Caixa de ferramentas Crypto, Parte II No primeiro artigo desta two-parter na construção de sua própria caixa de ferramentas de criptografia Cobri ferramentas mais antigas que foram em torno de um tempo relativamente longo agora: TrueCrypt e OpenPGP. Aqui, vou ir em uma direção diferente e olhar para formas de proteger mensagens instantâneas, navegação na web em geral, e como confiar no sistema operacional em que executar essas ferramentas.
Voz e vídeo chat
O outrora alardeada Skype não é mais seguro em qualquer sentido da palavra.
Se você precisa de seguro voz ou vídeo chat, o serviço de telefone silencioso comercial (a partir de Phil Zimmermann Silencioso Circle) é geralmente considerado como robusto e confiável, como ele constrói em cima do modelo da antiga PGPfone segurança. Ele está disponível para Windows, Android e iOS - mas OS X parece ser o grande ausente no momento.
Do ponto de vista prático a experiência VOIP em Silencioso telefone não é tão polido como você pode ser usado para a partir do Skype - por exemplo, não há-de-pobre cancelamento de eco - por isso eu recomendo fortemente usando um fone de ouvido adequado, em vez de alto-falantes e microfone fuleiro construído na sua webcam ou laptop. Para ser exaustivo, também deve-se notar que este é um serviço de código fechado de propriedade; cabe a você decidir se isso é um deal-breaker para você. Goste ou não, isso é o que é usado e confiável em certos círculos.
Plugin de OTR, em cima do Jabber / XMPP
Para a geração de mensagem instantânea, um plugin chamado OTR (Off The Record) oferece proteção end-to-end para as comunicações sobre serviços de mensagens instantâneas compatíveis e aplicações.
A combinação usada por NSA denunciante Edward Snowden e os seus apoiantes é usar o protocolo XMPP IM aberto, muitas vezes sobre o cliente Pidgin , com este plugin OTR para fornecer a segurança. Youíd então transmitir mais de Tor de anonimato geral, utilizando-se as caudas OS para a segurança local, que eu virei para breve.
OTR usa alguns dos mesmos conceitos de criptografia de chave pública como OpenPGP, mas com um foco em proteger sessões de bate-papo ao vivo. Depois de ter estabelecido uma sessão OTR garantido, você pode ter certeza que ninguém está espionando sua conversa - mas após o fato, o que você disse não pode ser usado contra você. A pessoa com quem está conversando seria completamente capaz de forjar as assinaturas digitais, ou seja, terceiros não pode provar que você mesmo disse algo.
Isso está em contraste gritante com PGP, onde a assinatura é uma forte prova da autoria de uma mensagem.
O protocolo XMPP IM aberta é muitas vezes no cliente Pidgin
Tal como acontece com OpenPGP, você é responsável por verificar a impressão digital da chave da pessoa que você está se comunicando. Ao contrário de PGP, no entanto, não existe o conceito de chave de assinatura de outra pessoa para ser capaz de transferir a confiança - você vai precisar para verificar manualmente. Tal como acontece com PGP, uma chamada de vídeo Skype é adequado - Eu recomendo fazer uma verificação de impressão digital completo, em vez de usar qualquer "perguntas e respostas" alternativas, como é o que me faz mais confortável em termos de robustez de segurança.
Há uma vasta gama de servidores públicas utilizando Jabber que é baseado em XMPP. Porque Jabber é federado, os usuários em um servidor pode comunicar-se livremente com os usuários em outros lugares - desde que ambas as extremidades oferecer criptografia TLS servidor para servidor. A comunidade em geral servidor-admin Jabber se mudou recentemente para com absolutamente exigindo criptografia de servidor para servidor, que teve o efeito de cortar usuários do Google Talk a partir de praticamente todos os outros.
Um servidor Jabber oferecido pelo Chaos Computer Club alemão é usado muito fortemente e está disponível como um serviço oculto Tor , embora eles não oferecem muito na forma de orientação ou de mãos dadas.
Tech-americanos coletiva Riseup contas oferta de e-mail com harmonização de serviço Jabber, tem tutoriais muito agradável para uma variedade de clientes de bate-papo (incluindo Adium para os usuários OS X), e seu servidor também pode ser alcançado como um serviço oculto Tor, embora você precisará solicitar um convite para se inscrever para os seus serviços.
O site do plugin de OTR tem links para alguns tutoriais sobre o seu uso. Eu encontrei este para ser muito detalhista e cobriu tudo para Windows. Um pouco de escavação em outros lugares revelou um guia semelhante para os usuários do Adium no OS-X-terra.
TOR, The Onion Router
Embora você possa usar GPG para proteger o conteúdo do seu e-mail, um adversário de nível estadual com extensas torneiras nos grandes cabos submarinos intercontinental ainda será capaz de ver que você está enviando essa outra pessoa. Se alguém de um governo ou de faixa de endereços IP militar começou a enviar mensagens criptografadas para conhecidos jornalistas investigativos (ou outros inimigos potenciais do estado), há um risco muito forte lá - mesmo que as forças de segurança não pode ler o conteúdo das mensagens.
Também visível para o seu ISP para ver - e, portanto, também visível livremente para o estado através de sua capacidade de torcer o braço de seu ISP em segredo - é a sua navegação na web, mensagens instantâneas, e qualquer outra coisa que você está fazendo.
A maneira mais robusta para tornar anónimos seu uso internet é usar Tor (The Onion Router), que faz um trabalho muito robusto de fugir desse tipo de vigilância.
GCHQ possui nós Tor
Sabemos que funciona bem porque temos lâminas da NSA onde eles descrevem o quanto eles odeiam. Eles o descrevem como um "CNE [Computer Network Exploração] dor de cabeça", que é um excelente selo de aprovação.
Vale a pena notar que o Tor oferece anonimato. É isso aí. Ele não fornece automaticamente segurança ou privacidade. Se o "nó de saída" que você está usando (o ponto onde o tráfego sai do processo de Tor e emerge para a internet normal) é inescrupuloso, mal, ou simplesmente cortado, (ou, dirigido por GCHQ) ele tem a capacidade de interceptar a conteúdo de suas comunicações. Ele não vai saber quem você é automaticamente (por exemplo, o seu endereço IP real), porque o que está escondido por Tor - mas ele pode ver o que você está enviando e recebendo.
Nenhum comentário:
Postar um comentário