讓你的IM既安全又不留痕跡
使用 Gaim + OTR 來將訊息加密.
以下轉載自: 讓你的IM既安全又不留痕跡
CNET新聞專區:Robert Lemos 15/02/2005
當你按下即時傳訊(IM)的「傳送」鈕時,可知另一端的收信人是誰?
加州柏克萊大學的安全研究員Ian Goldberg與Nikita Borisov已發明一種IM外掛程式,據說能讓參與者彼此辨認,然後進行私密的對話,而且事後不留下任何可證明曾經交談過的證據。
這個程式稱為「不公開」(off-the-record;OTR)傳訊,是搭配Gaim即時傳訊用戶端軟體的外掛程式,可把交談的訊息加密,但不留下鍵值(key)。(鍵值是一組字串,可用來驗證交談確實發生過。)這種特性在密碼學上稱為「完美前瞻安全性」(perfect forward security),也可預防外人偷窺交談的內容。
「即使明天我的電腦遭人入侵,偷走加密鍵值,駭客也無法讀取未來的訊息,」柏克萊研究生Goldberg說。
為了要建立安全無虞、不留痕跡的IM對話,交談的雙方需要把這個OTC傳訊程式安裝在Gaim上,或者,也可用America Online的Instant Messenger搭配一台設定為代理伺服器(proxy)的伺服器,上面安裝同樣由Goldberg和Borisov所開發的軟體。
若是某個先前未註冊的使用者想加入OTC會談,一個附有數位鍵值的對話框會彈出,用來辨認傳送訊息者。如果使用者接受聯絡人的證書,此鍵值就會儲存在他的電腦上,那麼日後該名傳送者就會被視為值得信賴。此後,兩人就可安全地交談,談話內容會被編密,別人無從攔截或偷窺。
Goldberg和Borisov在12日舊金山舉行的年度CodeCon開發者會議中發表這個外掛程式。擔心即時傳訊不安全的人,可從這兩人的網站下載此軟體。
Goldberg說,目前的IM不安全,並批評其他的解決方案會留下一堆記錄和加密鍵值,日後可能被當作證明相關談話內容確實發生過的憑據。相形之下,他說,OTR傳訊可賦予談話雙方安全性,且不會像當前的IM用戶端程式這般留下日後可供追查的線索。
「我會想把這個功能預設為開啟狀態,」Goldberg說:「今天,當你用IM聊天時,毫無證據可證明你跟誰說話。」
儘管OTR傳訊外掛程式和當今的IM用戶端程式一樣,也允許任一方把交談內容記錄下來,但Goldberg說,交談後的那些記錄沒什麼意義。記錄檔可以修改、增添內容。
這正是兩位研究員避免使用數位簽章的原因。Goldberg說,現行的訊息加密技術也可能被用作數位簽章,等於參與者在交談記錄上簽名蓋章。(唐慧文)