OTR(Off-the-Record) 技术探讨

Posted by Ivan on 2016-12-06

中文网络上对OTR(Off-the-record)技术文章甚少,实际上聊天上采用OTR技术具有极大的安全性。OTR是一种结合Diffie-Hellman密钥交换算法、AES算法、SHA-1哈希算法的加密在明文情况下传输的技术。

通过OTR技术,能够实现:

  • 加密聊天内容
  • 证明与你聊天的人就是与你聊天的人(防止中间人攻击)
  • 服务器无法记录你的真实聊天内容

原理

消息鉴别码(MAC)

在密码学中,消息鉴别码(Message Authentication Code)是经过特定算法后产生的一小段信息,检查某段消息的完整性,以及作身份验证。

假设有两个聊天用户,一个叫Alice,一个叫Bob。

例如:Alice要给一个叫Bob发信,Alice将明文MK使用Hash算法进行摘要提取,提取结果为Hash(MK),之后用Alice的私钥对摘要进行签名SA[Hash(MK)],之后将MK和SA[Hash(MK)]一同发给Bob。

其中SA[Hash(MK)]便可称之为消息鉴别码(MAC)。

它可以用来检查在消息传递过程中,其内容是否被更改过,不管更改的原因是来自意外或是蓄意攻击。同时可以作为消息来源的身份验证,确认消息的来源。

过程

第一步,使用Diffie-Hellman双方交换公钥,确认公钥可以信任(只大概叙述,取mod运算被简化)。

  • Alice(用A表示)和Bob(用B表示)每人分别取一个数x,y,并且取一个g
  • A->B: Alice 生成g^x,并且签名SignAlice(g^x)
  • B->A: Bob 生成g^y,并且签名SignBob(g^y)
  • SS=g^xy: 生成共享的公钥

第二步,使用公钥加密消息,消息传递。

  • 计算EK=Hash(SS), MK=Hash(EK)
  • A->B: Encek(M), MAC(Encek(M),MK)
  • Enc采用对称加密算法,比如AES算法用EK作为密钥
  • Bob 用MK验证MAC, 用EK解密M
  • 保密性和真实性得到了保证

第三步,更新密钥

  • Alice and Bob 再取一个x’,y’
  • A->B: g^x’, MAC(g^x’, MK)
  • B->A: g^y’, MAC(g^y’, MK)
  • SS’ = H(g^x’y’)
  • EK’ = H(SS’), MK’=H(EK’)
  • 随后,Alice和Bob安全清除掉之前的SS, x, y, EK

第四步,继续保留 MK

  • Alice 和 Bob 并不需要去清除MK
  • 事实上,在他们发下一条消息的时候还用着之前的MK
  • 这让中间人攻击者只能伪造过去的消息,并不能对现在的消息造成影响

从宏观的角度上来看,假设是Alice是消息发送方 发给 Bob是消息接受方,大致步骤可以分为:

  1. Alice 和 Bob 都自行生成一对公私钥对,并将自己的公钥发送给对方
  2. 若消息Alice打算发送消息M,则发送方首先用Bob的公钥和自己的私钥对M进行加密、签名,得到M1
  3. M1经由服务器被发送给消息接收方
  4. Bob用自己的私钥和Alice的公钥对M1进行解密、签名校验,最终还原出M

Awesome OTRs

官网: https://otr.cypherpunks.ca/

pidgin-otr: https://otr.cypherpunks.ca/gentoo-install/otr-setup.html

JavaScript 实现: https://github.com/arlolra/otr

otr.to源代码(JS): https://github.com/OTRMan/otr.to-chat

一个python的otr项目: https://github.com/SpiralP/HexChat-otr

otrtalk(JS): https://github.com/mnaamani/otrtalk

Facebook的OTR实现Chrome插件:https://github.com/osnr/otron

一个基于OTR技术的P2P聊天系统: https://github.com/mehrvarz/P2pChatOTR

小结

研究算法的过程很有趣,也很累,每次应用OTR技术聊天的时候,我都强烈的感受到我的数据包被加密解密的过程,不知道为什么,感觉,异常,舒爽…