如何:在 Mac 上使用 OTR

Adium 是一款免費的開源 OS X 即時通訊用戶端,可讓您在多種交談協定上跟他人交談,包括 Google Hangouts、Yahoo! Messenger、Windows Live Messenger、AIM、ICQ 和 XMPP

OTR (不記錄) 是一種協定,讓人可以使用他們已經熟悉的通訊工具進行機密交談。這個協定跟 Google 的「Off the record」不同,後者只能停用聊天記錄,並沒有加密或驗證能力。對於 Mac 使用者,OTR 是 Adium 用戶端的內建功能。

OTR 採用端對端加密。這表示您可以用它藉由 Google Hangouts 等服務進行交談,而這些公司無法存取對話內容。但是,服務提供者可以看到您正在進行交談。

為什麼要使用 Adium + OTR?Anchor link

您在 Google 網站上使用 Google Hangouts 進行聊天對話時,使用 HTTPS 對該聊天進行加密,這表示您的交談內容在傳輸過程中不受駭客和其他第三方的侵害。然而,這無法防堵 Google,他們有您談話的金鑰,可以交給當局或將其用於行銷。

安裝 Adium 之後,您可以同時使用多個帳戶登錄。例如,您可以同時使用 Google Hangouts 和 XMPP。Adium 還可讓您在沒有 OTR 的情況下使用這些工具進行聊天。由於 OTR 只在兩個人都使用的情況下才起作用,這表示即使對方沒有安裝 OTR,也可以使用 Adium 與他們聊天。

Adium 還可讓您執行頻外驗證,確保您正在與您所認為的人交談,而且沒有受到攔截式攻擊。對於每個對話,有一個選項可顯示您的金鑰指紋給您和您的交談對象。「金鑰指紋」是一串像是「342e 2309 bd20 0912 ff10 6c63 2192 1928」的一連串字元,可以用於驗證長度較長的公開金鑰。藉由另一個通訊管道 (如 Twitter 私人訊息 (DM) 或電子郵件) 交換您的指紋,以確保沒有人干擾您的交談。如果金鑰不相符,則您不能確認是否在與正確的人交談。在現實中,很多人經常使用多個金鑰,或者丟失並且必須重新建立新的金鑰,所以如果偶爾需要與朋友重新核對金鑰,也別感到驚訝。

限制:我何時不該使用 Adium + OTR?Anchor link

技術專家有一個術語來描述一個程式或技術何時可能容易受到外部攻擊:他們會說,它有一個很大的「攻擊面」(attack surface)。Adium 的攻擊面很大。這是一個複雜的程式,撰寫時沒有把安全視為首要條件。它幾乎肯定有漏洞,其中一些漏洞可能被政府甚至大公司用來入侵使用它的電腦。使用 Adium 加密您的談話,對於用來監視每個人在網際網路對話的那種無特定目標灑網式監視來說,是一種很好的防禦措施,但是如果您認為自己將成為資源充沛的攻擊者 (例如一個民族國家) 的目標,應該考慮強度更高的防禦措施,例如 PGP 加密的電子郵件。

在您的 Mac 上安裝 Adium + OTR Anchor link

步驟 1:安裝程式

首先,在瀏覽器中前往 https://adium.im/。選擇「下載 Adium 1.5.9」(Download Adium 1.5.9)。該檔案會以 .dmg 或磁碟映像檔格式下載,並可能存至「下載」檔案夾中。

在檔案上點兩下,會打開一個視窗,如下所示:

將 Adium 圖示移動到「應用程式」檔案夾中以安裝程式。程式安裝完成後,在「應用程式」檔案夾中找到它,然後點兩下將其開啟。

步驟 2:設定您的帳戶

首先,您需要決定要使用 Adium 的交談工具或協定。每種工具的安裝過程類似,但不完全相同。您需要知道每種工具或協定的帳戶名稱,以及每個帳戶的密碼

要建立一個帳戶,請前往畫面頂部的 Adium 功能表,然後依序點擊「Adium」和「偏好設定」(Preferences)。畫面頂部會打開一個視窗與另一個功能表。選擇「帳戶」(Accounts),然後點擊視窗底部的「+」號。您會看到一個功能表如下:

