، رمز شما در کامپیوترتان ذخیره شده و هر کس که به سیستم شما دسترسی پیدا کند، می تواند به اکانت شما نیز دسترسی داشته باشد. اگر از این بابت نگران هستید، این گزینه را تیک نزنید. اما هر بار که لازم باشد وارد Pidgin خود شوید باید رمز XMPP خود را وارد کنید.

اضافه کردن مخاطب(Buddy)

اکنون ممکن است بخواهید یک نفر را بعنوان مخاطب خود به لیست اضافه کنید. روی منوی Buddies کلیک کرده و Add Buddy  را انتخاب کنید. پنجره اضافه کردن مخاطب باز خواهد شد.

در پنجره اضافه کردن مخاطب(Add Window)، می توانید نام کاربری کسی را که می خواهید با او چت کنید وارد نمایید. لازم نیست که این مخاطب از همان سروری استفاده کند که شما از آن استفاده می کنید، اما باید از پروتکل مشابه شما(مثلا XMPP)استفاده کند.

در بخش نام کاربری مخاطب(Buddy’s username)، می توانید نام کاربری مخاطب خود و نام دامنه او را وارد کنید. این اسم چیزی شبیه آدرس ایمیل خواهد شد.

در بخش نام مستعار( optional Alias)، می توانید نامی را که خودتان برای مخاطبتان برگزیده اید بنویسید. این نام کاملا اختیاری است اما اگر به یاد آوردن اکانت XMPPکسی که با او چت می کنید دشوار باشد، به شما کمک خواهد کرد.

روی گزینه Add کلیک کنید.

هنگامی که روی گزینه Add کلیک کنید، مخاطب شما پیامی با این محتوا دریافت می کند که آیا به شما اجازه می دهد که او را به لیست خود بیافزایید یا خیر. هنگامی که مخاطب شما نیز شما را به لیست خود بیافزاید، شما نیز درخواست مشابهی را دریافت می کنید. روی گزینه Authorize کلیک کنید.

پیکربندی اتصال به OTR

اینک می توانید اتصال به OTR را سازماندهی کرده و به شکل ایمن چت کنید. روی منوی Tools کلیک کرده و گزینه Plugins را انتخاب کنید.

به سمت پایین حرکت کنید تا به گزینه Off-the-Record Messaging برسید و مربع کنار آن را تیک بزنید. روی بخش Off-the-Record Messaging کلیک کرده و سپس دکمه Configure Plugin را بزنید.

حالا پنجره مربوط به تنظیمات و پیکر بندی Off-the-Record Messaging را می بینید. این پنجره اعلانی را تحت این عنوان خواهد داشت:No Key present. روی دکمه Generate کلیک کنید.

حالا پنجره کوچکی پدیدار می شود که کلیدواژه تازه ای را ارائه می دهد. هنگامی که این کار انجام شد،روی دکمه ok کلیک کنید.

حالا پنجره‌ی کوچکی باز می‌شود و کلید را می‌سازد. هنگامی که تمام شد، کلید OK را کلیک کنید.

اطلاعات جدیدی نمایان خواهد شد: مجموعه ای ۴۰ کاراکتری که به ۵ گروه ۸ کاراکتری از حروف تبدیل شده است. این اثر انگشت OTR شماست. روی گزینه Close کلیک کنید.

حالا روی گزینه Close در  پنجره Plugins نیزکلیک کنید.

چت کردن به‌صورت امن

حالا قادر خواهید بود که با مخاطب خود چت کنید. هر دوی شما می توانید پیامهایی ارسال و دریافت کنید. با این وجود، هنوز به‌صورت امن چت نمی کنید. حتی اگر به سرور XMPP هم وصل باشید، ممکن است که ارتباط بین شما و مخاطبتان از جاسوسی در امان نباشد. اگر به پنجره چت خود نگاه کنید، می بینید که در گوشه پایین سمت راست، با رنگ قرمز نوشته شده است Not Private. روی این نوشته کلیک کنید.

از منویی که باز می شود گزینه Authenticate buddy را انتخاب کنید.

پنجره دیگری باز می شود که از شما می پرسد چگونه می خواهید مخاطب خود را شناسایی و هویت او را تایید کنید؟ “How would you like to authenticate your buddy?”

