Epärekisteröity viestit

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 28. toukokuuta 2018 tarkistetusta versiosta . tarkastukset vaativat 7 muokkausta .

Off-the-Record Messaging (OTR) on Nikita Borisovin ja Ian Goldbergin vuonna 2004 luoma salausprotokolla pikaviestintäjärjestelmille .

Kirjoittajat ovat luoneet GNU Lesser GPL -lisenssillä jaetun kirjaston , jota käytetään tukemaan pikaviestijärjestelmien OTR-asiakkaita. Tämän kirjaston perusteella kirjoittajat loivat myös laajennuksen Pidginille .

EKTR suosittelee OTR:n käyttöä salakuuntelussa [ 1] .

Historia

OTR-protokollan ensimmäisen version ja sen toteutuksen esittelivät vuonna 2004 Nikita Borisov ja Ian Goldberg [2] [3] . Vuonna 2005 julkaistiin hyökkäys OTR-protokollan ensimmäistä versiota vastaan ja ehdotettiin tarkistettua todennusprotokollaa [4] . Samana vuonna OTR:n kehittäjät esittelivät protokollan toisen version autentikointiprotokollan korjauksella ja paransivat sitä edelleen [5] .

Olivier Goffart julkaisi vuonna 2007 mod_otr [6] -moduulin ejabberd - palvelimelle , joka mahdollistaa automaattiset man-in-the-middle- hyökkäykset OTR-käyttäjiä vastaan, jotka eivät vahvista toistensa julkisen avaimen sormenjälkiä. Tämän jälkeen kehittäjät paransivat OTR: ää Socialist Millionaire -ratkaisulla , jonka avulla kaksi käyttäjää voivat todentaa vaihtamatta avaimia tai sormenjälkiä, mikäli he tietävät jaetun salaisuuden [7] .

Protokollan perusominaisuudet

OTR-protokolla kehitettiin neuvottelujen yksityisyyden takaamiseksi , samoin kuin neuvotteluissa ilman tietoliikennettä [8] [9] . Tätä tarkoitusta varten kehitetylle protokollalle esitettiin seuraavat vaatimukset:

viestien salaus - kukaan muu ei voi lukea viestejä;
keskustelukumppanin todennus - luottamus siihen, kuka keskustelukumppani on;
täydellinen edelleensalaisuus - jos salaiset avaimet katoavat, aiempi kirjeenvaihto ei vaarannu;
kiistämisen mahdollisuus - kolmas osapuoli ei pysty todistamaan, että viestit on kirjoittanut joku muu vastaanottajalle.

Jotkut näistä ominaisuuksista on toteutettu järjestelmissä, kuten PGP ja Trillian SecureIM. OTR on erilainen siinä, että se toteuttaa kaikki nämä ominaisuudet yhdessä protokollassa [10] .

Avainsopimus

Lähettääkseen viestejä OTR:n avulla protokollan osallistujien on määritettävä jaettu salaisuus. Tätä varten käytetään Authenticated Key Exchange -protokollaa , joka perustuu Diffie-Hellman-protokollaan [11] .

Protokollan alussa osallistujat käyttävät Diffie-Hellman-protokollaa ensimmäisen viestin lähettämiseen tarvittavan salaisen avaimen määrittämiseen. Jäsenet A ja B valitsevat alkuluvun ja ryhmägeneraattorin . A valitsee satunnaisluvun ja lähettää B:lle laskutoimituksen tuloksen . B valitsee satunnaisluvun ja lähettää A:lle laskennan tuloksen . Osallistujat käyttävät sitten jaettua lyhytaikaista avainta , jossa on SHA-1 kryptografinen hajautusfunktio [12] . $s$ $g$ ${\mathbb {Z}}_{p}^{*}$ $a_{1}$ $g^{{a_{1))}{\bmod p}$ $b_{1}$ $g^{{b_{1))}{\bmod p}$ $k_{{11}}=H(g^{{a_{1}b_{1}}})$ $H$

Avainten uusiminen

Täydellisen edelleensalaisuuden varmistamiseksi käyttäjät uusivat avaimen jatkuvasti viestienvaihdon aikana [13] [14] . Kun ensimmäinen viesti lähetetään, toinen osapuolista (esimerkiksi osapuoli A) salaa viestin salaustoiminnolla avaimella , valitsee satunnaisluvun ja lähettää B:lle arvoparin . Avainta käytetään seuraavan viestin salaamiseen . Jatkossa A muuttaa jokaisen viestin yhteydessä numeroa ja B muuttaa numeroa ja avain päivittyy. $E$ $k_{{11}}$ $a_{2}$ $g^{{a_{2}}},E_{{k_{{11}}}}(M)$ $k_{{21}}=H(g^{{a_{2}b_{1}}})$ $a_{i}$ $b_{j}$ $k_{{ij}}$

