Apa itu pesan tidak direkam (OTR)?

Bagi wartawan, kemampuan untuk melindungi sumber sangat penting untuk berhasil berkomunikasi dengan orang-orang yang berharga. Untuk sumber, taruhannya bahkan lebih tinggi: keamanan dan kebebasan mereka bergantung pada tidak diidentifikasi sebagai sumber cerita.


Pengungkapan semata bahwa seseorang di dalam perusahaan atau organisasi pemerintah berbicara dengan seorang reporter bisa sama merusaknya seperti isi percakapan itu sendiri.

Bayangkan ini: Setelah menerima informasi anonim, sebuah publikasi berita besar menceritakan tentang perusahaan minyak besar yang menutupi kecelakaan. Sehari setelah ceritanya pecah, perusahaan mengetahui bahwa seorang karyawan baru-baru ini bertukar informasi terenkripsi dengan seseorang dari perusahaan berita. Korporasi segera memecat kebocoran, mengakhiri karir mereka, dan mengancam kebocoran dengan gugatan besar.

Komunikasi off-the-record membantu mencegah skenario ini berlangsung.

“Off-the-record” (OTR) sebagai istilah dalam jurnalisme mengacu pada informasi dari sumber yang secara resmi tidak ada, atau percakapan yang “tidak terjadi.” Informasi ini dapat tetapi tidak harus berasal dari sumber yang dikenal kepada jurnalis, mengambil bentuk apa pun mulai dari informasi anonim hingga informasi dari sumber yang telah lama dipercaya.

Sementara banyak organisasi berita terhormat memiliki kebijakan untuk tidak mempublikasikan informasi yang dibagikan secara off the record, informasi ini masih dapat memainkan peran penting dalam mengarahkan jurnalis ke arah yang benar, atau membantu jurnalis menemukan sumber yang dapat dicita-citakan dengan informasi yang sama.

Mari kita lihat pesan OTR dan cara kerjanya.

OTR menggunakan kerahasiaan maju

Untuk memahami fitur-fitur OTR, mari kita lihat dulu Pretty Good Privacy (PGP), yang ada sebelum OTR lebih dari 10 tahun. PGP adalah perangkat lunak enkripsi di mana pengirim dan penerima membuat sepasang kunci enkripsi yang mereka gunakan untuk mengenkripsi pesan dan data. Ini populer untuk email dan transfer file dan juga memungkinkan pengguna untuk menandatangani data dengan kunci publik statis untuk membuktikan keasliannya. Kunci ini sering dipublikasikan di situs web pemilik atau di direktori, dan dapat digunakan untuk waktu yang lama oleh pemiliknya.

Meskipun perangkat lunak enkripsi seperti PGP efektif menjaga kerahasiaan isi data yang dikomunikasikan, ia memiliki beberapa kelemahan ketika harus tetap berhubungan dengan sumber Anda. Jika kunci enkripsi Anda diekspos, penyerang dapat mendekripsi semua percakapan Anda sebelumnya jika mereka telah mencegat dan merekam pesan terenkripsi.

OTR melindungi pesan Anda dari dekripsi dengan mempraktikkan “kerahasiaan ke depan yang sempurna.”

Meneruskan kerahasiaan berarti Anda memiliki kerahasiaan hari ini bahkan jika kunci Anda dikompromikan di masa depan. OTR memberikan kerahasiaan maju dengan menggunakan kunci yang berbeda untuk setiap sesi, yang tidak disimpan setelah sesi selesai.

Kelemahan dari memiliki kunci yang berbeda untuk setiap sesi adalah bahwa Anda tidak dapat mengambil riwayat Anda tanpa mencatatnya dalam teks yang jelas, yang nantinya dapat membahayakan Anda. Selain itu, tidak ada cara untuk mengetahui apakah pihak lain membuat Anda login, tetapi Anda tidak akan mengungkapkan identitas Anda atau informasi berharga kepada mereka jika Anda tidak mempercayai mereka untuk memulainya, kan?

