Off-the-Record Messaging (OTR) —криптографический протокол длясистем мгновенного обмена сообщениями, созданный в 2004 годуНикитой Борисовым иИаном Голдбергом (англ. Ian Goldberg).

Авторами создана библиотека, распространяемая под лицензиейGNU Lesser GPL, используемая для поддержки OTR-клиентами систем мгновенного обмена сообщениям. Также на основе этой библиотеки авторами создан плагин дляPidgin.

ФондEFF рекомендует использовать OTR для защиты от прослушивания^[1].

Первая версия протокола OTR и его реализация были представлены в 2004 годуНикитой Борисовым иИаном Голдбергом^[2][3]. В 2005 году была опубликована атака на первую версию протокола OTR и предложен исправленный протокол аутентификации^[4]. В том же году разработчики OTR представили вторую версию протокола с исправлением протокола аутентификации, также дополнительно улучшив его^[5].

В 2007 году Оливер Гоффарт (англ. Olivier Goffart) опубликовал модульmod_otr^[6] для сервераejabberd, позволяющий автоматически проводить атаку типа «человек посередине» на пользователей OTR, не проверяющих отпечатки открытых ключей друг друга. После этого разработчики улучшили OTR с использованием решениязадачи «социалиста-миллионера» (англ. Socialist Millionaire), позволяющего двум пользователям провести аутентификацию без обмена ключами или их отпечатками при условии, что они знают общий секрет^[7].

Протокол OTR разрабатывался для того, чтобы обеспечитьприватность переговоров, аналогичную переговорам без использования средств телекоммуникаций^[8][9]. Для этого к разрабатываемому протоколу были предъявлены следующие требования:

• шифрование сообщений — никто иной не сможет прочитать сообщения;
• аутентификация собеседников — уверенность в том, кто является собеседником;
• perfect forward secrecy — если потеряны секретные ключи, прошлая переписка не будет скомпрометирована;
• возможность отречения — третье лицо не сможет доказать, что сообщения написаны кем-либо другому адресату.

Частично эти свойства реализованы в таких системах, какPGP и Trillian SecureIM. OTR отличается тем, что реализует все эти свойства в одном протоколе^[10].

Для передачи сообщений с использованием OTR участники протокола должны установить общий секретный ключ. Для этого используется протокол аутентифицированного распределения ключей (англ. Authenticated Key Exchange), основанный напротоколе Диффи — Хеллмана^[11].

В начале протокола участники используют протокол Диффи — Хеллмана для установки секретного ключа, необходимого для передачи первого сообщения. Участники A и B выбирают простое число${\displaystyle p}$ и генератор${\displaystyle g}$ группы${\displaystyle {\mathbb{Z}}_p^{\ast }}$. A выбирает случайное число${\displaystyle a_1}$ и отправляет B результат вычисления${\displaystyle g^{a_1}modp}$. B выбирает случайное число${\displaystyle b_1}$ и отправляет A результат вычисления${\displaystyle g^{b_1}modp}$. Затем участники используют общийэфемерный ключ${\displaystyle k_{11}=H(g^{a_1{b}_1})}$, где${\displaystyle H}$ —криптографическая хеш-функцияSHA-1^[12].

Для обеспеченияperfect forward secrecy пользователи постоянно обновляют ключ во время обмена сообщениями^[13][14]. При передаче первого сообщения одна из сторон (например, сторона A) шифрует сообщение с помощью функции шифрования${\displaystyle E}$ с ключом${\displaystyle k_{11}}$, выбирает случайное число${\displaystyle a_2}$ и передает B пару значений${\displaystyle g^{a_2},E_{k_{11}}(M)}$. Для шифрования следующего сообщения используется ключ${\displaystyle k_{21}=H(g^{a_2{b}_1})}$. В дальнейшем при передаче каждого сообщения A изменяет число${\displaystyle a_i}$, а B изменяет число${\displaystyle b_j}$, и ключ${\displaystyle k_{ij}}$ обновляется.

На практике сообщения доходят не мгновенно, поэтому после отправки сообщения от A к B и обновления ключа на стороне A, A все ещё может получить сообщение от B, зашифрованное старым ключом^[15]. Участник A может быть уверен в том, что B обновил ключ, только тогда, когда получит от B сообщение, зашифрованное новым ключом. Поэтому A хранит достаточное количество старых ключей, чтобы иметь возможность расшифровать все сообщения, которые ещё не дошли. Для того, чтобы ключи все же обновлялись достаточно часто, сторона, у которой нет сообщений для отправки, время от времени передает пустые сообщения^[16].