Käytännössä viestit eivät tavoita hetkessä, joten lähetettyään viestin A:sta B:lle ja päivittämällä A:n puolen avaimen A voi silti vastaanottaa B:ltä vanhalla avaimella salatun viestin [15] . Osallistuja A voi olla varma, että B on päivittänyt avaimen vasta, kun hän saa B:ltä viestin, joka on salattu uudella avaimella. Siksi A säilyttää tarpeeksi vanhoja avaimia voidakseen purkaa kaikki viestit, jotka eivät ole vielä saapuneet. Jotta avaimet päivitettäisiin riittävän usein, se puoli, jolla ei ole lähetettävää viestiä, lähettää ajoittain tyhjiä viestejä [16] .

Artikkelin "Secure Off-the-Record Messaging" kirjoittajat kritisoivat OTR:ssä käytettyä avainten uusimisjärjestelmää, koska se ei tarjoa lisäturvaa [17] . Täten, jos edelleen käytössä oleva lyhytaikainen avain vaarantuu , mies-in-the-middle- hyökkäyksen suorittava osapuoli voi muokata kaikkia myöhempiä viestejä ja käytössä olevia lyhytaikaisia avaimia [18] . Myös Diffie-Hellman-protokollan käyttö voi vaatia huomattavia resursseja (esimerkiksi akkukäyttöisille laitteille) [19] . Sen sijaan ehdotettiin käytettäväksi samaa kaavaa kuin avaimelle tai laskennallisesti vähemmän vaativaa hajautusmenetelmää [20] . $k_{{ij}}$ $k_{{11}}$

Avaimen todennus

Kaikkien lyhytaikaisten avainten todennus, paitsi , suoritetaan yhdessä viestien todennuksen kanssa, ja sitä kuvataan tarkemmin [21] . Pitkäaikaisia avaimia käytetään avainten todentamiseen . OTR:n ensimmäisessä versiossa käytettiin turvatonta todennusjärjestelmää, jota muutettiin myöhemmin [22] . $k_{{11}}$ $k_{{11}}$

Protokollan alkuperäinen versio

OTR-protokollan ensimmäisessä versiossa osapuolet allekirjoittavat asianmukaiset Diffie-Hellman-protokollasanomat [23] alkuperäisen avaimen todentamiseksi . Myös näissä viesteissä osapuolet siirtävät pitkän aikavälin julkiset avaimensa. $k_{{11}}$

A\longrightarrow B\colon S_{A}(g^{{a_{1}}}),P_{A}

B\longrightarrow A\colon S_{B}(g^{{b_{1}}}),P_{B}

Tässä ja ovat digitaalinen allekirjoitus ja ja ovat osapuolten A ja B julkisia avaimia. $S_{A}$ $S_{B}$ $P_{A}$ $P_{B}$

Tämä protokollan versio sisältää tunnetun haavoittuvuuden [24] [25] . Osapuoli E, joka suorittaa man-in-the-middle- hyökkäyksen , voi todentaa osapuolten A ja B kanssa samanaikaisesti, samalla kun teeskentelee olevansa toinen osapuolista (esimerkiksi B) toisena puolena (esimerkiksi A) , kuten alla.

A\longrightarrow E\colon S_{A}(g^{{a_{1}}}),P_{A}

E\longrightarrow B\colon S_{E}(g^{{a_{1}}}),P_{E}

B\longrightarrow E\colon S_{B}(g^{{b_{1}}}),P_{B}

E\longrightarrow A\colon S_{B}(g^{{b_{1}}}),P_{B}

Sen jälkeen E ei voi lukea viestejä, koska ne on salattu vain A:n ja B:n tuntemalla avaimella, mutta B luulee puhuvansa E:lle, vaikka itse asiassa puhuu A:lle [26] .

Turvallisempia protokollia, kuten SKEME , harkittiin, kun OTR-protokollan ensimmäinen versio otettiin käyttöön, mutta sen sijaan otettiin käyttöön oma protokolla edellä kuvatulla tavalla [27] .

Protokollan toinen versio

Artikkelin Secure Off-the-Record Messaging kirjoittajat ehdottivat avainten neuvottelu- ja todennusprotokollan vaihtamista johonkin jo tunnetuista protokollista, kuten SIGMA , SKEME ja HMQV [28] . Myös näissä viesteissä osapuolet siirtävät pitkän aikavälin julkiset avaimensa.

