r   e   k   l   a   m   a
r   e   k   l   a   m   a

Prace ruszyły: już w maju tylko szyfrowana komunikacja przez Jabbera/XMPP

Strona główna AktualnościOPROGRAMOWANIE

Jabber jako taki nigdy nie był standardem internetowym, lecz raczej opisem metod, które powinny być wykorzystywane przez serwery i klienty, by wzajemnie ze sobą „rozmawiać”. Dopiero po zajęciu się tą technologią przez Internet Engineering Task Force doczekaliśmy się standardu protokołu XMPP, standard ten jednak mówi jedynie o kluczowych aspektach wymiany informacji, tj. łączenia się klienta z serwerem, wymiany danych, zarządzania kontaktami czy regułami prywatności. I choć w dokumencie RFC znajdziemy rozdział Security Considerations, z którego wynika, że implementacje muszą wspierać silne bezpieczeństwo (rozumiane jako wykorzystywanie technologii zapewniających wzajemne uwierzytelnianie i kontrolę spójności), to na tym w zasadzie się sprawa bezpieczeństwa kończy. Szyfrowanie wiadomości nie jest już obowiązkiem, wiele klientów XMPP nie wspiera ani mechanizmów OpenPGP, ani OTR. Klimat polityczny ostatnich miesięcy sprawił jednak najwyraźniej, że sytuacja ta w tym roku jeszcze ulegnie zmianie.

Wczoraj grupa operatorów serwerów Jabbera/XMPP i twórców klientów tego protokołu opublikowała ważne oświadczenie, w którym zobowiązuje się do wprowadzenia powszechnego szyfrowania komunikacji, i ukończenia prowadzących do tego prac do 19 maja tego roku. Co szczególnie ważne, sygnatariusze oświadczenia zamierzają wyjść poza uczynienie obowiązkowymi (dotychczas opcjonalnych) mechanizmów SSL/TLS.

Tak więc docelowo serwery XMPP będą wymagały nawiązywania połączeń klient-serwer jak i serwer-serwer po TLS, najlepiej z uwierzytelnieniem, w ostateczności z nieuwierzytelnionym szyfrowaniem poprzez TLS plus Server Dialback. Forsowane będą te zestawy szyfrów, które pozwalają na stosowanie algorytmów Perfect Forward Secrecy (dzięki czemu klucze szyfrujące są generowane oddzielnie dla każdej sesji, tak że przejęcie przez napastników klucza nie zakończy się ujawnieniem całej komunikacji przechodzącej przez serwer), zalecane będzie też stosowanie certyfikatów wystawionych jedynie przez szanowane i dobrze znane urzędy certyfikujące.

Z kolei klienty Jabbera/XMPP będą musiały wspierać metodę STARTTLS (ustanawiającą szyfrowanie TLS i pozwalającą potwierdzić swoją tożsamość wymianą certyfikatów) i forsować wybór najnowszej wersji TLS (1.2), zapewniając przy tym dla kompatybilności z istniejącym oprogramowaniem obsługę starszych wersji TLS i SSLv3. Całkowicie ma za to zostać wyłączone wsparcie dla SSLv2 (które ma liczne słabości – stosuje np. te same klucze do uwierzytelnienia i szyfrowania, otwarte jest na ataki man-in-the-middle i fałszowanie pakietów kończących wiadomości).

Klienty będą musiały też dysponować panelami do ustawiania opcji szyfrowania (z preferowaniem szyfrów umożliwiających Perfect Forward Secrecy), powinny też mieć interfejsy pokazujące typ stosowanego szyfrowania i szczegóły certyfikatu serwera, jak również ostrzegające w razie zajścia jakichkolwiek zmian w certyfikacie.

Pierwsze testy sieci z wymaganym szyfrowaniem odbyły się już 4 stycznia, kolejne dni testowe zapowiedziane są w lutym, marcu i kwietniu, tak by 19 maja 2014 roku sieć XMPP stała się całkowicie szyfrowana. Będzie to jednak dopiero zakończenie pierwszego etapu wzmocnienia bezpieczeństwa Jabbera – sygnatariusze oświadczenia podkreślają, że wciąż konieczne będą prace nad szyfrowaniem klient-klient (OTR), silnym uwierzytelnianiem, zabezpieczaniem DNS czy bezpieczną delegacją usług.

Wśród zaangażowanych w prace znaleźć można najważniejsze postacie związane z Jabberem, w tym Jeremiego Millera, wynalazcę tego systemu komunikacji i Petera Saint-Andre, autora dokumentu RFC standaryzującego protokół, operatorów największych serwerów XMPP (w tym Rafała Zawadzkiego z JabberPL.org), a także twórców popularnych klientów – Adium, Mirandy czy Gajima. Niestety nie znajdziemy w tej grupie nikogo z firm, które wykorzystały XMPP do budowy własnych sieci komunikacyjnych, takich jak Facebook czy Nk.pl, czy też inspirowanych XMPP komunikatorów, takich jak Tlen.pl. Trudno więc powiedzieć, jak po 19 maja będzie wyglądała komunikacja z użytkownikami np. NkTalka.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.