OTR menyediakan otentikasi dan enkripsi yang dapat disangkal

Otentikasi yang bisa ditolak

Di PGP, Anda dapat menggunakan kunci statis untuk menandatangani segala jenis data atau teks. Tanda tangan ini mengotentikasi Anda tanpa keraguan dan menunjukkan bahwa Anda membuat atau menyetujui pesan tertentu. Tetapi karena tanda tangan ini dapat dilihat oleh pengamat mana pun, itu dapat mengungkapkan identitas kedua pihak yang berkomunikasi.

Praktik OTR otentikasi dapat disangkal. Ini berarti mustahil bagi seorang penyadap untuk mengetahui sendiri dari pesan terenkripsi yang berkomunikasi dengan siapa. Hanya peserta yang mendapatkan informasi tentang identitas satu sama lain dalam bentuk sidik jari.

Untuk memverifikasi satu sama lain identitas dan memastikan tidak ada yang melakukan serangan man-in-the-middle, Anda dapat mempublikasikan sidik jari Anda atau menukar mereka melalui saluran alternatif, misalnya secara langsung atau di profil media sosial Anda. Pertukaran sidik jari ini adalah fitur penting yang membuat OTR secara signifikan lebih anonim daripada PGP.

Enkripsi yang dapat ditolak

Serupa dengan otentikasi, PGP memungkinkan pengamat atau penguping untuk melihat kunci privat mana yang membuka kunci file terenkripsi. Bahkan jika penyerang tidak bisa mendapatkan kunci pribadi ini, mereka tahu siapa yang memilikinya dan dapat menekan korban atau tersangka kejahatan untuk mendekripsi file tersebut..

Di OTR, tidak mungkin untuk melihat siapa yang memegang kunci untuk percakapan terenkripsi. Selain itu, ada kemungkinan bahwa kunci dihancurkan segera setelah percakapan berlangsung. Ini disebut enkripsi dapat disangkal.

Meskipun otentikasi dan enkripsi yang dapat ditolak dapat meyakinkan atau bahkan penting dalam beberapa konteks, ada cara lain untuk menautkan kembali kunci dua pihak ke identitas asli mereka, seperti melalui saluran obrolan, akun, dan alamat IP yang digunakan dalam percakapan.

Baca terus untuk mengetahui cara melindungi anonimitas Anda saat Anda menggunakan komunikasi OTR.

Persyaratan dasar untuk OTR

Secara teori, menggunakan OTR mirip dengan PGP, tetapi Anda tidak perlu khawatir membuat, menerbitkan, dan berbagi kunci secara manual, atau khawatir tentang tanggal kedaluwarsanya. Berikut adalah langkah-langkah dasar untuk menggunakan OTR.

  1. Instal perangkat lunak OTR. Karena OTR terbatas pada obrolan, ia dibundel dengan berbagai perangkat lunak obrolan, terutama Pidgin (Windows, Linux), Adium (Mac OS X), Obrolan Aman (iOS, Android), dan Tor Messenger (lintas platform, masih dalam versi beta).
  2. Siapkan akun obrolan yang kompatibel dengan klien messenger ini. Akun tersebut setidaknya harus mendukung protokol seperti jabber / xmpp, sistem terbuka dan terdesentralisasi yang fungsinya mirip dengan email. Sebagian besar akun Gmail atau Google Apps juga berfungsi sebagai akun jabber — tanpa biaya tambahan. Ada juga banyak layanan yang memungkinkan Anda untuk mendaftarkan akun jabber secara bebas dan anonim.
  3. Tambahkan kontak Anda sebagai ‘teman’ untuk mengobrol dengan mereka. Masukkan alamat jabber mereka, yang terlihat mirip atau identik dengan alamat email mereka.
  4. Untuk memulai pesan OTR, klik ‘mulai percakapan pribadi’ atau klik pada simbol kunci, tergantung pada perangkat lunak yang Anda gunakan.
  5. Untuk memverifikasi identitas teman Anda, bagikan sidik jari Anda satu sama lain. Anda dapat melihat sidik jari Anda dengan mengklik verification verifikasi manual ’di jendela obrolan Anda. Jika Anda sudah membuat saluran terenkripsi yang terverifikasi, Anda bisa saling memverifikasi melalui itu. Anda juga dapat mencantumkan sidik jari Anda di situs web atau media sosial Anda.

