Off-the-Record (OTR) is een versleutelingsprotocol. Het beschermt tegen afluisteren op een manier die met commerciële apps als Skype, WhatsApp en MSN niet mogelijk is. Het is de combinatie van drie functies die andere chat-apps ontberen die dit protocol zo sterk maakt.
- OTR versleutelt je berichten van begin tot eind, niemand op de lijn kan meelezen.
- OTR laat je je gesprekspartner authenticeren, zodat je zeker weet dat je tegen de juiste persoon praat.
- En OTR voorziet in Perfect Forward Secrecy (PFS). Vooral die laatste feature maakt OTR erg krachtig. Hij zorgt ervoor dat elke chatsessie versleuteld wordt met een eenmalige en tijdelijke sleutel. Mocht je laptop onverhoopt gestolen worden, dan zijn voorgaande en toekomstige chatsessies daardoor niet te ontcijferen.
OTR is al tijden een favoriet in de wereld van cryptografie. Maar sinds journalisten Jacob Appelbaum en Laura Poitras tijdens het hackerscongres 31C3 in Hamburg documenten presenteerden waaruit bleek dat OTR niet te kraken is, weten we dat het écht een heel veilige methode van communiceren is. De NSA kenmerkt Facebookchat en Skype als ‘simpel’ om te kraken, terwijl OTR te boek staat als ‘zeer problematisch.’ In dit artikel bespreek ik de voor- en nadelen van het protocol, en hoe je er zelf mee aan de slag kunt gaan om de communicatie met je geliefden te beveiligen.
It takes two to crypto
OTR kan in vele verschillende programma’s worden gebruikt, met je bestaande account bij een dienst als AOL, MSN, Google Talk, Yahoo en zelfs met ICQ. Het werkt op je laptop, je smartphone en op je tablet. Van de verschillende vormen van encryptie die er voor gebruikers zijn is OTR een van de makkelijkste om te leren.
Maar veilig chatten doe je niet alleen. Dus dit is het moment om je huisgenoot, kleindochter of overbuurman erbij te halen en samen even te gaan zitten om jullie eerste, écht veilige, digitale chatkanaal op te zetten. Zoals met veel encryptietools geldt ook hier: je moet er wel even voor gaan zitten. OTR is makkelijk, maar het gaat niet vanzelf.
Om OTR te gebruiken moeten jullie beiden een chatprogramma installeren op je computer of smartphone. Als je een Windowscomputer hebt of Linux gebruikt, dan kun je het chatprogramma Pidgin downloaden. Voor de Mac is Adium het beste programma. Op de telefoon of tablet is ChatSecure van The Guardian Project de beste keuze. Al deze programma’s zijn gratis en open source. Het maakt bovendien niet uit of je allebei een ander programma kiest.
Al deze apps worden door kleine teams gebouwd en onderhouden, en kunnen wat ruw aanvoelen, dat wil zeggen minder gebruikersvriendelijk dan je van commerciële programma’s gewend bent, maar ze worden allemaal actief onderhouden en er is veel documentatie online te vinden als je een vraag hebt.
Adium en ChatSecure komen met OTR ingebouwd, voor Pidgin moet je een extra plugin installeren. Net zoals moderne browsers als Chrome en Firefox staat Pidgin je automatisch toe de functionaliteit van het programma uit te breiden met plugins. De plugin die je nodig hebt voor OTR in Pidgin kun je downloaden via de Cypherpunkswebsite.
Voor het gemak gaan we ervan uit dat je een MSN-account hebt dat je kunt gebruiken. Als je met dit account inlogt via Adium, Pidgin of ChatSecure kun je voortaan direct vanuit deze app met al je MSN-vrienden chatten. Maar versleuteld chatten kan alleen met die vrienden die, net als jij, een chatprogramma gebruiken dat OTR ondersteunt. Als je aan de slag wilt met OTR, maar je vrienden gebruiken het nog niet, stuur ze dan vooral een link naar dit artikel (en anders ook).
Going dark
Als de andere kant van de lijn ook klaar is voor een versleutelde chat kunnen we nu beginnen met het activeren van OTR. In elk programma is het net even anders, maar versleuteling wordt vaak, toepasselijkerwijs, gesymboliseerd met een slotje. Zoek het slotje en klik erop.
De eerste keer dat je dit doet worden je key en unieke fingerprint gegenereerd. De key is bedoeld om je berichten mee te versleutelen, en verandert als gezegd met elke sessie. Je fingerprint blijft dezelfde; deze functie kunnen je contacten gebruiken om te verifiëren dat jij echt jij bent.
Zelf heb ik mijn fingerprint op m’n visitekaartje geprint zodat iemand die met mij wil chatten zelf kan controleren of ze de juiste Douwe Schmidt te pakken hebben (en niet mijn evil tweelingbroer). Als beide partijen de fingerprint gecontroleerd hebben, kun je veilig chatten.
OTR wordt actief ontwikkeld door een groep vrijwilligers. Zij werken momenteel aan een nieuwe versie van OTR waarmee ook groepen veilig met elkaar kunnen chatten. Daarnaast werken ze nog aan een manier om elkaar berichten te versturen als de ontvanger offline is, zoals bij WhatsApp bijvoorbeeld kan.
En deze twee functies zijn meteen ook inderdaad precies wat er nu nog aan mist. Pas als deze functionaliteit aan OTR is toegevoegd zal het in het dagelijks gebruik een alternatief voor bijvoorbeeld WhatsApp kunnen zijn.
Maar voorlopig is het al een heel goed gevoel dat nu, ondanks dat je via MSN chat en je data dus via de servers van Microsoft worden verstuurd, je berichten nooit door hen, de overheid en zelfs niet door de NSA te lezen zullen zijn.
Met dit programma word je weer baas over je eigen smartphone Het eerste deel van de serie Red ’t Web gaat over een alternatief besturingssysteem voor Android: CyanogenMod. Zeven manieren om je smartphone beter te beveiligen In deze update zeven praktische tips hoe je je persoonlijke gegevens op je telefoon beter kunt beschermen. Oplopend van makkelijk naar ingewikkeld. Heb je zelf ook tips? Deel die dan vooral! Wie het internet wil redden, kan niet om deze voorwaarden heen We schrijven regelmatig over privacy en surveillance. Dit zijn niet altijd de meest opwekkende verhalen. Daarom begonnen we onlangs een zoektocht naar oplossingen: hoe redden we het web? Vandaag zet gastcorrespondent Douwe Schmidt de voorwaarden op een rij waaraan een oplossing moet voldoen.Dit verhaal heb je gratis gelezen, maar het maken van dit verhaal kost tijd en geld. Steun ons en maak meer verhalen mogelijk voorbij de waan van de dag.
Al vanaf het begin worden we gefinancierd door onze leden en zijn we volledig advertentievrij en onafhankelijk. We maken diepgravende, verbindende en optimistische verhalen die inzicht geven in hoe de wereld werkt. Zodat je niet alleen begrijpt wat er gebeurt, maar ook waarom het gebeurt.
Juist nu in tijden van toenemende onzekerheid en wantrouwen is er grote behoefte aan verhalen die voorbij de waan van de dag gaan. Verhalen die verdieping en verbinding brengen. Verhalen niet gericht op het sensationele, maar op het fundamentele. Dankzij onze leden kunnen wij verhalen blijven maken voor zoveel mogelijk mensen. Word ook lid!