Авторы статьи «Secure Off-the-Record Messaging» критиковали используемую в OTR схему обновления ключей как не предоставляющую дополнительной безопасности^[17]. Так, в случаекомпрометации все ещё используемогоэфемерного ключа${\displaystyle k_{ij}}$, сторона, осуществляющая атаку «человек посередине», сможет модифицировать все последующие сообщения и используемые эфемерные ключи^[18]. Также использование протокола Диффи — Хеллмана может требовать значительных (например, для устройств, питающихся от батареи) ресурсов^[19]. Вместо этого было предложено использовать ту же схему, что и для ключа${\displaystyle k_{11}}$, либо требующую меньше вычислительных ресурсов схему, основанную нахешировании^[20].

Аутентификация всехэфемерных ключей, за исключением${\displaystyle k_{11}}$, осуществляется вместе с аутентификацией сообщений и описанадалее^[21]. Для аутентификации ключа${\displaystyle k_{11}}$ используются долговременные ключи. В первой версии OTR использовалась небезопасная схема аутентификации, которая была впоследствии изменена^[22].

В первой версии протокола OTR для аутентификации начального ключа${\displaystyle k_{11}}$ стороны подписывают соответствующие сообщения протокола Диффи — Хеллмана^[23]. Также в этих сообщениях стороны передают свои долговременные открытые ключи.

${\displaystyle A⟶B:S_A(g^{a_1}),P_A}$

${\displaystyle B⟶A:S_B(g^{b_1}),P_B}$

Здесь${\displaystyle S_A}$ и${\displaystyle S_B}$ — цифровая подпись,${\displaystyle P_A}$ и${\displaystyle P_B}$ — открытые ключи сторон A и B соответственно.

Данная версия протокола содержит известную уязвимость^[24][25]. Сторона E, проводящая атаку «человек посередине», может выполнить аутентификацию одновременно со сторонами A и B, при этом выдав себя одной из сторон (например, B) за другую сторону (например, A), как показано далее.

${\displaystyle A⟶E:S_A(g^{a_1}),P_A}$

${\displaystyle E⟶B:S_E(g^{a_1}),P_E}$

${\displaystyle B⟶E:S_B(g^{b_1}),P_B}$

${\displaystyle E⟶A:S_B(g^{b_1}),P_B}$

После этого E не может читать сообщения, так как они зашифрованы известным только A и B ключом, но B считает, что он разговаривает с E, хотя на самом деле разговаривает с A^[26].

Более безопасные протоколы, такие какSKEME, рассматривались при реализации первой версии протокола OTR, но вместо этого был реализован собственный протокол, описанный выше^[27].

Авторы статьи Secure Off-the-Record Messaging предложили изменить протокол согласования и аутентификации ключей на один из уже известных протоколов, таких какSIGMA,SKEME иHMQV^[28]. Также в этих сообщениях стороны передают свои долговременные открытые ключи.

Вариант протоколаSIGMA, называемый SIGMA-R, работает следующим образом^[29]:

${\displaystyle A⟶B:g^a}$

${\displaystyle B⟶A:g^b}$

${\displaystyle A⟶B:\text{A},S_A(g^b,g^a),MA{C}_{H(g^{ab})}(0,\text{A}),P_A}$

${\displaystyle B⟶A:\text{B},S_B(g^a,g^b),MA{C}_{H(g^{ab})}(1,\text{B}),P_B}$

Здесь A и B — идентификаторы,${\displaystyle S_A}$ и${\displaystyle S_B}$ — цифровые подписи,${\displaystyle P_A}$ и${\displaystyle P_B}$ — открытые ключи сторон A и B соответственно, а${\displaystyle H}$ — криптографическая хеш-функция.

Авторы OTR использовали модификацию протокола SIGMA во второй версии OTR^[30]. По сравнению с предложенным протоколом SIGMA, разработчики OTR защитили открытые ключи от пассивной атаки (прослушивания). Для этого открытые ключи передаются по защищенному каналу, установленному с помощью протокола Диффи — Хеллмана^[31]. Также используемая в OTR модификация протокола SIGMA усложнена из-за ограничений на размер сообщения в некоторых протоколах (например,IRC)^[32] Полное техническое описание используемого в OTR варианта SIGMA приведено в статье^[33] и спецификациях OTRv2^[34] и OTRv3^[35].