SIGMA - protokollan muunnos , nimeltään SIGMA-R, toimii seuraavasti [29] :

A\longrightarrow B\colon g^{{a}}

B\longrightarrow A\colon g^{{b}}

A\longrightarrow B\colon {\text{A}},S_{A}(g^{{b}},g^{{a}}),MAC_{{H(g^{{ab}})} }(0,{\teksti{A}}),P_{A}

B\longrightarrow A\colon {\text{B)),S_{B}(g^{{a}},g^{{b}}),MAC_{{H(g^{{ab}})} }(1,{\teksti{B}}),P_{B}

Tässä A ja B ovat tunnisteita ja digitaalisia allekirjoituksia, ja ne ovat osapuolten A ja B julkisia avaimia, ja se on kryptografinen hajautusfunktio. $S_{A}$ $S_{B}$ $P_{A}$ $P_{B}$ $H$

OTR:n kirjoittajat käyttivät SIGMA-protokollan muunnelmaa OTR:n toisessa versiossa [30] . Verrattuna ehdotettuun SIGMA-protokollaan OTR-kehittäjät ovat suojanneet julkisia avaimia passiivisilta hyökkäyksiltä (salakuuntelusta). Tätä varten julkiset avaimet lähetetään suojatun kanavan kautta, joka on muodostettu käyttämällä Diffie-Hellman-protokollaa [31] . Myös OTR:ssä käytetyn SIGMA -protokollan muuttaminen on monimutkaista johtuen joidenkin protokollien ( [kokorajoituksista sanoman )IRCesimerkiksi 32 ]] .

Viestin todennus

Toisin kuin järjestelmät, kuten PGP , OTR ei käytä digitaalisia allekirjoituksia viestien todentamiseen, koska ne eivät tarjoa kiellettyjä todennusominaisuuksia [36] . Sen sijaan käytetään HMAC [37] .

Viestin todentamiseen käytetään avainta K, joka saadaan tiivistämällä viestin salaamiseen käytetty avain [38] .

Kun osapuoli A lähettää viestin M toiselle osapuolelle B, se lähettää julkisen avaimen arvon HMAC(M, K) [39] viestin mukana . Osapuoli B voi vastaanottaessaan viestin myös laskea HMAC(M, K). Jos se vastaa vastaanotettua arvoa, osapuoli B tietää, että viestin on lähettänyt jompikumpi osapuoli A tai osapuoli B, mutta koska osapuoli B tietää, ettei se ole lähettänyt viestiä, niin se voi olla varma, että viesti on todella osapuolen lähettämä. A Samanaikaisesti HMAC :n käyttö tarjoaa kiistämisen: edes avaimen K paljastamalla B ei voi todistaa kolmannelle osapuolelle, että viestin on lähettänyt osapuoli A. Viestin voi myös väärentää osapuoli B ja mikä tahansa osapuoli, joka tietää sen. avain K.

Todennusavainten paljastaminen

Salaukseen käytettyjä avaimia päivitetään jatkuvasti yllä kuvatulla tavalla . Koska todentamiseen käytettävät avaimet saadaan tiivistämällä salaukseen käytetyt avaimet, ne myös päivitetään.

Vanhat avaimet, joita ei enää käytetä, voidaan tuhota. Mutta todennusavaimet voidaan myös paitsi tuhota, myös paljastaa. OTR:n kirjoittajat ovat lisänneet vanhan avaimen paljastamisen: vanha todennusavain lähetetään viestin mukana, jos tiedetään, että sitä ei enää käytetä [40] . Tämä päätös selittyy OTR-protokollan deniability-vaatimuksilla [41] [42] .

Teos Secure Off-the-Record Messaging huomauttaa, että todennusavainten paljastaminen monimutkaistaa tarpeettomasti protokollaa ja voi olla negatiivisesti turvaton, koska se on epästandardi salausmenetelmä [43] . OTR-pohjaisen TextSecure-protokollan kirjoittaja, alias Moxie Marlinspike , huomauttaa myös todennusavainten paljastamisen monimutkaisuudesta ja tehottomuudesta kiellettävyyden varmistamiseksi [44] .

Viestin salaus

Viestien salaamiseen käytetään AES - algoritmia laskuritilassa [45] . Tällä tavalla muodostetun stream-salauksen käyttäminen tarjoaa muokattavan salauksen . Tämä tarkoittaa, että kuka tahansa viestin kaappaaja voi valikoivasti muuttaa mitä tahansa viestin bittejä. Erityisesti, kun viesti on tullut tunnetuksi, se voidaan muuttaa mihin tahansa muuhun samanpituiseen viestiin [46] .

