來自電子前線基金會的計畫
下載位置:
電腦需求:網際網路連線,運行 Windows XP 或更高版本的電腦,以及 XMPP
(Jabber) 帳戶。(如果您需要 XMPP 帳戶進行練習,請前往 https://xmpp.net/directory.php,獲取免費伺服器列表以及有關如何註冊的說明)
本指引中使用的版本:Windows 7 Ultimate;Pidgin 2.10.9;pidgin-otr 4.0.0-1
授權:自由軟體;各種自由軟體授權
其他閱讀資訊:https://pidgin.im/cgi-bin/mailman/listinfo/support
級別:初學者
所需時間:20 分鐘
什麼是 OTR?Anchor link
OTR (不記錄) 是一種協定,讓人可以使用他們已經熟悉的通訊工具進行機密交談。OTR 藉由以下方式提供安全性:
- 加密您的交談
- 提供方法來確保您的交談對象確為其人
- 不允許伺服器記錄或以其他方式存取您的對話
這個協定跟 Google 的「Off the record」不同,後者只能停用聊天記錄,並沒有加密或驗證能力。雖然在 Microsoft Windows 上有幾種使用 OTR 的方法,但是我們發現最為一致且易於使用的工具是使用 pidgin-otr 外掛程式的 Pidgin 交談用戶端。
Windows PC 即時通訊用戶端 Pidgin 預設會自動記錄對話,但您可以禁用此功能。不過,即使您自己停用了記錄功能,您也無法控制交談對象 - 他可能正在記錄或擷取交談的擷圖。
為什麼要使用 Pidgin + OTR?Anchor link
您在 Google 或 Facebook 網站上使用 Google Hangouts 或 Facebook 進行聊天對話時,使用 HTTPS 對該聊天進行加密,這表示您的交談內容在傳輸過程中不受駭客和其他第三方的侵害。然而,這無法防堵 Google 或 Facebook,他們有您談話的金鑰,可以交給當局或將其用於行銷。
安裝 Pidgin 之後,您可以同時使用多個帳戶登錄。例如,您可以同時使用 Google Hangouts、Facebook 和 XMPP。Pidgin 還可讓您在沒有 OTR 的情況下使用這些工具進行聊天。由於 OTR 只在兩個人都使用的情況下才起作用,這表示即使對方沒有安裝 OTR,也可以使用 Pidgin 與他們聊天。
Pidgin 還可讓您執行頻外驗證,確保您正在與您所認為的人交談,而且沒有受到攔截式攻擊。對於每個對話,有一個選項可顯示您的金鑰指紋給您和您的交談對象。「金鑰指紋」是一串像是「342e 2309 bd20 0912 ff10 6c63 2192 1928」這樣的一連串字元,可以用於驗證長度較長的公開金鑰。藉由另一個通訊管道 (如 Twitter 私人訊息 (DM) 或電子郵件) 交換您的指紋,以確保沒有人干擾您的交談。
限制:我何時不該使用 Pidgin + OTR?Anchor link
技術專家有一個術語來描述一個程式或技術何時可能容易受到外部攻擊:他們會說,它有一個很大的「攻擊面」(attack surface)。Pidgin 的攻擊面很大。這是一個複雜的程式,撰寫時沒有把安全視為首要條件。它幾乎肯定有漏洞,其中一些漏洞可能被政府甚至大公司用來入侵使用它的電腦。使用 Pidgin 加密您的談話,對於用來監視每個人在網際網路對話的那種無特定目標灑網式監視來說,是一種很好的防禦措施,但是如果您認為自己將成為資源充沛的攻擊者 (例如一個民族國家) 的目標,應該考慮強度更高的防禦措施,例如 PGP 加密的電子郵件。
取得 Pidgin Anchor link
您可以從 Pidgin 下載頁面下載安裝程式,取得 Windows 版 Pidgin。
按一下紫色的下載 (DOWNLOAD) 分頁。不要按「立即下載」(Download Now) 按鈕,因為您要選擇其他安裝程式檔案。您會前往下載頁面。
不要按「立即下載」(Download Now) 按鈕,因為我們要選擇其他安裝程式檔案。Pidgin 的預設安裝程式很小,因為它不包含所有資訊,並為您下載檔案。這有時會失敗,所以「離線安裝程式」(offline installer) 會帶來更好的體驗,其中包含所有必要的安裝資料。按一下「離線安裝程式」(offline installer) 連結。您將被帶到一個名為「Sourceforge」的新頁面,幾秒鐘後,會有一個小彈出視窗,詢問您是否要儲存一個檔案。
請注意,雖然 Pidgin 的下載頁面使用「HTTPS」,相對地較不易遭到篡改,它帶您前往下載 Windows 版本 Pidgin 的網站目前是 Sourceforge,它使用未加密的「HTTP」,因此不提供任何保護。這表示您下載的軟體在下載之前可能會遭到篡改。
