Concept
Off-the-Record Messaging (en français: messagerie confidentielle), appelé communément OTR, est un protocole cryptographique. Il utilise une combinaison d'un algorithme de clés symétriques AES, du protocole d'échange de clés Diffie-Hellman et de la fonction de hachage SHA-1. OTR permet d'avoir des conversations privées sur de multiples protocoles de messagerie instantanée (XMPP/Jabber, IRC, SILC, MSN...) en fournissant : Chiffrement : personne d'autre ne peut lire les messages instantanés. Authentification : ou comment s'assurer que le correspondant est celui que l'on pense être. Il existe trois méthodes d'authentification : Question & Réponse : quand on authentifie un contact par cette méthode, on écrit une question et sa réponse et le contact seulement la réponse. Si les réponses ne sont pas identiques, il pourrait s'agir d'une conversation avec un imposteur. Secret partagé : choisir un 'code secret' connu de seulement l'expéditeur ou du contact et attendre que celui-ci entre le 'code secret'. Si les secrets ne sont pas identiques, il pourrait s'agir d'une conversation avec un imposteur. Vérification manuelle d'empreinte : contacter le destinataire via un autre canal authentifié, comme le téléphone ou un mail GPG-signé. Chacun devra donner son empreinte à l'autre. Si l'empreinte du contact est identique à celle indiquée sur votre écran, dire que l'empreinte a été vérifiée. Déni plausible : n'importe qui peut forger des messages avant ou après une conversation privée pour les faire voir comme s'ils venaient de soi. Cependant, pendant une conversation privée, le correspondant est assuré que les messages qu'il voit sont authentiques et non-modifiés. Confidentialité persistante : si on perd la maîtrise de ses clefs privées, aucune conversation antérieure n'est compromise. OTR se présente sous la forme d'un greffon à un client de messagerie instantanée ou alors il y est intégré nativement (voir ci-dessous). Tous les protocoles (ou presque) supportés par ces clients de messagerie instantanée peuvent utiliser OTR.
Serge Vaudenay, Daniel Patrick Collins