Dit artikel verscheen eerder bij decorrespondent.nlOff-the-Record (OTR) is een versleutelingsprotocol. Het beschermt tegen afluisteren op een manier die met commerciële apps als Skype, WhatsApp en MSN niet mogelijk is. Het is de combinatie van drie functies die andere chat-apps ontberen die dit protocol zo sterk maakt.
- OTR versleutelt je berichten van begin tot eind, niemand op de lijn kan meelezen.
- OTR laat je je gesprekspartner authenticeren, zodat je zeker weet dat je tegen de juiste persoon praat.
- En OTR voorziet in Perfect Forward Secrecy (PFS). Vooral die laatste feature maakt OTR erg krachtig. Hij zorgt ervoor dat elke chatsessie versleuteld wordt met een eenmalige en tijdelijke sleutel. Mocht je laptop onverhoopt gestolen worden, dan zijn voorgaande en toekomstige chatsessies daardoor niet te ontcijferen.
OTR is al tijden een favoriet in de wereld van cryptografie. Maar sinds journalisten Jacob Appelbaum en Laura Poitras tijdens het hackerscongres 31C3 in Hamburg documenten presenteerden waaruit bleek dat OTR niet te kraken is, weten we dat het écht een heel veilige methode van communiceren is. De NSA kenmerkt Facebookchat en Skype als ‘simpel’ om te kraken, terwijl OTR te boek staat als ‘zeer problematisch.’ In dit artikel bespreek ik de voor- en nadelen van het protocol, en hoe je er zelf mee aan de slag kunt gaan om de communicatie met je geliefden te beveiligen.
It takes two to crypto
OTR kan in vele verschillende programma’s worden gebruikt, met je bestaande account bij een dienst als AOL, MSN, Google Talk, Yahoo en zelfs met ICQ. Het werkt op je laptop, je smartphone en op je tablet.
Van de verschillende vormen van encryptie die er voor gebruikers zijn is OTR een van de makkelijkste om te leren.Maar veilig chatten doe je niet alleen. Dus dit is het moment om je huisgenoot, kleindochter of overbuurman erbij te halen en samen even te gaan zitten om jullie eerste, écht veilige, digitale chatkanaal op te zetten. Zoals met veel encryptietools geldt ook hier: je moet er wel even voor gaan zitten. OTR is makkelijk, maar het gaat niet vanzelf.
Om OTR te gebruiken moeten jullie beiden een chatprogramma installeren op je computer of smartphone. Als je een Windowscomputer hebt of Linux gebruikt, dan kun je het chatprogramma Pidgin downloaden. Voor de Mac is Adium het beste programma. Op de telefoon of tablet is ChatSecure van The Guardian Project de beste keuze. Al deze programma’s zijn gratis en open source. Het maakt bovendien niet uit of je allebei een ander programma kiest.
Al deze apps worden door kleine teams gebouwd en onderhouden, en kunnen wat ruw aanvoelen, dat wil zeggen minder gebruikersvriendelijk dan je van commerciële programma’s gewend bent, maar ze worden allemaal actief onderhouden en er is veel documentatie online te vinden als je een vraag hebt.
Adium en ChatSecure komen met OTR ingebouwd, voor Pidgin moet je een extra plugin installeren. Net zoals moderne browsers als Chrome en Firefox staat Pidgin je automatisch toe de functionaliteit van het programma uit te breiden met plugins. De plugin die je nodig hebt voor OTR in Pidgin kun je downloaden via de Cypherpunkswebsite.
Voor het gemak gaan we ervan uit dat je een MSN-account hebt dat je kunt gebruiken. Als je met dit account inlogt via Adium, Pidgin of ChatSecure kun je voortaan direct vanuit deze app met al je MSN-vrienden chatten. Maar versleuteld chatten kan alleen met die vrienden die, net als jij, een chatprogramma gebruiken dat OTR ondersteunt. Als je aan de slag wilt met OTR, maar je vrienden gebruiken het nog niet, stuur ze dan vooral een link naar dit artikel (en anders ook).
Going dark
Als de andere kant van de lijn ook klaar is voor een versleutelde chat kunnen we nu beginnen met het activeren van OTR. In elk programma is het net even anders, maar versleuteling wordt vaak, toepasselijkerwijs, gesymboliseerd met een slotje. Zoek het slotje en klik erop.
De eerste keer dat je dit doet worden je key en unieke fingerprint gegenereerd. De key is bedoeld om je berichten mee te versleutelen, en verandert als gezegd met elke sessie. Je fingerprint blijft dezelfde; deze functie kunnen je contacten gebruiken om te verifiëren dat jij echt jij bent.
Zelf heb ik mijn fingerprint
op m’n visitekaartje geprint zodat iemand die met mij wil chatten zelf kan controleren of ze de juiste Douwe Schmidt te pakken hebben (en niet mijn evil tweelingbroer). Als beide partijen de fingerprint gecontroleerd hebben, kun je veilig chatten.OTR wordt actief ontwikkeld door een groep vrijwilligers. Zij werken momenteel aan een nieuwe versie van OTR waarmee ook groepen veilig met elkaar kunnen chatten. Daarnaast werken ze nog aan een manier om elkaar berichten te versturen als de ontvanger offline is, zoals bij WhatsApp bijvoorbeeld kan.
En deze twee functies zijn meteen ook inderdaad precies wat er nu nog aan mist. Pas als deze functionaliteit aan OTR is toegevoegd zal het in het dagelijks gebruik een alternatief voor bijvoorbeeld WhatsApp kunnen zijn.
Maar voorlopig is het al een heel goed gevoel dat nu, ondanks dat je via MSN chat en je data dus via de servers van Microsoft worden verstuurd, je berichten nooit door hen, de overheid en zelfs niet door de NSA te lezen zullen zijn.