選擇您想要登錄的程式。在這裡,系統會提示您輸入使用者名稱和密碼,或使用 Adium 的授權工具登錄您的帳戶。仔細按照 Adium 的指示。

如何發起 OTR 交談 Anchor link

登錄到一個或多個帳戶後,即可開始使用 OTR。

記得:要使用 OTR 進行對話,雙方都需要使用支援 OTR 的交談程式。

步驟 1:發起 OTR 交談

首先,找出正在使用 OTR 的人,並點兩下他們的名字,在 Adium 中與他們進行對話。一旦打開聊天視窗,左上角就會看到一個小小的開啟鎖頭。點擊鎖頭並選擇「發起加密 OTR 交談」(Initiate Encrypted OTR Chat)。

步驟 2:驗證您的連線

一旦你開始聊天且另一人已經接受了邀請,您會看到鎖頭圖示鎖起來;這時您就知道交談加密了 (恭喜!)- 但是等等,還有一個步驟!

目前您已經發起了未經驗證的加密交談。這表示雖然您的通訊已經加密,您還沒有確定和驗證您聊天對象的身分。除非你們在同個房間,並且能夠看到對方的畫面,否則驗證彼此的身分非常重要。更多資訊,請閱讀金鑰驗證單元。

要使用 Adium 驗證其他使用者的身分,請再點一下鎖頭,然後選擇「驗證」(Verify)。您會看到一個視窗,顯示您和另一個使用者的金鑰。Adium 的某些版本僅支援手動指紋驗證。這表示您和聊天對象需要使用某種方法檢查,以確保 Adium 所顯示的金鑰精確相符。

要做到這一點,最簡單的方法就是把金鑰親自朗讀給另一人聽,但這並不總是辦得到。有幾種方法可以辦到,可信度各有不同。例如,如果您能夠識別彼此的聲音,在電話上將金鑰大聲讀出來,或者使用另一種經過驗證的通訊方式來傳送金鑰,例如 PGP。有些人會在他們的網站、Twitter 帳戶或名片上公開金鑰。

最重要的是您要確認每一個字母和數字都完美相符。

步驟 3:停止記錄

現在您已經發起了加密交談,並驗證了交談對象的身分,還有一件事情需要您做。不幸的是,Adium 預設會記錄您的 OTR 加密聊天,儲存至您的硬碟。這表示雖然您的通訊已經加密,但它們仍以明文形式儲存在硬碟中。

停止記錄,請點一下畫面頂部功能表中的「Adium」,然後點一下「偏好設定」(Preferences)。在新視窗中,選擇「一般」(General),然後停用「記錄訊息」(Log messages) 和「記錄 OTR 保護的交談」(Log OTR-secured chats)。但請記住,即使您自己停用了記錄功能,您也無法控制交談對象 - 他可能正在記錄或擷取交談的擷圖。

你的設定現在看起來應該像這樣:

此外,Adium 顯示新訊息通知時,這些訊息的內容可能會被 OS X 通知中心記錄下來。這表示雖然 Adium 不會在您或通訊對象的電腦上留下任何通訊痕跡,但是您或他們電腦的 OS X 版本可能會留下記錄。為了防止這種情況發生,您可能需要停用通知。

要這麼做,請在「偏好設定」(Preferences) 視窗中選擇「事件」(Events),然後尋找「顯示通知」(Display a notification) 的項目。點一下灰色三角形展開每個項目,然後按一下新顯示的「顯示通知」(Display a notification) 行,然後點一下左下角的減號圖示 (「-」) 以刪除該行。如果您擔心電腦上留下的記錄,還應該打開全機加密,這有助於保護這些資料,不被沒有您密碼的第三方獲得。

上次查閱: 
2017 年 1 月 19 日