Escolar Documentos
Profissional Documentos
Cultura Documentos
Índice
Ameaça Modelo
Sistemas de criptografia
Software que você pode confiar
Anonymize sua localização com Tor
Off-the-Record (OTR) Bate-papo
"Pretty Good Privacy" (PGP) Email Encryption
Tails: o sistema vivo Amnesic Incognito
Uma chance de lutar
Ameaça Modelo
Sistemas de criptografia
Descobrimos algo. Nossa única esperança contra a dominação total. A
esperança de que, com coragem, visão e solidariedade que poderia usar
para resistir. Uma estranha propriedade do universo físico em que
vivemos.
Para criptografar algo que você precisa a chave certa, e você precisa a
chave certa para decifrá-lo também. Se o software de criptografia é
implementada corretamente, se a matemática é som, e se as chaves
estão seguras, todo o poder de computação combinada na Terra não
pode quebrar essa criptografia.
Isto significa que é provável que NSA foi entregue as chaves para
qualquer computador com Windows, Office, Skype, ou outro software
Microsoft. Se você estiver executando este software em seu
computador, é provável que, com esforço suficiente, a NSA poderia
comprometer o seu computador e, assim, as suas comunicações
criptografadas, se tornou um alvo.
Tails, que é um DVD ao vivo e distribuição / Linux GNU vivo USB que
vou discutir em detalhe abaixo, resolve muitos destes problemas.
Mesmo se eles podem, usando Tor ainda nos dá muitas vantagens. Ele
faz seu trabalho muito mais difícil, e deixamos muito menos dados de
identificação nos servidores que se conectam a através da rede Tor.
Isso torna muito mais difícil de ser vítima de um ataque MITM no
nosso nível de rede ou ISP local. E mesmo se alguns circuitos Tor pode
ser derrotado por um adversário global, se pessoas suficientes estão
recebendo o tráfego encaminhado através dos mesmos nós Tor, ao
mesmo tempo, pode ser difícil para o adversário para dizer qual o
tráfego pertence a qual circuitos.
Clientes OTR
Para usar OTR você vai precisar fazer o download do software. Se
você usa o Windows você pode baixar e instalar o Pidgin e,
separadamente, o plug-in OTR . Se você usar o GNU / Linux, você
pode instalar o pidgin e pacotes pidgin-otr. Você pode ler a
documentação sobre como configurar o Pidgin contas com OTR . Se
você usa o Mac OS X, você pode baixar e instalar o Adium , que é um
cliente de chat software livre que inclui suporte OTR. Você pode ler a
documentação oficial sobre a forma de conseguir estabelecer com
criptografia OTR com o Adium.
Sua chave
Quando você começar a usar o OTR, o seu cliente de chat gera uma
chave de criptografia e as armazena em um arquivo na pasta pessoal
do utilizador no seu disco rígido. Se o seu computador ou smartphone
se perder, roubado ou infectado com malware, é possível que a sua
chave OTR pode ficar comprometida. Se isso acontecer, seria possível
a um atacante com controle sobre seu servidor Jabber para ser capaz
de montar um ataque MITM contra você, enquanto você está
conversando com pessoas que já verificada a sua identidade.
Sessões
Se você quiser usar OTR para falar em particular com os seus amigos,
os seus amigos também precisa usá-lo. Uma sessão criptografada entre
duas pessoas são necessárias duas chaves de criptografia. Por exemplo,
se você e seu amigo são ambos conectado ao Facebook bate-papo
usando Adium ou Pidgin e você tem ambos configurados OTR, você
pode conversar em privado. No entanto, se você estiver conectado ao
IM usando Adium ou Pidgin, mas seu amigo está conversando
diretamente do facebook.com em um navegador da web, você não pode
ter uma conversa criptografada.
Logs
(13:41:12) bradass87: oi
(02:17:29) bradass87:?
Se você tiver a chave pública de alguém, você pode fazer duas coisas:
criptografar mensagens que só pode ser descriptografado com a chave
secreta, e verificar as assinaturas que foram gerados com a sua chave
secreta. É seguro para dar sua chave pública para qualquer um que
quer. O pior que qualquer um pode fazer com ele é Criptografar
mensagens que só você pode descriptografar.