Kiistanalainen salaus vaaditaan sen varmistamiseksi, että salaus on estetty [47] . Kyseenalaisen salauksen avulla OTR-protokollan osallistujat voivat väittää, että jokin lähetetyistä viesteistä on muutettu kolmannen osapuolen toimesta.

Moninpeli OTR

OTR-protokolla on suunniteltu vain kahden osapuolen käyttöön. Siksi sitä ei voi käyttää IRC -kanavilla, XMPP - konferensseissa jne.

OTR:ää ei voida yksinkertaisesti laajentaa koskemaan useita kaiuttimia asiaan liittyvien salausprimitiivien vuoksi. Esimerkiksi viestien todennuskoodit eivät tarjoa viestilähteen todennusta monen käyttäjän tapauksessa [48] .

Protokollassa on laajennuksia, joiden avulla useat käyttäjät voivat käyttää protokollaa [49] [50] [51] .

Yksi OTR-protokollan laajennus, nimeltään GOTR (Group OTR), perustuu ajatukseen "virtuaalisen palvelimen" luomisesta [52] . Yksi osallistujista nimetään "virtuaalipalvelimeksi", vaihtaa avaimia muiden osallistujien kanssa, ja jatkossa kaikki konferenssin osallistujien väliset viestit lähetetään sen kautta. GOTR-protokollan haittana on, että "virtuaalinen palvelin" voi muuttaa viestien sisältöä, lisätä ja poistaa viestejä, joten kaikkien konferenssin osallistujien on luotettava siihen [53] .

Myöhemmin Ian Goldberg ja muut kirjoittajat ehdottivat mpOTR- protokollaa [51] . Toisin kuin GOTR-protokolla, mpOTR-protokolla toimii ilman erillistä keskuspalvelinta [54] .

OTR-toteutukset

libotr
Tyyppi	Kirjasto
Tekijä	Ian Goldberg [d] ja Nikita Borisov [d]
Kehittäjä	OTR:n kehitystiimi
Sisään kirjoitettu	C
Laitteistoalusta	cross-platform
uusin versio	4.0.2 ( 9. maaliskuuta 2016 )
Osavaltio	Todellinen
Lisenssi	GNU Lesser General Public License versio 2 [55]
Verkkosivusto	otr.cypherpunks.ca/index…

OTR:n päätoteutus on OTR-kehitysryhmän luoma libotr-kirjasto. Sen perusteella samat kehittäjät loivat Pidgin-asiakkaalle laajennuksen , jonka avulla voit käyttää OTR:ää minkä tahansa tämän asiakkaan tukemien protokollien kanssa. Protokollasta on myös toteutuksia Go , Java , JavaScript , Python , Scheme [56] .

Messenger-tuki

Sisäänrakennettu tuki

Seuraavilla asiakkailla on alkuperäinen tuki OTR-protokollalle [57] .

Adium
BitlBee [58]
climm
ChatSecure
Keskustelujen perintö
IM+
jitsi
Xabber
Psi ja Psi+ (liitännäinen) [59] [60]
LeechCraft [61] [62]
MCabber [63]
Kirosanoja [64]
[ 65 ] [66]

Liitännäisen

irssy [67]
Miranda IM [68]
Pidgin
Vacuum-IM (laajennus) [69]
Kopete
Tkabber (liitännäinen) [70]

Välityspalvelin

Asiakkaille, jotka tukevat AIM / ICQ -protokollaa , OTR-kehitysryhmä on kehittänyt otrproxy-paketin, joka on paikallinen välityspalvelin [71] . Se salli OTR:n käytön asiakkaissa, joilla ei ollut alkuperäistä OTR-tukea. Tällä hetkellä tätä pakettia ei tueta, kehittäjät suosittelevat OTR-tuella varustettujen asiakkaiden käyttöä.

