Prace ruszyły: już w maju tylko szyfrowana komunikacja przez Jabbera/XMPP

Prace ruszyły: już w maju tylko szyfrowana komunikacja przez Jabbera/XMPP05.01.2014 13:19

Jabber jako taki nigdy nie był standardem internetowym, leczraczej opisem metod, które powinny być wykorzystywane przez serweryi klienty, by wzajemnie ze sobą „rozmawiać”. Dopiero po zajęciusię tą technologią przez Internet Engineering Task Forcedoczekaliśmy się standarduprotokołu XMPP, standard ten jednak mówi jedynie o kluczowychaspektach wymiany informacji, tj. łączenia się klienta z serwerem,wymiany danych, zarządzania kontaktami czy regułami prywatności. Ichoć w dokumencie RFC znajdziemy rozdział SecurityConsiderations, z któregowynika, że implementacje muszą wspierać silnebezpieczeństwo (rozumiane jakowykorzystywanie technologii zapewniających wzajemne uwierzytelnianiei kontrolę spójności), to na tym w zasadzie się sprawabezpieczeństwa kończy. Szyfrowanie wiadomości nie jest jużobowiązkiem, wiele klientów XMPP nie wspiera ani mechanizmówOpenPGP, ani OTR. Klimat polityczny ostatnich miesięcy sprawiłjednak najwyraźniej, że sytuacja ta w tym roku jeszcze ulegniezmianie.[img=encrypted-communication]Wczoraj grupa operatorówserwerów Jabbera/XMPP i twórców klientów tego protokołuopublikowała ważne oświadczenie, w którym zobowiązuje się dowprowadzenia powszechnego szyfrowania komunikacji, i ukończeniaprowadzących do tego prac do 19 maja tego roku. Co szczególnieważne, sygnatariusze oświadczenia zamierzają wyjść pozauczynienie obowiązkowymi (dotychczas opcjonalnych) mechanizmówSSL/TLS.Tak więc docelowo serwery XMPPbędą wymagały nawiązywania połączeń klient-serwer jak iserwer-serwer po TLS, najlepiej z uwierzytelnieniem, w ostatecznościz nieuwierzytelnionym szyfrowaniem poprzez TLS plus Server Dialback.Forsowane będą te zestawy szyfrów, które pozwalają na stosowaniealgorytmów Perfect Forward Secrecy (dzięki czemu klucze szyfrującesą generowane oddzielnie dla każdej sesji, tak że przejęcie przeznapastników klucza nie zakończy się ujawnieniem całej komunikacjiprzechodzącej przez serwer), zalecane będzie też stosowaniecertyfikatów wystawionych jedynie przez szanowane i dobrze znaneurzędy certyfikujące.Z kolei klienty Jabbera/XMPP będąmusiały wspierać metodę STARTTLS (ustanawiającą szyfrowanie TLSi pozwalającą potwierdzić swoją tożsamość wymianącertyfikatów) i forsować wybór najnowszej wersji TLS (1.2),zapewniając przy tym dla kompatybilności z istniejącymoprogramowaniem obsługę starszych wersji TLS i SSLv3. Całkowiciema za to zostać wyłączone wsparcie dla SSLv2 (które ma licznesłabości – stosuje np. te same klucze do uwierzytelnienia iszyfrowania, otwarte jest na ataki man-in-the-middle i fałszowaniepakietów kończących wiadomości).Klienty będą musiały teżdysponować panelami do ustawiania opcji szyfrowania (z preferowaniemszyfrów umożliwiających Perfect Forward Secrecy), powinny teżmieć interfejsy pokazujące typ stosowanego szyfrowania i szczegółycertyfikatu serwera, jak również ostrzegające w razie zajściajakichkolwiek zmian w certyfikacie.Pierwsze testy sieci z wymaganymszyfrowaniem odbyły się już 4 stycznia, kolejne dni testowezapowiedziane są w lutym, marcu i kwietniu, tak by 19 maja 2014 rokusieć XMPP stała się całkowicie szyfrowana. Będzie to jednakdopiero zakończenie pierwszego etapu wzmocnienia bezpieczeństwaJabbera – sygnatariusze oświadczenia podkreślają, że wciążkonieczne będą prace nad szyfrowaniem klient-klient (OTR), silnymuwierzytelnianiem, zabezpieczaniem DNS czy bezpieczną delegacjąusług. Wśród zaangażowanych w praceznaleźć można najważniejsze postacie związane z Jabberem, w tymJeremiego Millera, wynalazcę tego systemu komunikacji i PeteraSaint-Andre, autora dokumentu RFC standaryzującego protokół,operatorów największych serwerów XMPP (w tym Rafała Zawadzkiego zJabberPL.org), a także twórców popularnych klientów – Adium,Mirandy czy Gajima. Niestety nie znajdziemy w tej grupie nikogo zfirm, które wykorzystały XMPP do budowy własnych siecikomunikacyjnych, takich jak Facebook czy Nk.pl, czy teżinspirowanych XMPP komunikatorów, takich jak Tlen.pl. Trudno więcpowiedzieć, jak po 19 maja będzie wyglądała komunikacja zużytkownikami np. NkTalka.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na