Nå har jeg gått over fra å bruke PSI + GnuPG til Pidgin og Off-the-Record Messaging (OTR). Det finnes ett eksperimentelt OTR-tillegg for PSI, men det krever at man patcher PSI eller bruker den noe ustabile utviklerutgaven. Og PSI støtter ikke SOCKS5 (full proxy støtte), noe som dreper fordelene ved å bruke OTR fremfor mer tradisjonell kryptering med ett offentlig/privat nøkkelpar. Det finnes også ett OTR-tillegg for Kopete, men Kopete har litt for mye dilldall for min smak.

Så hva i alle dager er OTR, og hvorfor bør jeg bruke det?

Alle instant messageing (bruker til bruker-meldinger) protokollene som er vanlige i dag (MSN, ICQ, Jabber, AOL IM, Yahoo IM, etc) overfører det du skriver i klartekst. Mange mennesker har tilgang til det du skriver; hvis du sitter på jobben kan f.eks IT-avdelingen (dvs sjefen om hun ber om det) følge med på hva du skriver på MSN. Ansatte hos den kronisk kriminelle bedriften Microsoft har selvfølgelig full tilgang. De som bruker Internett-knutepunkt rundt om i verden kan se alt du skriver. Og så videre.

Derfor er det alltid lurt å bruke kryptering. Det enkle spørsmålet er: Foretrekker du å sende lukkede brev eller postkort?

GnuPG er en gammel standard og helt ypperlig standard for å sende kryptert e-post (e-post i lukkede konvolutter). Krypteringssystemet kan også brukes til IM over MSN, ICQ, etc. med en god del IM-programmer som f.eks PSI. Men GnuPG har noen ulemper.

OTR er en krypteringsstandard kun for IM som har minst én veldig stor fordel over GnuPG: perfekt fremtidig sikkerhet.

GnuPG fungerer slik: Du lager ett nøkkelsett med en privat og en offentlig krypteringsnøkkel. Disse er basert på samme matte. Det er mulig å faktorisere den offentlige nøkkelen og dermed komme frem til den private. Sikkerheten ligger i at det krever lattelig mye datakraft å gjøre det, og i praksis er det bare å glemme det med mindre du har tilgang til vanvittige mengder datakraft og er villig til å bruke mange, mange år.

GnuPG’s sikkerhetsmodell fungerer ypperlig til å sende kryptert e-post, men GnuPG har en klar ulempe som OTR ikke har: Hvis noen bryter seg inn hos deg og stjeler den private nøkkelen din og knekker passordet (noe som er litt for lett om man først har den private nøkkelen) eller torturerer deg til å fortelle passordet så kan de i ettertid åpne alt som er kryptert til den nøkkelen.

Det er her OTR skiller seg fra alt annet: Med OTR avtaler din IM-klient og IM-klienten til den du snakker med en tilfeldig nøkkel som brukes under en samtale. Etterpå kaster begge ender denne engangs-nøkkelen ut vinduet. Det betyr at din ektemann ikke har mulighet til å finne ut hva du snakket med din elsker om selv om han har dumpet datatrafikken til og fra din PC og naturligvis har full tilgang til datamaskinen du bruker mens han er på forretningsreise.

OTR er en åpen standard. v2 av protokollen er ganske detaljert beskrevet på http://www.cypherpunks.ca/otr/Protocol-v2-3.1.0.html og er ganske interessant lesning - om du sånn “programmer” og “kick ass hacker” som jeg tydeligvis er, da (Techspot’s beskrivelse, ikke min - ikke at jeg har noe imot den beskrivelsen, det er jo smigrende..).

OTR kan trygt kombineres med trafikkanalysesikre kommunikasjonsløsninger som f.eks Tor (jeg holder kun kurs i trafikkanalysesikker kommunikasjon for svenskeide bedrifter, men jeg kan godt svare på veldig generelle spørsmål).

Velg OTR du også!

Følgende programvare støtter OTR, enten direkte eller ved hjelp av lett tilgjengelige tillegg:

• Pidgin og OTR-tillegget fungerer ypperlig på GNU/Linux og Windows.
• l33t hax0r GNU/Linux brukree kan også godkose litt med kildekoden og bruke GNU/Linux av PSI til OTR.
• Adium X, som jeg har hørt mye bra om fra Mac OS X brukere, støtter også OTR.
• Kopete (KDE, Gnu/Linux)
• Miranda IM program kun for Windows.

Alle IM-programmene som er listet over støtter minimum ICQ, MSN, Yahoo, AIM & Jabber, og alle er fri programvare.

IM-programmet Trillian, som finnes for Windows og Mac OS X, støtter også OTR, men det er ingen god grunn til å velge det programmet. Trillian er nemlig ikke fri programvare. Det distribueres under en meget restriktiv lisens som sier at din kopi av Trillian, som er installert på din datamaskin, ikke er din eiendom, det står klart og tydelig at det er Cerulean Studios, LLC sin eiendom og du må være en glad og fornøyd slave som godtar at du ikke engang får lov å vite hva programmet, som er installert på din datamaskin, gjør. Den eneste grunnen til at jeg idetheletatt nevner Trillian er at det kun kjører på restriktive propietære operativsystem som distribueres under enda mer tyranniske og restriktive lisenser og de som allerede har valgt å sette seg i en posisjon der ett programvarehus har absolutt makt over dem vanligvis foretrekker å underkaste seg tyrrani.

OTR er lurt. Og det er enkelt å ta i bruk. Gjør det! Igjen: Foretrekker du brev eller postkort?