ADIUM 工具指南

Adium & OTR

Mac電腦上的安全的即時通訊軟體

學習內容:傳送訊息 下載網址: https://adium.im/ 系統要求 (Adium 1.5 以上版本): Mac OS X 10.6.8 或更新, 蘋果麥金塔電腦. **本指南中所使用的版本: Adium 1.5.9 **版權聲明:GNU GPL **其它參考資料:https://pressfreedomfoundation.org/encryption-works;https://adium.im/help/ 程度:初學者-中級 所費時間:15-20 分鐘

Adium 是運行於蘋果電腦上一套免費開源的即時通訊軟體,它可讓你和使用不同聊天協議的朋友進行多方對話,包括:Google Hangouts、Yahoo! Messenger、 Facebook chat、Windows Live Messenger、AIM、ICQ、XMPP等等。

OTR (Off-the-record) 則是一個讓人們可以運用其熟悉工具進行私密通話的協議。不要與 Google 的“Off the record”搞混了,後者只是取消了聊天記錄的功能但並未加密或認證其能力。對 Mac 使用者而言,OTR 會內建在 Adium 軟體客戶端。

OTR 可以執行端與端之間的加密.這表示你可以使用它來與其它聊天服務如Google Hangouts或 Facebook來進行加密通話而這些公司無法取得對話的內容。這與 Google 和 AOL 使用”off the record“字眼的服務協議不同,後者只是指其對話不會被記錄但並未加密。

為何該使用Adium + OTR?

當你使用 Google Hangouts 或 Facebook chat 等通訊軟體時,雖然在它們的網站上有使HTTPS安全層級 ,這表示你傳送出的聊天內容免於被駭客或第三方人士知道,然而這不表示 Google 或 Facebook 就會妥善保護你的通訊,他們仍可以看到你的聊天內容也可能把它們交給政府當局。

下載安裝 Adium 之後,可以使用多重帳號同時登入。你可以同步使用 Google Hangouts, Facebook, 或 XMPP。 Adium 讓你也可不用 OTR 即可進行聊天,因為只有在雙方電腦上都安裝啟用OTR時,它才能發揮功效。

Adium 可以進行額外認證以確保你聊天的對象是你所認為的人,而不是遇上了中間人攻擊(MITM attack)。每一次的聊天對話,都有一個功能選項可以顯示你和通話聊天者的密鑰指紋。”密鑰指紋”是一串字元像是”342e 2309 bd20 0912 ff10 6c63 2192 1928”,用來認證公鑰。透過其它溝通方式(如twitter直接簡訊或email)來交換彼此的指紋,以確保沒其它人介入你們的對話中。

限制:何種情況下我不應使用Adium + OTR?

科技人員有一種用語來描述當一個程式或軟體技術可能有弱點或易受外部攻擊:他們稱之為大型攻擊表面(large attack surface) Adium 就有這樣的問題。它是一個複雜的程式,而安全性並不是放在其優先考量。它也有一些程式臭蟲,某些地方可能被政府或大公司用來入侵使用者的電腦。使用 Adium 來加密你的通訊內容可以好好地防護非針對式網路聊天大規模監控,但如果你認為自己很可能成為資源充沛攻擊者(如國家機器)所針對攻擊的對象,你就該考慮強度更高的預防手段,像是 PGP 加密電子郵件。

在你的 Mac 電腦安裝 Adium + OTR

第 1 步:安裝程式

首先,在你瀏覧器上打開https://adium.im/網址,選擇下載 Adium 1.5.9. 下載的檔案格式為末檔名 .dmg 或是磁碟映像檔,將之存於某一個資料夾下(大多為 downloads folder)。