Muistiinpanot

↑ Valvonnan itsepuolustus: Pikaviestit (IM) . - "Suojaaksesi viestit sieppaukselta, kun ne kulkevat verkon yli, sinun on käytettävä salausta. Onneksi on olemassa erinomainen pikaviestien salausjärjestelmä nimeltä OTR (Off The Record).". Haettu 22. lokakuuta 2013. Arkistoitu alkuperäisestä 13. lokakuuta 2013. (määrätön)
↑ borisov2004off, 2004 .
↑ impauth, 2007 , 2.1 Alkuperäinen OTR-protokolla, s. 42: "Alkuperäisen OTR-protokollan esittelivät Borisov, Goldberg ja Brewer vuonna 2004".
↑ di2005secure, 2005 .
↑ impauth, 2007 , 2.3 OTR versio 2, s. 43: "OTR-versio 2 julkaistiin vuonna 2005. Suurin muutos versiossa 2 oli alkuperäisen autentikoidun avaimenvaihdon (AKE) uudelleenkäsittely".
↑ mod_otr . Haettu 20. lokakuuta 2013. Arkistoitu alkuperäisestä 29. syyskuuta 2013. (määrätön)
↑ impauth, 2007 , 4. Sosialististen miljonäärien pöytäkirja, s. 44.
↑ impauth, 2007 , 2.1 Alkuperäinen OTR-protokolla, s. 41: "Alkuperäisen OTR-protokollan esittelivät Borisov, Goldberg ja Brewer vuonna 2004. Sen motiivina oli ajatus siitä, että kaksi ihmistä, esimerkiksi Alice ja Bob, keskustelivat kasvokkain yksityisessä huoneessa."
↑ goldberg2009multi, 2009 , 1. Motivaatio, s. 359: "Vaikka tämä voi olla mahdollista tietyissä olosuhteissa, se poikkeaa alkuperäisestä OTR:n tavoitteesta, joka on matkia yksityisiä keskusteluja."
↑ borisov2004off, 2004 , 1. Johdanto, s. 77: "Millään tällä hetkellä sosiaaliseen viestintään käytetyistä mekanismeista ei kuitenkaan ole kaikkia näitä ominaisuuksia."
↑ impauth, 2007 , 2.1 Alkuperäinen OTR-protokolla, s. 42: "Aluksi OTR käyttää Diffie-Hellman (DH) -avainten vaihtoa luodakseen yhteisen salaisuuden Alicen ja Bobin välille."
↑ borisov2004off, 2004 , 4.1 Salaus, s. 80.
↑ borisov2004off, 2004 , 3.1 Täydellinen välityssalaisuus, s. 78: "Kierrämme tämän ongelman käyttämällä lyhytikäisiä salaus-/salauksenpurkuavaimia, jotka luodaan tarpeen mukaan ja hylätään käytön jälkeen."
↑ impauth, 2007 , 2.1 Alkuperäinen OTR-protokolla, s. 42: "Tässä vaiheessa Alice ja Bob voivat alkaa lähettää toisilleen salattuja viestejä. Rajoittaakseen tietomäärää, joka vaarantuu, jos vastustaja määrittää jaetun avaimen, Alice ja Bob avaavat uudelleen mahdollisimman usein. ... Tämä menettely antaa OTR:lle täydellisen välityssalaisuuden (PFS) ominaisuuden, mikä varmistaa, että tulevat avainkompromissit eivät voi paljastaa vanhojen viestien sisältöä."
↑ borisov2004off, 2004 , 4.2 Avainten unohtaminen, s. 80: "Koska viestinvälitysprotokollat ovat kuitenkin tyypillisesti asynkronisia, on mahdollista, että Bobilta on edelleen siirretty viesti, joka on salattu edellisellä avaimella."
↑ borisov2004off, 2004 , 4.2 Avainten unohtaminen, s. 81: "Tämän ongelman ratkaisemiseksi Bobin pitäisi ajoittain lähettää tyhjä viesti, jossa vahvistetaan uuden avaimen vastaanottaminen Alicelta."
↑ di2005secure, 2005 , 6.3 On the Key Refreshing, s. 89: "Täten arvo DH-avaimen vaihdon suorittamiselle jokaisen viestin kanssa, jossa todennus riippuu edellisestä jaetusta avaimesta, on rajallinen."
↑ di2005secure, 2005 , 6.3 On the Key Refreshing, s. 88: "Huomaamme kuitenkin, että jos vastustaja oppii nykyisen lyhytaikaisen avaimen, tulevat viestit voivat vaarantua täysin."
↑ di2005secure, 2005 , 6.3 On the Key Refreshing, s. 89: "Tämä on vieläkin enemmän, kun otetaan huomioon DH-keskuksen laskentakustannukset."
↑ di2005secure, 2005 , Näin ollen ehdotamme, että OTR nauttii paremmasta yleisestä turvallisuudesta suorittamalla AKE-protokollaa säännöllisin väliajoin. Jos halutaan hienojakoisempi virkistysmekanismi eteenpäinsalaisuustarkoituksiin, voidaan käyttää kevyempää, mutta tehokkaampaa mekanismia, kuten uusien avainten johtamista (mahdollisesti viestikohtaisesti, jos niin halutaan) yksisuuntaisella hajautusmenetelmällä. edellinen näppäin., s. 89.