В отличие от таких систем какPGP, OTR не использует цифровые подписи для аутентификации сообщений, так как они не предоставляют возможности отрицаемой аутентификации^[36]. Вместо этого используетсяHMAC^[37].

Для аутентификации сообщений используется ключ K, полученныйхешированием ключа, используемого для шифрования сообщения^[38].

Когда сторона A передает сообщение M другой стороне B, вместе с сообщением она передает вычисленное с помощью общего ключа значение HMAC(M, K)^[39]. Сторона B, получив сообщение, может также вычислить HMAC(M, K). Если оно совпадает с полученным значением, то сторона B знает, что сообщение было передано либо стороной A, либо стороной B, но так как сторона B знает, что она сообщение не посылала, то она может быть уверена, что сообщение действительно было отправлено стороной A. В то же время использованиеHMAC обеспечивает отрицаемость: даже раскрыв ключ K, B не может доказать третьей стороне, что сообщение было отправлено стороной A. Сообщение также могло быть подделано стороной B и любой стороной, которая знает ключ K.

Ключи, используемые для шифрования, постоянно обновляются,как описано выше. Так как ключи, используемые для аутентификации, получаются хешированием ключей, используемых для шифрования, они также обновляются.

Старые ключи, которые больше не будут использованы, могут быть уничтожены. Но ключи аутентификации также могут быть не только уничножены, но и раскрыты. Авторы OTR добавили раскрытие старых ключей: вместе с сообщением пересылается старый ключ аутентификации, если известно, что он больше не будет использован^[40]. Такое решение объясняется требованиями отрицаемости протокола OTR^[41][42].

В работе Secure Off-the-Record Messaging указывается, что раскрытие ключей аутентификации излишне усложняет протокол и может негативно быть небезопасно, как нестандартный для криптографии метод^[43]. Автор основанного на OTR протокола TextSecure, известный под псевдонимомMoxie Marlinspike^[англ.] также указывает на излишнюю сложность и неэффективность раскрытия ключей аутентификации для обеспечения отрицаемости^[44].

Для шифрования сообщений используется алгоритмAES врежиме счётчика^[45]. Использование построенного таким образомпоточного шифра обеспечиваетспорное шифрование (англ. malleable encryption). Это значит, что любой, кто перехватит сообщение, сможет выборочно изменить любые биты в сообщении. В частности, если сообщение стало известно, его можно изменить на любое другое сообщение такой же длины^[46].

Спорное шифрование требуется для обеспечения отрицаемости шифрования^[47]. Благодаря спорному шифрованию участники протокола OTR могут утверждать, что любое из переданных сообщений было изменено третьей стороной.

Протокол OTR разработан для использования только двумя сторонами. Таким образом, его невозможно использовать в каналахIRC, конференцияхXMPP и т. д.

OTR невозможно просто расширить для случая нескольких собеседников из-за используемых криптографических примитивов. Например,коды аутентификации сообщений не предоставляют аутентификации источника сообщений в многопользовательском случае^[48].

Существуют расширения протокола, предоставляющие возможность использования протокола несколькими пользователями^[49][50][51].

Одно из расширений протокола OTR, называемое GOTR (Group OTR), основано на идее создания «виртуального сервера»^[52]. Один из участников назначается «виртуальным сервером», обменивается ключами с другими участниками и в дальнейшем все сообщения между участниками конференции пересылаются через него. Недостатком протокола GOTR является то, что «виртуальный сервер» может изменять содержание сообщений, добавлять и удалять сообщения, поэтому все участники конференции должны доверять ему^[53].

Позже Иан Голдберг с другими авторами предложили протоколmpOTR^[51]. В отличие от протокола GOTR, протокол mpOTR работает без выделенного центрального сервера^[54].

Основной реализацией OTR является библиотека libotr, созданная командой разработчиков OTR. На её основе теми же разработчиками созданплагин для клиентаPidgin, позволяющий использовать OTR с любым из протоколов, поддерживаемых этим клиентом. Также существуют реализации протокола на языкахGo,Java,JavaScript,Python,Scheme^[56].

Следующие клиенты имеют встроенную поддержку протокола OTR^[57].