這種風險大部分來自可以存取當地網際網路基礎設施、試圖針對您個人進行監控的人 (例如惡意的熱點提供商),或者計畫向許多使用者散布受到破壞的軟體的國家或政府級人士。HTTPS Everywhere 擴充功能可以將 Sourceforge 下載 URL 改為 HTTPS,因此建議您在下載任何軟體之前,先安裝 HTTPS Everywhere。此外,根據我們的經驗,Sourceforge 的下載頁面經常有許多令人混淆的全頁廣告,這可能會誘騙使用者安裝他們不想要的東西。您可以在安裝任何軟體之前先安裝廣告攔截程式,以防堵這些令人混淆的廣告。從不受保護的網站下載檔案前,請記得想想您的威脅模型。
許多瀏覽器會要求您確認是否要下載此檔案。Internet Explorer 11 會在瀏覽器視窗底部顯示一個帶有橘色邊框的欄。
對於任何瀏覽器,最好在繼續之前先儲存檔案,所以按一下「儲存」(Save) 按鈕。預設情況下,大多數瀏覽器將下載的檔案存放在 Downloads 檔案夾。
取得 OTR Anchor link
您可以從 OTR 下載頁面下載安裝程式,取得 Pidgin 的 OTR 外掛程式 pidgin-otr。
按一下「下載」(Downloads) 分頁,進入頁面的「下載」(Downloads) 部分。按一下「pidgin Win32 安裝程式」(Win32 installer for pidgin) 連結。
許多瀏覽器會要求您確認是否要下載此檔案。Internet Explorer 11 會在瀏覽器視窗底部顯示一個帶有橘色邊框的欄。
對於任何瀏覽器,最好在繼續之前先儲存檔案,所以按一下「儲存」(Save) 按鈕。預設情況下,大多數瀏覽器將下載的檔案存放在 Downloads 檔案夾。
下載 Pidgin 和 pidgin-otr 之後,您應該在下載 (Downloads) 檔案夾中有兩個新檔案:
安裝 Pidgin Anchor link
開著 Windows 檔案總管視窗,並點兩下 pidgin-2.10.9-offline.exe。(在這個單元中使用的檔案名稱可能不一定與您在自己的電腦上看到的一致。)系統會詢問您是否要允許安裝這個程式。按一下「是」(Yes) 按鈕。
畫面上將打開一個小視窗,要求您選擇一種語言。按一下「確定」(OK) 按鈕。
畫面上將打開一個視窗,讓您快速瀏覽安裝流程。按一下「下一步」(Next) 按鈕。
現在您會看到授權概述。按一下「下一步」(Next) 按鈕。
現在您會看到安裝了哪些元件。不要更改設定。按一下「下一步」(Next) 按鈕。
現在您會看到 Pidgin 將安裝在哪裡。不要更改這些資訊。按一下「下一步」(Next) 按鈕。
現在,您將看到一個捲動文字的視窗,直到它顯示「安裝完成」(Installation Complete)。按一下「下一步」(Next) 按鈕。
最後,您會看到 Pidgin 安裝程式的最後一個視窗。按一下「完成」(Finish) 按鈕。
安裝 pidgin-otr Anchor link
回到 Windows 檔案總管視窗,打開並點兩下 pidgin-otr-4.0.0-1.exe。系統會詢問您是否要允許安裝這個程式。按一下「是」(Yes) 按鈕。
畫面上將打開一個視窗,讓您快速瀏覽安裝流程。按一下「下一步」(Next) 按鈕。
現在您會看到授權概述。按一下「我同意」(I Agree) 按鈕。
您會看到 pidgin-otr 將安裝在哪裡。不要更改這些資訊。按一下「安裝」(Install) 按鈕。
最後,您會看到 pidgin-otr 安裝程式的最後一個視窗。按一下「完成」(Finish) 按鈕。
新增帳戶 Anchor link
Pidgin 第一次啟動時,您會看到這個歡迎視窗,讓您可以加入一個帳戶。由於您還沒有設定帳戶,請按一下「新增」(Add) 按鈕。
現在您會看到「新增帳戶」(Add Account) 視窗。Pidgin 能夠與許多交談系統共同運作,但我們將著重介紹 XMPP,以前稱為 Jabber。
在協定 (Protocol) 條目,選取「XMPP」選項。
在使用者名稱 (Username) 輸入處,輸入您的 XMPP 使用者名稱。
在網域 (Domain) 輸入處,輸入您的 XMPP 帳戶的網域。
在密碼 (Password) 輸入處,輸入您的 XMPP 密碼。
將「記住密碼」(Remember password) 條目旁的核取方塊勾選起來,將讓您更容易存取帳戶。請注意,按一下「記住密碼」(Remember password) 會將您的密碼保存在電腦上,讓有機會使用您電腦的人存取。如果有這個問題,請不要勾選此方塊。每次啟動 Pidgin 時,您都需要輸入您的 XMPP 帳戶密碼。
新增好友 Anchor link
現在您可能會想新增交談對象。按一下「好友」(Buddies) 功能表,然後選擇「新增好友」(Add Buddy)。「新增好友」(Add Buddy) 視窗將打開。
在「新增好友」(Add Buddy) 視窗中,您可以輸入想要交談對象的使用者名稱。這個使用者不一定要來自同一部伺服器,但必須使用相同的協定,如 XMPP。