↑ borisov2004off, 2004 , 4.3 Todennus, s. 81: "Meidän tarvitsee vain käyttää digitaalista allekirjoitusta ensimmäisessä avaimenvaihdossa. Muissa avainten vaihdoissa käytämme MAC:ia uuden avaimen todentamiseen käyttämällä vanhaa, tunnettua aitoa jaettua salaisuutta."
↑ impauth, 2007 .
↑ borisov2004off, 2004 , 4.3 Todennus, s. 81: "Salausavain on itse Diffie-Hellmanin jaetun salaisuuden hajautustulos, joka on myös todennettava jollain tavalla. Saavutamme tämän allekirjoittamalla digitaalisesti alkuperäisen Diffie-Hellman-vaihdon."
↑ di2005secure, 2005 , 3.1 Todennusvirhe, s. 84.
↑ impauth, 2007 , 2.2 Hyökkäys OTR-versiota 1 vastaan, s. 42.
↑ borisov2004off, 2004 , 2.2 Hyökkäys OTR-versioon 1, s. 42: "Tämä hyökkäys sallii vihollisen Eevan häiritä alkuperäistä avainten vaihtoa siten, että Alice ja Bob saavuttavat silti saman avaimen protokollan lopussa, mutta Alice uskoo puhuvansa Bobin kanssa, kun taas Bob uskoo tämän puhuvan Eevalle."
↑ borisov2004off, 2004 , 7. Aiheeseen liittyviä töitä, s. 83: "Jos halutaan anonyymi, voidaan käyttää joko SKEME:n tai Abadin yksityistä todennusta allekirjoitetun Diffie-Hellman-avaimenvaihdon sijaan protokollassamme."
↑ di2005secure, 2005 , 4. Sound AKE:n rakentaminen OTR:lle, s. 85.
↑ di2005secure, 2005 , 4.1 SIGMA, s. 85.
↑ impauth, 2007 , 2.3 OTR versio 2, s. 43: "Suurin muutos versiossa 2 oli alkuperäisen autentikoidun avaimenvaihdon (AKE) uudelleenkäsittely. Vastauksena yllä mainittuun hyökkäykseen AKE muutettiin SIGMA-variantiksi, kuten ehdotettiin."
↑ impauth, 2007 , 2.3 OTR versio 2, s. 43: "Jos julkiset avaimet lähetettiin aiemmin tyhjinä, ne on nyt salattu DH:n jaetun salaisuuden avulla."
↑ impauth, 2007 , 2.3 OTR versio 2, s. 43: "R:n tarkoitus yllä olevissa vaiheissa on täyttää tekninen rajoitus: monet IM-protokollat pakottavat viesteille enimmäiskoon."
↑ impauth, 2007 , 2.3 OTR versio 2, s. 43.
↑ OTRv2 .
↑ OTRv3 .
↑ borisov2004off, 2004 , 3.2 Digitaaliset allekirjoitukset ja kiistämättömyys, s. 79: "Tästä syystä emme koskaan käytä digitaalista allekirjoitusta todistaaksemme Alicen kirjoittajan minkään viestin."
↑ borisov2004off, 2004 , 3.3 MAC:t ja kiellettävyys, s. 79.
↑ impauth, 2007 , 2.1 Alkuperäinen OTR-protokolla, s. 42: "Käytetty MAC-avain on kyseisen viestin salauksenpurkuavaimen tiiviste."
↑ borisov2004off, 2004 , 3.3 MAC ja kiellettävyys, s. 79: "Alice käyttää MAC-avaimensa kopiota viestin MAC-arvon laskemiseen ja lähettää tämän MAC:n yhdessä viestinsä kanssa suojatussa lähetyksessä."
↑ borisov2004off, 2004 , 4.4 MAC-avainten paljastaminen, s. 81.
↑ borisov2004off, 2004 , 4.4 MAC-avainten paljastaminen, s. 81: "Huomaa, mitä tämä on saanut aikaan: Bobin ei tarvitse enää luottaa tähän avaimeen, koska hän on jo tarkistanut kaikki viestit, jotka tällä avaimella on todennettu. Nyt kuka tahansa voi kuitenkin luoda mielivaltaisia viestejä, joissa on tämä MAC-avain, eikä kukaan voi sulkea pois ketään tiettyä henkilöä viestin mahdollisena kirjoittajana."
↑ di2005secure, 2005 , 2.3 Viestien salaus ja todennus, s. 84: "Syy yllä olevien valintojen (eli muovattava salaus ja MAC-avaimien paljastaminen) takana on kieltäminen."
↑ di2005secure, 2005 , 6.1 Symmetrisen salauksen kiellettävyys, s. 88: "Kolmanneksi MAC-avainten paljastaminen aiheuttaa ajoitus- ja synkronointiongelmia, joita tarvitaan liian aikaisen paljastamisen estämiseksi. Vaikka tämä on mahdollista, tämä lisää järjestelmän monimutkaisuutta. Vaikka yllä olevia näkökohtia voidaan pitää jossain määrin subjektiivisina, seuraavassa alaosiossa havainnollistetaan vaaraa lisätä epätyypillisiä suojaustekniikoita."