雙擊已下載的檔案,將會自動跳出視窗如下: image

將 Adium 圖示移到應用程式資料夾下進行安裝,一但安裝完畢在你的應用程式資料夾下找到它並雙擊開啟。

第 2 步: 設置(多個)帳號

首先,你要決定使用哪一種聊天工具或是通訊協議。這個設定過程都有幾分類似但不同的工具並不完全相同。你需要知道每一種工具或通訊協議的用戶名稱以及你的密碼。

到 Adium 上方的選單中,打開偏好設定就可以進行帳號設定,它會自動開啟另一個小視窗.在其中選擇「Account」然後點擊下方的”+”符號。你會看到如下的畫面: image

選擇你要登入的程式,從這裏你會被問到要求輸入帳號與密碼,或是使用 Adium 授權工具來登入。小心地依照 Adium 的指示。

如何啟動OTR Chat

一旦登入帳號後,你就可以開始使用 OTR。

記住:為了正確使用 OTR 通話,雙方的聊天程式都必須支援 OTR。 第 1 步:啟動 OTR chat

首先,確認對方有使用 OTR,然後開始與他們透過 Adium 聊天。開啟聊天視窗後,你會在左上方看到一個小小鎖鑰圖示的。點擊這個鎖然後選擇”Initiate Encrypted OTR Chat”

第 2 步:確認你的連線

你開始通話時對方接受了邀請,你就會看到這個小鎖圖示關閉;這樣你就知道目前的聊天內容有受到加密(太棒啦!) 咦?等一下,還有一個步驟要進行! 此時,你已啟動了一個尚未認證但有加密的聊天。這表示雖然你的聊天對話是加密的,但不保證你所聊天的對方是否真是你要找的人,除非你們處在同一個空間裏可以看到彼此以及電腦畫面,確認對方的身份可是重要的一步。(更多的資訊請參考 EFF 電子前鋒基金會的[金鑰驗證]介紹(https://ssd.eff.org/en/module/key-verification#overlay=en/node/37/)。)

要確認另一名 Adium 使用者的身份,再次點擊視窗上的小鎖鑰圖示,然後選擇”Verify”,你可以看到有一個視窗會顯示出你和對方的指紋。有些 Adium 版本只支援手動式的指紋碼認證,所以你和聊天對象得需要用某些方式彼此確認 Adiums 顯示的指紋碼是否相符。

最簡單的方法是向對方大聲念出指紋碼內容來確認,但這方法不一定能做到。完成這個任務也會依彼此的信任程度而有不同方式。例如你可以透過電話向對方念出你的指紋碼如果你可以認出對方的聲音或是透過 PGP 認證的通訊方式。有些人會把自已的公鑰公佈在自己的網站、Twitter 帳號或是名片上。

最重要的是讓你可以查證每一個字母與數字都彼此符合。

現在你總算可以好好地進行加密聊天與確定通話對象身份了。什麼?還有一件事要做!Adium會主動記錄你的 OTR-encrypted 聊天並將之儲存在你的電腦硬碟上。這意謂著即使聊天內容受到加密保護,但卻也以原始文字方式被存在你的硬碟。要取消記錄功能,點擊 Adium 上方的選單下的「偏好設定」。在新視窗下選擇「一般」然後取消上面的”Log messages” 與”Log OTR-secured chats”。你的設定應該如下圖所示: image

當 Adium 顯示新訊息的通知時,這些訊息內容很可能也被 OS X 通知中心所記錄。這樣儘管 Adium 不會在電腦上留有你的通訊追查痕跡,但你或對方的 Mac 電腦 OS X版本或許會保留下記錄。要阻止這個,可能要取消通知功能。在偏好設定的視窗下選擇「事件」,然後尋找任何表示「顯示通知」的條目。每一筆資料,透過點擊灰色三角符號來開啟,然後點擊最近新曝露的一行其上有 “Display a notification,” 然後點擊下方的”-“圖示來移除該行。如果你擔心留在電腦上的記錄,你該該啟用全磁區加密功能,它可以幫助你保護資料防止沒有密碼的第三方取得電腦可打開內容。 image