Chat¶
Jabber e’ una rete per la chat. Non ha niente in meno della chat di gmail, di quella di facebook, di skype, di MSN. Puoi usarla sia con un programma, Pidgin, sia da un normale browser.
La cosa piu’ importante e’ che se hai un account Autistici/Inventati, o un account Riseup, hai gia’ un account Jabber. Anche se non lo sapevi.
Perche’ chattare con Jabber¶
Se usi jabber con il tuo account A/I, o Riseup:
- nessuno registra quello che ti dici (al contrario, tutti gli altri servizi commerciali memorizzano tutte le conversazioni)
- ti colleghi al server con SSL, quindi utilizzando un discreto livello di sicurezza
Sicuri per davvero: OTR¶
Abbiamo detto che SSL e’ piuttosto sicuro, ma non e’ perfetto; sono possibili attacchi (non banali, ma piu’ che fattibili per un avversario medio) contro questo livello di sicurezza. Inoltre, anche se A/I e Riseup sono collettivi affidabili, in generale e’ sempre meglio “non fidarsi di nessuno”, quando si puo’.
OTR e’ un metodo per ottenere:
- Cifratura: altissima sicurezza: certi che nessuno ci sta intercettando
- Autenticazione: certezza di stare parlando con la persona che crediamo
- Negabilita’: questa e’ un po’ intricata, ma vuol dire che non è possibile dimostrare per una terza parte che i messaggia siano partiti da te, allo stesso tempo però durante una conversazione tu puoi essere sicuro di star parlando con la persona giusta. Si tratta di una questione che riguarda l’utilizzo in tribunale delle chat come prova; in una chat otr, una eventuale intercettazione non e’ valida.
Perche’ dovresti usare OTR, se gia’ SSL va bene? Perche’ SSL autentica te con il server (ovvero con autistici), invece OTR autentica te con il tuo amico. Inoltre l’autenticazione con il server e’ fatta in un modo molto piu’ debole di quella tra te e il tuo amico; il motivo intuitivo e’ semplice: conosci il tuo amico, lo incontri anche “nella realta’”, ecc. mentre questo non e’ vero per un server.
Configurazione¶
Account¶
Per tutti gli utenti di A/I e di Riseup, Jabber è attivo automaticamente, quindi non è necessario che voi ne richiediate l’attivazione.
Configura Jabber con un account A/I¶
Configura Jabber con un account Riseup¶
Utilizzo¶
Iniziare una conversazione otr¶
Basta cliccare sul pulsante “non privata” per avviare una sessione privata
La scritta dovrebbe a questo punto diventare “non verificata”.
Verifica¶
A che serve?¶
La verifica e’ fondamentale: senza di essa, la sicurezza raggiunta non e’ particolarmente migliore di quella senza otr. E’ necessario quindi svolgerla con attenzione e senza superficialita’.
Come farla¶
I metodi che ci sembrano piu’ pratici sono il “segreto condiviso” (shared secret) e la verifica manuale del fingerprint.
Si noti che non tutti i software supportano il segreto condiviso (pidgin e jitsi lo supportano, adium no), mentre tutti i i software che includono otr hanno la verifica tramite fingerprint.
Cliccare su “non verificata”, quindi su “autentica contatto”
Da qui seguire le istruzioni di uno dei metodi seguenti, a propria scelta.
Segreto condiviso¶
Se ci si puo’ incontrare di persona prima della chat, scambiarsi un piccolo segreto: e’ sufficiente una parola anche non difficilissima, ma e’ importante che sia scambiata in modo segreto. Ad esempio va bene dirsela all’orecchio, ma non va bene dirsela al telefono
A quel punto scegliere il metodo “shared secret” e digitare il segreto. Se le due parti hanno scritto la stessa cosa, apparira’ un messaggio di successo e la conversazione diventera’ Private. Altrimenti apparira’ un messaggio di errore; questo potrebbe essere un errore genuino o un tentativo di intercettazione. Valutate voi se ritentare o meno, ma non abusatene: un alto numero di tentativi significa anche un alta probabilita’ di successo per l’attaccante!
Fingerprint¶
Questo metodo sembra piu’ difficile ma ha dei vantaggi: il fingerprint e’ un “identificativo” ed e’ pubblico. E’ quindi assolutamente lecito dettarselo al telefono senza alcuna riservatezza. E’ pero’ importante “autenticare” chi lo detta, ad esempio dal tono di voce. Un SMS dunque non e’ adatto.
Un altro vantaggio e’ che non serve alcun contatto “preventivo”; un caso tipico e’ che all’inizio di una chat ci si chiami al telefono, si chiacchieri un po’ per riconoscere la persona all’altro capo e poi ognuno detti il proprio fingerprint, verificando attentamente quello altrui.
Verificare tramite un GPG gia’ verificato¶
Questo non e’ veramente un metodo, ma un espediente in piu’ per semplificare i metodi gia’ mostrati.
Il presupposto e’ che le 2 persone abbiano gia’ verificato in modo sicuro le reciproche chiavi gpg.
In questo caso ogni parte puo’ inviare una mail firmata (non necessariamente cifrata, ma firmata si’!) contenente il proprio fingerprint all’altro.
Quando si riceve una mail, si deve verificare:
1. se la mail e’ firmata correttamente
2. se il fingerprint contenuto corrisponde con quello mostrato nel pannello di autenticazione.