Com sua chave secreta que você pode fazer duas coisas: decifrar as
mensagens que foram criptografadas usando sua chave pública, e
assinar digitalmente as mensagens. É importante para manter o seu
segredo chave secreta. Um invasor com sua chave secreta pode decifrar
mensagens destinadas apenas para você, e ele pode forjar mensagens
em seu nome. chaves secretas são geralmente criptografado com uma
senha, por isso mesmo se o seu computador fica comprometido e sua
chave secreta for roubado, o invasor precisa obter sua senha antes que
ele teria acesso a ele. Ao contrário de OTR, o PGP não tem segredo
para a frente. Se o seu PGP chave secreta é comprometida e o atacante
tem cópias de todos os e-mails criptografados históricos que recebeu,
ele pode voltar e retro-activa descriptografar todos eles.
Como OTR, cada tecla PGP tem uma impressão digital única. Você
pode encontrar uma cópia da minha chave pública aqui , e minha
impressão digital é 5C17 6163 61BD 9F92 422A C08B B4D2 5A1E 9999
9697. Se você olhar para a minha chave pública que você vai ver que é
bastante longo e seria difícil de ler para fora sobre o telefone. Uma
impressão digital é uma forma curta e mais conveniente para
representar unicamente uma chave. Com a minha chave pública você
pode criptografar mensagens que só eu posso descriptografar, desde
que a minha chave secreta não foi comprometida.
Passphrases
A segurança da criptografia confia na segurança de uma senha. Desde
as senhas são muito fáceis de adivinhar por computadores,
criptógrafos preferem o termo senha para incentivar os usuários a
fazer suas senhas muito longo e seguro.
Programas
Para instalar o GPG, os usuários do Windows podem baixar Gpg4win ,
e os usuários do Mac OS X pode baixar GPGTools . Se você executar o
GNU / Linux você já deve ter GPG instalado. GPG é um programa de
linha de comando, mas não há software que interage com os clientes de
e-mail que o torna muito mais fácil de usar.
Você vai ter que baixar um cliente de e-mail para usar o PGP
corretamente. Um cliente de e-mail é um programa no seu computador
que você abre para verificar seu e-mail, em vez de usar seu navegador
web. A configuração do PGP mais popular é o cliente de e-mail
Thunderbird com o Enigmail add-on. Thunderbird e Enigmail são
software livre e executado em Windows, Mac e GNU / Linux.
Aqui está uma mensagem que foi criptografada para minha chave
pública. Sem ter acesso ao meu associado chave secreta, a NSA não
deve ser capaz de quebrar a criptografia. (NSA, deixe-me saber se você
obtê-lo.)
----- BEGIN PGP MESSAGE -----
Versão: GnuPG v1.4.12 (GNU / Linux)
Tal como acontece com as chaves OTR, cada tecla PGP tem uma
impressão digital única. E como com OTR, você precisa ler toda a
impressão digital para ter certeza que a chave pública que você está
olhando realmente pertence à pessoa que você acredita que ele
pertence.
Você pode clicar com o botão direito em uma chave nesta lista e
escolha Ver detalhes para ver a sua impressão digital. Aqui estão os
detalhes da chave PGP que o software de criptografia de disco
TrueCrypt usa para assinar digitalmente versões do seu software.
Também como OTR, você precisa conhecer em pessoa, falar ao
telefone ou usar uma sessão OTR já verificada para comparar cada
personagem da impressão digital.
Ataques
Se você não verificar as identidades você não tem nenhuma maneira de
saber se você está ou não a vítima de um ataque MITM.
Snowden era direito de ser cauteloso e insistir para que ele verifique
nova impressão digital PGP de Gellman. PGP, se usado direito, fornece
as ferramentas necessárias para prevenir ataques MITM. Mas essas
ferramentas só funcionará se os usuários estão vigilantes sobre a
verificação de identidade.
Cada vez que você iniciar caudas que você começar a partir de uma
ardósia limpa. Qualquer coisa que você fez em sua sessão anterior em
Tails fica apagado eo sistema é revertido para o estado padrão. Isto
significa que mesmo se você ficar infectado com malware ao usar Tails,
da próxima vez que inicializar em que o malware será ido.