Prace ruszyły: już w maju tylko szyfrowana komunikacja przez Jabbera/XMPP

Jabber jako taki nigdy nie był standardem internetowym, leczraczej opisem metod, które powinny być wykorzystywane przez serweryi klienty, by wzajemnie ze sobą „rozmawiać”. Dopiero po zajęciusię tą technologią przez Internet Engineering Task Forcedoczekaliśmy się standarduprotokołu XMPP, standard ten jednak mówi jedynie o kluczowychaspektach wymiany informacji, tj. łączenia się klienta z serwerem,wymiany danych, zarządzania kontaktami czy regułami prywatności. Ichoć w dokumencie RFC znajdziemy rozdział SecurityConsiderations, z któregowynika, że implementacje muszą wspierać silnebezpieczeństwo (rozumiane jakowykorzystywanie technologii zapewniających wzajemne uwierzytelnianiei kontrolę spójności), to na tym w zasadzie się sprawabezpieczeństwa kończy. Szyfrowanie wiadomości nie jest jużobowiązkiem, wiele klientów XMPP nie wspiera ani mechanizmówOpenPGP, ani OTR. Klimat polityczny ostatnich miesięcy sprawiłjednak najwyraźniej, że sytuacja ta w tym roku jeszcze ulegniezmianie.[img=encrypted-communication]Wczoraj grupa operatorówserwerów Jabbera/XMPP i twórców klientów tego protokołuopublikowała ważne oświadczenie, w którym zobowiązuje się dowprowadzenia powszechnego szyfrowania komunikacji, i ukończeniaprowadzących do tego prac do 19 maja tego roku. Co szczególnieważne, sygnatariusze oświadczenia zamierzają wyjść pozauczynienie obowiązkowymi (dotychczas opcjonalnych) mechanizmówSSL/TLS.Tak więc docelowo serwery XMPPbędą wymagały nawiązywania połączeń klient-serwer jak iserwer-serwer po TLS, najlepiej z uwierzytelnieniem, w ostatecznościz nieuwierzytelnionym szyfrowaniem poprzez TLS plus Server Dialback.Forsowane będą te zestawy szyfrów, które pozwalają na stosowaniealgorytmów Perfect Forward Secrecy (dzięki czemu klucze szyfrującesą generowane oddzielnie dla każdej sesji, tak że przejęcie przeznapastników klucza nie zakończy się ujawnieniem całej komunikacjiprzechodzącej przez serwer), zalecane będzie też stosowaniecertyfikatów wystawionych jedynie przez szanowane i dobrze znaneurzędy certyfikujące.Z kolei klienty Jabbera/XMPP będąmusiały wspierać metodę STARTTLS (ustanawiającą szyfrowanie TLSi pozwalającą potwierdzić swoją tożsamość wymianącertyfikatów) i forsować wybór najnowszej wersji TLS (1.2),zapewniając przy tym dla kompatybilności z istniejącymoprogramowaniem obsługę starszych wersji TLS i SSLv3. Całkowiciema za to zostać wyłączone wsparcie dla SSLv2 (które ma licznesłabości – stosuje np. te same klucze do uwierzytelnienia iszyfrowania, otwarte jest na ataki man-in-the-middle i fałszowaniepakietów kończących wiadomości).Klienty będą musiały teżdysponować panelami do ustawiania opcji szyfrowania (z preferowaniemszyfrów umożliwiających Perfect Forward Secrecy), powinny teżmieć interfejsy pokazujące typ stosowanego szyfrowania i szczegółycertyfikatu serwera, jak również ostrzegające w razie zajściajakichkolwiek zmian w certyfikacie.Pierwsze testy sieci z wymaganymszyfrowaniem odbyły się już 4 stycznia, kolejne dni testowezapowiedziane są w lutym, marcu i kwietniu, tak by 19 maja 2014 rokusieć XMPP stała się całkowicie szyfrowana. Będzie to jednakdopiero zakończenie pierwszego etapu wzmocnienia bezpieczeństwaJabbera – sygnatariusze oświadczenia podkreślają, że wciążkonieczne będą prace nad szyfrowaniem klient-klient (OTR), silnymuwierzytelnianiem, zabezpieczaniem DNS czy bezpieczną delegacjąusług. Wśród zaangażowanych w praceznaleźć można najważniejsze postacie związane z Jabberem, w tymJeremiego Millera, wynalazcę tego systemu komunikacji i PeteraSaint-Andre, autora dokumentu RFC standaryzującego protokół,operatorów największych serwerów XMPP (w tym Rafała Zawadzkiego zJabberPL.org), a także twórców popularnych klientów – Adium,Mirandy czy Gajima. Niestety nie znajdziemy w tej grupie nikogo zfirm, które wykorzystały XMPP do budowy własnych siecikomunikacyjnych, takich jak Facebook czy Nk.pl, czy teżinspirowanych XMPP komunikatorów, takich jak Tlen.pl. Trudno więcpowiedzieć, jak po 19 maja będzie wyglądała komunikacja zużytkownikami np. NkTalka.