↑ Yksinkertaisuus , rajoitukset.
↑ di2005secure, 2005 , 2.3 Viestien salaus ja todennus, s. 83: "Viesti salataan ensin AES:llä laskuritilassa ja sitten tuloksena oleva salateksti todennetaan HMAC:lla (hajautustoiminnolla SHA-1).".
↑ borisov2004off, 2004 , 3.4 Muovattava salaus ja väärennettävyys, s. 80: "Tämä salaus on muokattava, koska muutos mihin tahansa salatekstin bittiin vastaa muutosta vastaavassa bitissä selkeässä tekstissä. Erityisesti, jos Eve voi arvata viestin selvän tekstin, hän voi sitten muuttaa salatekstin purkaakseen salauksen mille tahansa muulle samanpituiselle viestille tietämättä avainta."
↑ di2005secure, 2005 , Syy yllä olevien valintojen (eli muovattava salaus ja MAC-avaimien paljastaminen) taustalla on deniability., s. 84.
↑ goldberg2009multi, 2009 : "Esimerkiksi OTR käyttää viestien todennuskoodeja (MAC) aitouden tarjoamiseen. Vaikka kahdelle osapuolelle MAC:t voivat tarjota kiellettävän todennusmekanismin, MAC:t eivät tarjoa alkuperätodennusta, kun niitä käyttää useampi kuin kaksi osapuolta."
↑ bian2007off, 2007 .
↑ bian2007public, 2007 .
↑ 1 2 goldberg2009multi, 2009 .
↑ bian2007off, 2007 , 3.1. Alkuperäinen suunnittelu, s. 81: "Toteutuksen pääkonsepti on luoda virtuaalipalvelin, joka on chat-jäsen, joka toimii kirjaimellisesti palvelimena."
↑ goldberg2009multi, 2009 , 1. Motivaatio, s. 359: "Lopuksi palvelin on oletettava rehellisenä, koska epärehellinen palvelin voi vaarantaa kaikkien chat-istunnon aikana lähetettyjen viestien luottamuksellisuuden ja eheyden."
↑ goldberg2009multi, 2009 , 5. Johtopäätös, s. 367: "Ehdotettu kehys monen osapuolen off-the-Record-viestinnölle ei riipu keskuspalvelimesta; Sen sijaan kehitimme mallin, joka jäljittelee tyypillistä yksityistä kokousta, jossa jokainen käyttäjä tunnistaa muut osallistujat itselleen."
↑ Epävirallinen viestintä . Haettu 10. marraskuuta 2013. Arkistoitu alkuperäisestä 17. elokuuta 2014. (määrätön)
↑ OTR:ää tukevat kirjastot . Haettu 10. marraskuuta 2013. Arkistoitu alkuperäisestä 10. marraskuuta 2013. (määrätön)
↑ https://otr.cypherpunks.ca/software.php Arkistoitu 10. marraskuuta 2013 Wayback Machine -pikaviestintäasiakkaille, jotka tukevat off-the-Record Messaging -toimintoa "pakkauksesta"
↑ Hanki OTR toimimaan bitlbeen kanssa . Haettu 10. marraskuuta 2013. Arkistoitu alkuperäisestä 20. marraskuuta 2013. (määrätön)
↑ OTR-laajennus . Haettu 6. syyskuuta 2017. Arkistoitu alkuperäisestä 13. kesäkuuta 2019. (määrätön)
↑ Psi+ tilannekuvat
↑ OTR-laajennus . Haettu 23. huhtikuuta 2014. Arkistoitu alkuperäisestä 11. tammikuuta 2016. (määrätön)
↑ Lyhyt kuvaus . Haettu 23. huhtikuuta 2014. Arkistoitu alkuperäisestä 24. huhtikuuta 2014. (määrätön)
↑ Lähdekoodi Arkistoitu 17. toukokuuta 2014.
↑ Kuten virallisella verkkosivustolla on kuvattu. Arkistoitu 9. huhtikuuta 2022 Wayback Machinessa
↑ Virallinen OTR-laajennus Gajimille (downlink) . Haettu 6. syyskuuta 2017. Arkistoitu alkuperäisestä 6. syyskuuta 2017. (määrätön)
↑ OTR-laajennus Wikissä . Haettu 6. syyskuuta 2017. Arkistoitu alkuperäisestä 6. syyskuuta 2017. (määrätön)
↑ Irssi-otr ja xchat-otr kotisivu . Haettu 10. marraskuuta 2013. Arkistoitu alkuperäisestä 10. marraskuuta 2013. (määrätön)
↑ OTR-laajennus Miranda IM :lle Arkistoitu 13. toukokuuta 2007.
↑ Lisälaajennukset Vacuum-IM-projektiin . Haettu 24. lokakuuta 2010. Arkistoitu alkuperäisestä 23. toukokuuta 2011. (määrätön)
↑ Tkabber OTR -laajennus arkistoitu 11. maaliskuuta 2014.
↑ OTR localhost AIM-välityspalvelin . Haettu 10. marraskuuta 2013. Arkistoitu alkuperäisestä 12. huhtikuuta 2018. (määrätön)