在「好友的使用者名稱」(Buddy's username) 條目中,輸入您的好友具有網域名稱的使用者名稱。看起來會像一個電子郵件位址。
在「(選用) 別名」((Optional) Alias) 條目中,可以輸入您為好友選擇的名稱。這完全是選擇性的,但是如果您的聊天對象的 XMPP 帳戶很難記住,這可能會有所幫助。
按一下「新增」(Add) 按鈕。
一旦您按了「新增」(Add) 按鈕,Boris 會收到一則訊息,詢問他是否授權您新增他為好友。一旦 Boris 這麼做,他就會新增您的帳戶,而您也會收到同樣的要求。按一下「授權」(Authorize) 按鈕。
設定 OTR 外掛程式 Anchor link
現在您將設定 OTR 外掛程式,以便您可以安全地進行交談。按一下「工具」(Tools) 功能表並選取「外掛程式」(Plugins) 選項。
向下捲動到「不記錄通訊」(Off-the-Record Messaging) 選項,並選取該方塊。按一下「不記錄通訊」(Off-the-Record Messaging) 條目,並按一下「設定外掛程式」(Configure Plugin) 按鈕。
現在您將看到「不記錄通訊」(Off-the-Record Messaging) 設定視窗。注意上面寫著「找不到金鑰」(No key present)。按一下「產生」(Generate) 按鈕。
現在畫面上會打開一個小視窗,並產生一個金鑰。完成後,按一下「確定」(OK) 按鈕。
您將看到新的資訊:40 個字元的文字字串,分成 5 組,每組 8 個字元。這就是您的 OTR 指紋。按一下「關閉」(Close) 按鈕。
現在按一下外掛程式視窗上的「關閉」(Close) 按鈕。
安全交談 Anchor link
您現在可以和 Boris 交談了。你們兩個可以來回發送訊息。但是,我們仍然沒有安全地交談。即使您連線到 XMPP 伺服器,您與 Boris 之間的連線仍可能不安全。如果您查看交談視窗,請注意右下角顯示「非私人交談」(Not private) 的紅色字樣。按一下「非私人交談」(Not private) 按鈕。
功能表將打開;選取「驗證好友」(Authenticate buddy)。
畫面上會打開一個視窗。您會被詢問:「您想如何認證您的朋友?」(How would you like to authenticate your buddy?)
下拉式功能表有三個選項:
共用祕密 Anchor link
共用祕密是您與交談對象已經事前同意使用的一行文字。您應該親自共用這一行文字,絕不要藉由電子郵件或 Skype 等不安全管道交換這些資訊。
您和您的好友需要一起輸入這行文字。按一下「身分驗證」(Authenticate) 按鈕。
如果您和您的朋友已經安日後交談,但尚未在您使用的電腦上建立 OTR 指紋,共用祕密驗證將非常有用。這只適用於你們兩個都使用 Pidgin 的情況。
手動指紋驗證 Anchor link
如果您已經取得好友的指紋,現在使用 Pidgin 連線,手動指紋驗證會很管用。如果您的好友換了電腦,或者必須建立新的指紋,這將不會有用。
如果您的指紋和畫面上的指紋相符,請選擇「我有」(I have),然後按一下「身分驗證」(Authenticate) 按鈕。
問題和答案 Anchor link
如果您知道您的好友,,但沒有建立共用祕密,也沒有機會分享指紋,問題和答案驗證會很有用。這個方法對於以您所知道的事物為基礎來建立驗證是很有用的,比如共同經歷的事件或者記憶。這只適用於你們兩個都使用 Pidgin 的情況。
輸入您想問的問題。不要太簡單,讓別人很容易猜到,但也不要讓它不可能答對。一個好問題會像是「我們在明尼亞波利斯的哪裡吃晚餐?」一個不好的問題會像是「東京買得到蘋果嗎?」
答案必須完全相符;因此在選擇問題的答案時,請記住這一點。大小寫也有差別,所以您可以考慮在後面用括弧加註 (例如:使用大寫字母、小寫字母)。
輸入問題和答案,然後按一下「身分驗證」(Authenticate) 按鈕。
您好友的畫面將會打開一個視窗,顯示必須回答的問題。他們將必須回答並按一下「身分驗證」(Authenticate) 按鈕。然後,他們會收到一則訊息,通知他們身分驗證是否成功。
一旦您的好友完成了認證程序,您將會看到一個視窗,讓您知道認證成功。
您的好友還應該驗證您的帳戶,以便雙方確認通訊是安全的。這就是 Akiko 和 Boris 畫面的樣子。注意聊天視窗右下角的綠色「私人」(Private) 圖示。
使用其他軟體 Anchor link
身分驗證機制應該能夠在 Jitsi、Pidgin、Adium 和 Kopete 等不同的交談軟體之間運作。您不需要使用相同的交談軟體,藉由 XMPP 和 OTR 進行交談,但有時軟體會出錯。Adium 是 OS X 的一款交談軟體,在接收問題和答案驗證時會發生錯誤。如果您在使用問題和答案驗證時,發現驗證他人失敗,請檢查他們是否正在使用 Adium 並看是否可以使用其他驗證方法。