سه گزینه در اختیار شما گذاشته می شود:

راز مشترک

راز مشترک، یک متن یک خطی است که شما و مخاطبتان پیشتر آن را انتخاب کرده اید.لازم است که این متن را شخصا با هم در میان گذاشته باشید و آن را از طریق کانالهای ارتباطی ناامن نظیر اسکایپ یا ایمیل رد و بدل نکرده باشید.

لازم است که شما و مخاطبتان با هم این متن را وارد سیستم کرده و روی عبارت Authenticate کلیک کنید.

این راز مشترک زمانی مفید خواهد بود که شما و مخاطبتان از پیش به این نتیجه رسیده باشید که می خواهید با هم چت کنید اما هنوز روی کامپیوترهایی که مد استفاده قرار می دهید، اثر انگشت OTR ایجاد نکرده باشید.

بررسی و کنترل اثر انگشت به‌صورت دستی

استفاده از روش بررسی و کنترل اثر انگشت به‌صورت دستی زمانی مفید خواهد بود که از قبل اثرانگشت مخاطب خود را داشته باشید و حالا از روش Pidgin  استفاده کنید. اگر مخاطب شما کامپیوتر خود را عوض کند یا اثرانگشت جدید ایجاد کند، این شیوه کاربردی نخوهد داشت.

اگر اثر انگشتی که به شما داده شده و اثر انگشتی که در تصویر ظاهر می شود یکی باشد، گزینه I have  را انتخاب نموده و روی گزینه Authenticate کلیک کنید.

پرسش و پاسخ

پرسش و پاسخ، روشی است که فقط وقتی کاربرد دارد که شما مخاطب خود را می شناسید اما نه راز مشترک خود را با وی ایجاد کرده اید و نه شانس به اشتراک گذاشتن اثر انگشت را با او دارید. این شیوه، کنترل بر مبنای اطلاعاتی است که هر دوی شما می دانید، نظیر یک واقعه یا یک خاطره.

پرسشی را که می خواهید بپرسید وارد کنید. این پرسش را آنقدر ساده نکنید که هر کسی قادر به حدس زدن آن باشد، اما پاسخ را غیر ممکن نیز نکنید. نمونه ای از یک پرسش خوب این است: وقتی در مینئاپولیس بودیم، شام را کجا خوردیم؟ و نمونه ای از یک سوال بد: آیا در توکیو میتوانی سیب بخری؟

لازم است که پاسخ دقیقا منطبق باشد؛ بنابراین بهنگام طرح سوال این مطلب را بخاطر داشته باشید.بزرگ و کوچک نوشتن حروف در اینجا مهم است، همچنین ممکن است بخواهید مطلبی را در پرانتز بنویسید.

پرسش و پاسخ را وارد کرده و روی گزینه Authenticate کلیک کنید.

مخاطب شما پنجره ای را خواهد دید که روی صفحه او ظاهر شده و پرسش را از او می پرسد. لازم است که پاسخ را وارد کرده و روی گزینه Authenticate کلیک کند. پس از آن پیامی دریافت می کند که به او اعلام می کند پاسخ او درست بوده و اجازه ورود دارد.

هنگامی که مخاطب شما فرایند کنترل ورود را با موفقیت پشت سر گذاشت، پنجره ای ظاهر می شود که به شما اعلام می کند کنترل ورود با موقیت انجام شده است.

لازم است که مخاطب شما نیز اکانت شما را مد بررسی و تایید قرار دهد تا هر دوی شما مطمئن شوید که ارتباط شما امن است. این تصویر نشان دهنده این فرایند برای Akikoو Boris (دو مخاطب فرضی) است. به گزینه سبز رنگ Private در گوشه سمت راست پایین پنجره چت دقت کنید.

کار با سایر نرم افزارها

مکانیسم بررسی و تایید صلاحیت باید بین نرم افزارهای مختلف چت نظیر Jitsi،Pidgin،Adium و Kopete باید عملی باشد. لازم نیست که برای چت از طریق XMPP و OTR از نرم افزارهای یکسان چت استفاده کنید، اما گاهاً اشکالاتی در برخی نرم افزارها ایجاد می شود. Adium که یک نرم افزار چت برای OS X است، با دریافت و ارسال پرسش و پاسخ به منظور بررسی و کنترل ورود مشکل دارد. اگر به هنگام ارسال و دریافت پاسخ پرسش امنیتی مشکل داشتید، از آنها بپرسید که آیا از Adium  استفاده می کنند یا خیر و چک کنید که آیا می توانید از راه دیگری برای کنترل ورود استفاده کنید یا خیر.