Off-The-Record

Off-the-record Cifrado para mensajería XMPP.

Off-The-Record Messaging es el método más antiguo para cifrar un chat sobre XMPP, introducido en 2004. La popularidad de OTR sigue siendo fuerte a pesar de su antigüedad y falta de desarrollo reciente. Para evitar posibles ataques de hombre en el medio en los que un extraño se hace pasar por una de las partes en el chat, el protocolo incluye un método para “validar” o “autenticar” con quién estás chateando. Esta validación se basa en compartir una palabra secreta (secret word). La mensajería OTR sigue siendo un método eficaz para proteger la privacidad a través del cifrado.

Es fácil habilitar la mensajería OTR en el cliente Psi-Plus XMPP.

Max comienza una sesión de chat con Joy usando el cliente de chat Coy-IM. Max hace clic en el botón
"Chat seguro".

La acción de Max notifica al cliente de chat Psi-Plus de Joy que necesita generar una clave privada.

Psi-Plus notifica a Joy que se ha generado la clave.

En este punto, si Max y Joy continúan charlando, su comunicación está encriptada. Un simple mensaje de “¿Cómo estás?” se verá así en el servidor:

<message to='curmudgeon-max@e2e.ee' 
       from='curmudgeon-joy@e2e.ee/DESKTOP-GIFB8N1' 
       type='chat'><subject/><body>?OTR:AAMSQDu57ljslpkAAAHS1NRTaZxUvefDCnn8jIJm8ZlPSDWyUut/qK
                                    hKC/Q3sHrvUVOPITo3HdUlie0DVP7as7iK96U1acztsqYGk1V0PjZXh9lW
                                    pQ6v6i9ZLtcFrz2yHwYARkAlxldxsfeIRMP82ZW83asFBXvnp8bYHa8u0h
                                    qaepCCdLIeJPl1v5iPBpdOhwrYBDxc5bWblXDXQ/N/N6YT80xQpS78Ojyz
                                    pBuQH/1EMew45FofivLiPSY2sBlGM13TBNkuUFddbuMhcpCqnUEuVWq4IA
                                    USKZ361NPvXc0eoArT9vlwri0AWoWexWRqMwO2fGcUAZGoHC0HUk5q0/KX
                                    vufFQgBx+XeiXzpMp89cd0igcihMLBSbiT+YjUYO+BHCfVP89fCJfJQcGO
                                    tRP9b4Z9XW8N1Eh/kay2VbUMJpNY4QLUSwtGx1+0YxxkaxCD3T8+R/TU/u
                                    v4i/46ubpYvi++DB08+xunDYWPLqnV3nJ2rxMX5uaspqZun8DoCImOd55D
                                    ZqVo9YBGByQ6zHX68Qe+f8hxFGjVx35lAaEYqEmoietLJAqEB33KLYx5SA
                                    29q/wOMTfKTGa9CtHA3KpG/XQb8qMV5xFJNh2pxifnAMsTFkR0rafvjl+i
                                    XRcpODzMMzNs3PVuxJAO/2Qid8wRjcljcG.</body></message>

Max decide dar un paso adicional para validar que realmente está charlando con Joy. Hace clic en el botón
"Validar canal".

Max recibe un PIN de una sola vez que debe enviar a Joy utilizando algún otro método de comunicación. Entonces, Max llama a Joy por teléfono y le dice que el pin secreto es 941187.

El cliente Psi-Plus solicita el PIN correcto, que ingresa Joy. Lo que Coy-IM llama "para validar" Psi-Plus llama "para autenticarse".

El software de Joy confirma que ha sido autenticada y recomienda que también autentique que está chateando con Max.

Joy decide autenticar la comunicación.

El cliente Psi-Plus XMPP de Joy admite tres formas de autenticación. Puede hacer una pregunta cuya respuesta crea que Max conoce, puede pedirle a Max que ingrese una palabra predeterminada que solo él conoce, o puede verificar las huellas digitales de sus teclas y pedirle a Max que haga lo mismo.

Max y Joy han compartido previamente una palabra secreta. Joy le pide a Max esa palabra.

Max ingresa la palabra secreta.

Joy recibe la confirmación.

En este ejemplo, vemos que el cliente Psi-Plus XMPP ofrece más opciones para validar a la persona con la que está chateando. Coy-IM proporciona un número PIN que es razonable, pero debe ser comunicado por otro canal de comunicación en ese momento. Los PIN o las contraseñas previamente decididos no funcionarán con Coy-IM.


Temas cubiertos en esta página:

Last Modified June 17, 2020