• Adium
• BitlBee^[58]
• climm
• ChatSecure
• Conversations Legacy
• IM+
• Jitsi
• Xabber
• Psi и Psi+ (плагин)^[59][60]
• LeechCraft^[61][62]
• MCabber^[63]
• Profanity^[64]
• Gajim^[65][66]

• irssi^[67]
• Miranda IM^[68]
• Pidgin
• Vacuum-IM (плагин)^[69]
• Kopete
• Tkabber (плагин)^[70]

Для клиентов, поддерживающих протоколAIM/ICQ, командой разработчиков OTR был разработан пакет otrproxy, представляющий собой локальныйпрокси-сервер^[71]. Он позволял использовать OTR в клиентах, не имеющих собственной поддержки OTR. В настоящее время данный пакет не поддерживается, разработчики рекомендуют использовать клиенты с поддержкой OTR.

• Borisov N., Goldberg I., Brewer E. Off-the-record communication, or, why not to use PGP (англ.) // Proceedings of the 2004 ACM workshop on Privacy in the electronic society. — 2004. —P. 77—84. —ISBN 1-58113-968-3. —doi:10.1145/1029179.1029200.
• Di Raimondo, Mario and Gennaro, Rosario and Krawczyk, Hugo. Secure off-the-record messaging (англ.) // Proceedings of the 2005 ACM workshop on Privacy in the electronic society. — 2005. —P. 81—89. —ISBN 1-59593-228-3. —doi:10.1145/1102199.1102216.
• Alexander, Chris and Goldberg, Ian. Improved user authentication in off-the-record messaging (англ.) // Proceedings of the 2007 ACM workshop on Privacy in electronic society. — 2007. —P. 41—47. —ISBN 1-58113-968-3. —doi:10.1145/1029179.1029200.
• Stedman, Ryan and Yoshida, Kayo and Goldberg, Ian. A user study of off-the-record messaging (англ.) // Proceedings of the 4th symposium on Usable privacy and security. — 2008. —P. 95—104. —ISBN 978-1-60558-276-4. —doi:10.1145/1408664.1408678.
• Bian, Jiang and Seker, Remzi and Topaloglu, Umit. Off-the-Record Instant Messaging for Group Conversation (англ.) // Information Reuse and Integration, 2007. IRI 2007. IEEE International Conference on. — 2007. —P. 79—84. —ISBN 1-4244-1500-4. —doi:10.1109/IRI.2007.4296601. Архивировано 22 октября 2013 года.

• Bian, Jiang and Seker, Remzi. Off-the-Record Secure Chat Room via Public IM Services (англ.) // Masters Abstracts International. — 2007. —P. 46. (недоступная ссылка)
• Goldberg, Ian and Ustaoğlu, Berkant and Van Gundy, Matthew D and Chen, Hao. Multi-party off-the-record messaging (англ.) // Proceedings of the 16th ACM conference on Computer and communications security. — 2009. —P. 358—368. —ISBN 978-1-60558-894-0. —doi:10.1145/1653662.1653705.
• Joseph Bonneau, Andrew Morrison. Finite-State Security Analysis of OTR Version 2 (англ.). — 2006. —doi:10.1.1.165.7945.

• Официальная страница OTR
• Off-the-Record Messaging Protocol version 2 (англ.). Дата обращения: 10 ноября 2013.
• Off-the-Record Messaging Protocol version 3 (англ.). Дата обращения: 10 ноября 2013.
• Simplifying OTR deniability (англ.). Дата обращения: 28 ноября 2013.
• Слайды презентации OTR на CodeCon в 2006 году
• Слайды презентации OTR на WPES в 2004 году
• Off-The-Record messaging на www.cypherpunks.ru

• Программное обеспечение по алфавиту
• Криптографическое программное обеспечение
• Информационная безопасность
• Сетевые протоколы
• Свободное сетевое программное обеспечение
• Программное обеспечение для Linux
• Протоколы обмена мгновенными сообщениями

• Википедия:Cite web (не указан язык)
• Википедия:Статьи со ссылками на элементы Викиданных без русской подписи
• Википедия:Статьи без изображений (страна: Канада)
• Википедия:Статьи без изображений (тип: программное обеспечение)
• ПРО:ИТ:Статьи по алфавиту
• ПРО:ИТ:Последняя правка: в прошлом году
• Википедия:Статьи с нерабочими ссылками
• Страницы, использующие волшебные ссылки ISBN