Kirjallisuus

Borisov N., Goldberg I., Brewer E. Poikkeuksellinen viestintä, tai miksi ei PGP:tä (englanniksi) // Proceedings of the 2004 ACM Workshop on Privacy in the electronic Society. - 2004. - s. 77-84 . — ISBN 1-58113-968-3 . - doi : 10.1145/1029179.1029200 .
Di Raimondo, Mario ja Gennaro, Rosario ja Krawczyk, Hugo. Secure off-the-record messaging // Proceedings of 2005 ACM Workshop on Privacy in the electronic Society. - 2005. - s. 81-89 . — ISBN 1-59593-228-3 . - doi : 10.1145/1102199.1102216 .
Alexander, Chris ja Goldberg, Ian. Parannettu käyttäjien todennus epävirallisessa viestinnässä // Proceedings of the 2007 ACM Workshop on Privacy in electronic social. - 2007. - s. 41-47 . — ISBN 1-58113-968-3 . - doi : 10.1145/1029179.1029200 .
Stedman, Ryan ja Yoshida, Kayo ja Goldberg, Ian. Käyttäjätutkimus off-the-record-viestinnästä // Proceedings of the 4th symposium on Usable privacy and security. - 2008. - S. 95-104 . — ISBN 978-1-60558-276-4 . - doi : 10.1145/1408664.1408678 .
Bian, Jiang ja Seker, Remzi ja Topaloglu, Umit. Off-the-Record pikaviestintä ryhmäkeskusteluun // Tietojen uudelleenkäyttö ja integrointi, 2007. IRI 2007. Kansainvälinen IEEE-konferenssi. - 2007. - s. 79-84 . — ISBN 1-4244-1500-4 . - doi : 10.1109/IRI.2007.4296601 . Arkistoitu alkuperäisestä 22. lokakuuta 2013.

Bian, Jiang ja Seker, Remzi. Poikkeuksellinen suojattu chat-huone julkisten pikaviestipalvelujen kautta // Masters Abstracts International. - 2007. - s. 46 . (linkki ei saatavilla)
Goldberg, Ian ja Ustaoğlu, Berkant ja Van Gundy, Matthew D ja Chen, Hao. Monen osapuolen epävirallinen viestintä // Proceedings of the 16th ACM Conference on Computer and Communications Security. - 2009. - s. 358-368 . - ISBN 978-1-60558-894-0 . - doi : 10.1145/1653662.1653705 .
Joseph Bonneau, Andrew Morrison. OTR-version 2 äärellisen tilan suojausanalyysi . - 2006. - doi : 10.1.1.165.7945 .

Linkit

Virallinen OTR-sivu
Off-the-Record Messaging Protocol versio 2 . Haettu 10. marraskuuta 2013.
Off-the-Record Messaging Protocol versio 3 . Haettu 10. marraskuuta 2013.
OTR -kiellon yksinkertaistaminen . Haettu: 28.11.2013.
OTR-esitysdiat CodeConissa vuonna 2006
OTR-esitysdiat WPES:ssä vuonna 2004
Off-The-Record-viestit osoitteessa www.cypherpunks.ru