¿Cómo establecer una parte remota OTR aleatoria como un individuo específico?

Navega tus respuestas
4

Al leer el libro de Glenn Greenwald en 2014 No hay lugar para esconderse , una cosa se destacó como algo extraño. Greenwald detalla cómo Edward Snowden insistió en que Greenwald instale PGP para comunicarse de forma segura, pero Snowden más tarde (antes de que las comunicaciones cifradas con PGP estén disponibles) acepta hablar sobre la mensajería instantánea cifrada con OTR en una red IM no especificada. Mi negrita en la cita a continuación; Esto es de la página 17 en la edición de tapa dura. Cualquier error tipográfico es probable que sea mío.

  

No estaba seguro de qué había querido decir con "la disminución de los viajes a corto plazo": había expresado confusión sobre por qué estaba en Hong Kong, pero ciertamente no me había negado a ir. Lo atribuí a la falta de comunicación y respondí de inmediato. "Quiero hacer todo lo posible para involucrarme en esto", le dije, sugiriéndole que hablemos de inmediato en OTR. Agregué su nombre de usuario a mi lista de amigos de OTR y esperé.

     

En quince minutos, mi computadora sonó como una campana, lo que indica que se había registrado. Un poco nervioso, hice clic en su nombre y escribí "hola". Respondió, y me encontré hablando directamente con alguien que supuse que, en ese momento, había revelado una serie de documentos secretos sobre los programas de vigilancia de EE. UU. Y que querían revelar más.

El intercambio de claves OTR está automatizado y se debe verificar al confirmar la huella dactilar de la clave, idealmente fuera de banda, de manera que ambas partes puedan confirmar con quién están hablando (por ejemplo, por teléfono). reconociendo las voces de los demás, o por medio de un secreto compartido). Pero Snowden (muy probablemente por una buena razón) no confía en los canales de comunicación (básicamente, el correo electrónico) de que tiene a Greenwald disponible para no ser monitoreado, y probablemente no confiaría en que no los manipulen. al menos hasta cierto punto. Snowden en realidad no comparte ningún documento antes de que esté disponible el correo electrónico encriptado con PGP (eso está básicamente establecido en las páginas 19-20, de nuevo en la edición de tapa dura), pero me parece que presenta un problema de arranque en el canal de comunicaciones.

Suponiendo que no hayan tenido contacto previo, ¿cómo habría podido Snowden confirmar positivamente que en realidad estaba hablando con Greenwald, y no con otra persona, o alguien que realiza un ataque de hombre en el medio?

    
pregunta a CVn 24.05.2014 - 21:47
fuente

2 respuestas

1

La verificación de la identidad de una parte remota con OTR requiere un secreto compartido (y, por lo tanto, un medio seguro anterior para compartir secretos) o el conocimiento de su huella digital (y, por lo tanto, una forma verificable de comunicar las huellas digitales).

No tengo conocimiento de ninguna cuenta publicada de lo que realmente hizo Snowden en este caso en particular. Sin embargo, una posibilidad realista es que podría haber utilizado a un tercero de confianza para transmitir la información necesaria. Por ejemplo: tanto Snowden como Greenwald ya habían establecido comunicaciones seguras con Laura Poitras - Snowden a través de PGP, como se describe en este artículo en The Intercept (que también explica con cierto detalle cómo verificó su huella digital de PGP), y Greenwald a través de OTR, ya que menciona algunos párrafos antes del pasaje. citado No indica cómo (o incluso si) él y Poitras se verificaron mutuamente las identidades, pero no habrían tenido la dificultad de Snowden: ¿tenían un montón de history en el que se puede basar una verificación OTR de preguntas y respuestas; o podrían haber verificado las huellas dactilares por teléfono.

Entonces, con estos canales seguros ya establecidos, y asumiendo que Snowden confiaba en Poitras, podría haberle pedido que le enviara la huella digital OTR de Greenwald por correo electrónico cifrado / firmado por PGP.

    
respondido por el John Morahan 17.07.2015 - 23:50
fuente
0

OTR le permite hacer una pregunta para autenticar al otro usuario. Así que podrían haber hecho una pregunta que ambos sabrían (solo).

    
respondido por el Grim Reaper 25.05.2014 - 15:59
fuente

Lea otras preguntas en las etiquetas

Bloqueo del tráfico entrante desde el puerto privilegiado (1024) para mitigar los ataques de amplificación DDos DNS Quiero transferir mi Administrador de contraseñas alojado en la nube personal utilizando Pass. ¿Qué tan seguro / inseguro sería esto?