Cara mempertahankan anonimitas di OTR

Meskipun protokol OTR itu sendiri cukup luar biasa dalam melindungi privasi dan anonimitas Anda, protokol ini kurang kuat jika Anda menggunakan saluran yang dapat ditautkan kembali ke identitas asli Anda. Memiliki penyangkalan kriptografi sangat bagus dalam teori, tetapi mengalahkan tujuan jika Anda berkomunikasi melalui akun Google Apps pekerjaan Anda, tempat majikan Anda, Google, dan mungkin pemerintah dapat melihat siapa yang Anda kirimi pesan. Seringkali itu cukup bagi mereka untuk menarik kesimpulan tentang identitas sumber dan kolaborator Anda.

Inilah cara untuk tetap anonim saat Anda menggunakan OTR.

Langkah 1: Gunakan beberapa akun

Langkah pertama untuk meningkatkan privasi Anda adalah menggunakan banyak akun dan menyadari siapa yang Anda tambahkan di akun mana. Anda dapat membuat akun baru untuk setiap kontak Anda. Untuk menghindari analisis korelasi kapan dan dari mana Anda masuk, Anda dapat mendaftarkan akun ini di berbagai server dan layanan.

Langkah 2: Sambungkan ke OTR melalui VPN atau Tor

Langkah kedua adalah selalu terhubung ke akun obrolan ini melalui VPN atau bahkan Tor, terutama saat Anda mendaftar. Masuk sekali saja dari rumah atau alamat IP kantor Anda sudah cukup untuk membahayakan Anda.

Langkah 3: Verifikasi Identitas Penerima

Langkah terakhir adalah yang paling melelahkan: untuk memverifikasi identitas penerima. Ini sangat penting untuk memastikan bahwa tidak ada pihak ketiga yang menghalangi pertukaran di tengah, menggantikan kunci OTR kontak Anda dengan milik mereka. Koneksi Anda akan terlihat aman dan terenkripsi untuk Anda, tetapi sebenarnya mungkin tidak sampai Anda memverifikasi kunci.

Untuk memverifikasi identitas penerima Anda secara andal, praktik yang baik adalah menyiarkan sidik jari Anda melalui saluran tepercaya seperti kartu bisnis, situs web, atau akun media sosial Anda. (Anda dapat menemukan sidik jari Anda di “pengaturan” atau “verifikasi secara manual”.)

Cara tetap anonim saat berbagi file

Meskipun protokol jabber dan banyak klien secara teoritis memungkinkan untuk berbagi file atau lampiran, protokol ini jarang bekerja dan tidak menggunakan enkripsi.

Untuk berbagi file, ExpressVPN merekomendasikan Onionshare, layanan berbagi file P2P yang dibangun melalui Tor. Dengan cara itu kedua pihak tidak dapat mengidentifikasi yang lain dengan mudah melalui alamat IP mereka, dan file dienkripsi dalam perjalanan.

Seperti halnya unduhan apa pun, ketahuilah bahwa file dapat berisi kode berbahaya yang dapat mendanonimisasi Anda. Taruhan terbaik Anda adalah memutuskan koneksi dari internet sebelum membuka file, atau membuka file di dalam mesin virtual.

Berhati-hatilah dengan mengklik segala jenis tautan, terutama yang diperpendek, karena dapat berisi kode pelacakan yang membuat Anda dapat dikenali oleh pihak lain. Jika Anda harus membuka tautan yang mencurigakan, buka saja di dalam browser Tor.

Klik di sini untuk mempelajari cara mengatur akun Jabber anonim dengan enkripsi OTR.

Gambar pilihan: Scott Griessel / Dollar Photo Club

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map