Off the record messaging

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

El protocolo "Off-The-Record Messaging", comúnmente llamado OTR, es un protocolo criptográfico que proporciona una fuerte encriptación para conversaciones de mensajería instantánea. OTR utiliza una combinación del algoritmo AES de claves simétricas, el protocolo de intercambio de claves Diffie-Hellman y la función hash SHA-1. Además de la autenticación y la encriptación, OTR aporta una confidencialidad directa perfecta y cifrado maleable.

La principal motivación debajo de este protocolo fue ocultar la identidad de los participantes en la conversación a la vez que se mantenía la confidencialidad de la propia conversación, como si fuera una conversación privada de la vida real. Esto contrasta con otras fuentes criptográficas en las cuales se produce una salida que, más tarde, puede ser usada como un registro verificable de la comunicación y las identidades de los participantes. La mayoría de las veces, la gente que usa este tipo de software criptográfico desconocen esto y habría sido mejor que hubieran usado OTR. El documento introductorio se llamaba "Off-The-Record Communication, or Why Not To Use PGP".[1]

El protocolo OTR fue diseñado por los criptógrafos Ian Goldberg y Nikita Borisov. Ambos proporcionan una biblioteca cliente para dar soporte a usuarios de la mensajería instantánea que quieran implementar el protocolo. Existe un plugin Pidgin y un plugin Kopete que permiten que OTR sea usado sobre cualquier protocolo IM soportado por Pidgin o Kopete, ofreciendo una auto detección que inicia la sesión OTR con los amigos que la tengan activada, sin interferir con conversaciones desencriptadas.

Implementación.[editar]

Aparte de dar encriptación y autenticación (características también proporcionadas por PGP, GnuPG, y X.509 (S/MIME)), OTR ofrece otras características menos comunes:

  • Confidencialidad secreta perfecta. Los mensajes solo son encriptados con una clave temporal AES para cada mensaje, negociada usando el protocolo de intercambio de claves Diffie-Hellman. El compromiso de cualquier clave criptográfica de vida larga no compromete ninguna conversación previa, incluso si el atacante tiene cyphertexts.
  • Ocultación de la identidad. Los mensajes en una conversación no tienen firma digital y, cuando una conversación se ha completado, cualquiera podría falsificar un mensaje que aparentemente venga de otro de los participantes en la conversación, asegurando que es imposible demostrar que cierto mensaje fue escrito por cierta persona. Dentro de la conversación, el destinatario puede estar seguro de que un mensaje viene de la persona que ha identificado.

Autenticación.[editar]

A partir de OTR 3.1, el protocolo soporta autenticación mutua entre los usuarios mediante un secreto compartido a través del protocolo del socialista millonario. Esta característica posibilita a los usuarios verificar la identidad de una parte remota y evitar un ataque “man-in-the-middle” sin la inconveniencia de comparar manualmente las claves a través de una canal externo.

Limitaciones.[editar]

Debido a limitaciones de protocolo, OTR no soporta conversaciones multi-usuario desde 2009,[2] pero podría ser implementado en el futuro. A partir de la versión 3[3] de la especificación del protocolo, una clave simétrica extra es derivada durante el intercambio de claves autenticadas que puede ser usada para comunicación segura (por ejemplo encriptar transferencia de archivos) sobre otro canal diferente. No está planificado soporte para audio o video encriptado. Desde OTR 4.0.0 el plugin soporta múltiples conversaciones con un mismo amigo que este logueado en distintos lugares.[4]

Atención al cliente[editar]

Nativa[editar]

Estos clientes dan soporte OTR:

Chat de Gmail “Off-The-Record”[editar]

Google Talk utiliza el término “off-the-record” para decir que hacer un log en el chat no es recuperable por un usuario desde la página web de Google. El modo “off-the-record” de Google no tiene conexión a OTR, y sus chats no están encriptados del modo descrito arriba y podrían ser logueados internamente por Google aunque no sean accesibles por los usuarios. Google usa el término “off-the-record” para decir que los registros del chat no son accesibles desde la web de Google (normalmente todos los chats se guardan y pueden ser mostrados de nuevo en cualquier momento). La política de Google respecto a los chats “off-the-record” no establece que los registros no se guarden en sus servidores.[7] [8]

Vía plugin[editar]

Los siguientes clientes necesitan un plugin para usar OTR. Este plugin permite usar OTR con todos los protocolos de mensajería instantánea clientes (como OSCAR, XMPP, MSNP, YSMG, etc.)

Referencias[editar]

Publicaciones seleccionadas[editar]

Enlaces externos[editar]