Chat

Jabber e’ una rete per la chat. Non ha niente in meno della chat di gmail, di quella di facebook, di skype, di MSN. Puoi usarla sia con un programma, Pidgin, sia da un normale browser.

La cosa piu’ importante e’ che se hai un account Autistici/Inventati, o un account Riseup, hai gia’ un account Jabber. Anche se non lo sapevi.

Perche’ chattare con Jabber

Se usi jabber con il tuo account A/I, o Riseup:

Sicuri per davvero: OTR

Abbiamo detto che SSL e’ piuttosto sicuro, ma non e’ perfetto; sono possibili attacchi (non banali, ma piu’ che fattibili per un avversario medio) contro questo livello di sicurezza. Inoltre, anche se A/I e Riseup sono collettivi affidabili, in generale e’ sempre meglio “non fidarsi di nessuno”, quando si puo’.

OTR e’ un metodo per ottenere:

Perche’ dovresti usare OTR, se gia’ SSL va bene? Perche’ SSL autentica te con il server (ovvero con autistici), invece OTR autentica te con il tuo amico. Inoltre l’autenticazione con il server e’ fatta in un modo molto piu’ debole di quella tra te e il tuo amico; il motivo intuitivo e’ semplice: conosci il tuo amico, lo incontri anche “nella realta’”, ecc. mentre questo non e’ vero per un server.

Configurazione

Account

Per tutti gli utenti di A/I e di Riseup, Jabber è attivo automaticamente, quindi non è necessario che voi ne richiediate l’attivazione.

Configura Jabber con un account A/I

Configura Jabber con un account Riseup

Utilizzo

Iniziare una conversazione otr

Basta cliccare sul pulsante “non privata” per avviare una sessione privata

La scritta dovrebbe a questo punto diventare “non verificata”.

Verifica

A che serve?

La verifica e’ fondamentale: senza di essa, la sicurezza raggiunta non e’ particolarmente migliore di quella senza otr. E’ necessario quindi svolgerla con attenzione e senza superficialita’.

Come farla

I metodi che ci sembrano piu’ pratici sono il “segreto condiviso” (shared secret) e la verifica manuale del fingerprint.
Si noti che non tutti i software supportano il segreto condiviso (pidgin e jitsi lo supportano, adium no), mentre tutti i i software che includono otr hanno la verifica tramite fingerprint.

Cliccare su “non verificata”, quindi su “autentica contatto”

Da qui seguire le istruzioni di uno dei metodi seguenti, a propria scelta.

Segreto condiviso

Se ci si puo’ incontrare di persona prima della chat, scambiarsi un piccolo segreto: e’ sufficiente una parola anche non difficilissima, ma e’ importante che sia scambiata in modo segreto. Ad esempio va bene dirsela all’orecchio, ma non va bene dirsela al telefono

A quel punto scegliere il metodo “shared secret” e digitare il segreto. Se le due parti hanno scritto la stessa cosa, apparira’ un messaggio di successo e la conversazione diventera’ Private. Altrimenti apparira’ un messaggio di errore; questo potrebbe essere un errore genuino o un tentativo di intercettazione. Valutate voi se ritentare o meno, ma non abusatene: un alto numero di tentativi significa anche un alta probabilita’ di successo per l’attaccante!

Fingerprint

Questo metodo sembra piu’ difficile ma ha dei vantaggi: il fingerprint e’ un “identificativo” ed e’ pubblico. E’ quindi assolutamente lecito dettarselo al telefono senza alcuna riservatezza. E’ pero’ importante “autenticare” chi lo detta, ad esempio dal tono di voce. Un SMS dunque non e’ adatto.

Un altro vantaggio e’ che non serve alcun contatto “preventivo”; un caso tipico e’ che all’inizio di una chat ci si chiami al telefono, si chiacchieri un po’ per riconoscere la persona all’altro capo e poi ognuno detti il proprio fingerprint, verificando attentamente quello altrui.

Verificare tramite un GPG gia’ verificato

Questo non e’ veramente un metodo, ma un espediente in piu’ per semplificare i metodi gia’ mostrati.
Il presupposto e’ che le 2 persone abbiano gia’ verificato in modo sicuro le reciproche chiavi gpg.

In questo caso ogni parte puo’ inviare una mail firmata (non necessariamente cifrata, ma firmata si’!) contenente il proprio fingerprint all’altro.
Quando si riceve una mail, si deve verificare:
1. se la mail e’ firmata correttamente
2. se il fingerprint contenuto corrisponde con quello mostrato nel pannello di autenticazione.