В последнее время наблюдается повышенный интерес к теме безопасных мессенджеров. Поскольку наиболее популярные из современных мессенджеров, претендующих на безопасность, являются закрытыми, требуют обязательного указания мобильного телефона или, например, работают в браузере, мне лично большого доверия они не внушают. Поэтому сегодня речь пойдет о полностью открытом, бесплатном, кроссплатформенном и внушающем какое-то доверие варианте, заключающемся в использовании Jabber (он же XMPP) с OTR-плагином.
Fun fact! Из возможных альтернатив Jabber с OTR можно назвать Tox и GNU Ring. К сожалению, на момент написания этих строк оба мессенджера работают крайне нестабильно — например, могут иногда терять сообщения, или наоборот, присылать их многократно. Из действительно работающих сегодня решений я лично знаю только Jabber с OTR.
OTR — это название протокола, означающее Off The Record. Протокол этот в чем-то похож на уже знакомый нам PGP/GPG, но с рядом важных отличий. Для нас наиболее интересные отличия заключаются в обеспечении отрицаемости и forward secrecy.
Про запрет анонимности в мессенджерах, анонимность Telegram и что такое Jabber [ПЕРЕЗАЛИВ]
Отрицаемость означает, что перехватив сообщения и даже расшифровав их, нельзя строго доказать, что их действительно отправлял их отправитель, а не кто-то, подделавший сообщение (во всяком случае, с точки зрения криптографии/математики; юридически возможны нюансы). Forward secrecy означает, что даже если спустя N лет кто-то получит доступ к вашему закрытому ключу, это не поможет расшифровать сообщения, переданные в прошлом. Больше подробностей можно найти в статьях, ссылки на которые были только что приведены по тексту.
Многие Jabber-клиенты поддерживают OTR из коробки или же через плагин. В частности, такая поддержка есть в Pidgin и Psi+. Лично я в это время суток предпочитаю Psi+, поэтому речь далее пойдет о нем. Под Arch Linux его можно поставить так:
yaourt -S psi-plus-qt5-git psi-plus-plugins-qt5-git
Заметьте, что пакет psi-plus-git, собирающий Psi+ с Qt4, на момент написания этих строк был сломан. Если же вы пользуетесь Ubuntu:
sudo apt-get install psi-plus psi-plus-plugins
Само собой разумеется, Psi+ работает и на других платформах. На официальном сайте доступны пакеты для Windows, MacOS, и так далее.
В интерфейсе клиента, думаю, вы разберетесь без моей помощи, тем более, что со временем он может немного измениться. Вам просто нужно включить плагин OTR и сгенерировать себе ключ.
Шифрованный чат будет выглядеть как-то так:
Примите во внимание, что:
- Для новых контактов нужно проверять fingerprints и жать им verify в свойствах плагина. В противном случае возможна атака MITM;
- OTR не обеспечивает анонимности / скрытия IP. Для решения этой проблемы используйте прокси, VPN или Tor. В последнем случае желательно использовать и Jabber-сервер, являющийся hidden service в этой сети (например, otr.im). Если вам нужна встроенная поддержка Tor, то она есть в Tor Messenger (мессенджер умеет работать с Jabber, IRC, Facebook, Twitter и не только, поддерживает OTR). Помните также про существование способов деанонимизации пользователей IM, например, при помощи ссылок на веб-страницы;
- Даже если вы используете OTR, это не повод не включить в клиенте обязательное использование TLS при подключении к серверу;
- OTR работает, только если оба пользователя находятся онлайн;
Субъективно последний пункт является наиболее отталкивающим. Если для вас это является существенной проблемой, возможно, вам больше подойдет PGP/GPG, который также поддерживается в Psi+. У PGP него нет проблем с доставкой сообщений оффлайн, правда и отрицаемости с forward secrecy он не предоставляет.
КАК ВЗЛАМЫВАЮТ ТЕЛЕФОНЫ. Безопасность и уязвимость Jabber (XMPP)
Если вас интересуют мобильные клиенты с поддержкой OTR, то они тоже существуют, в частности, Xabber под Android и ChatSecure под iOS (есть версия и под Android, но она больше не развивается). Будучи в это время суток пользователем Android, я попробовал Xabber. Вполне нормальный мобильный Jabber-клиент, OTR работает. Также в Xabber была обнаружена поддержка Tor.
Наконец, отмечу, что есть реализация OTR и для протоколов, отличных от Jabber. В частности, есть плагин для irssi. Более полный список всех IM и клиентов к ним, поддерживающих OTR, можно найти во все той же статье про OTR на Википедии.
Нормальные люди, увы, никогда не станут пользоваться OTR, потому что хотят групповые чаты, посылку сообщений, когда получатель или даже отправитель находится оффлайн, зашифрованную историю всех сообщений с возможностью моментально менять мастер-пароль, синхронизацией между несколькими устройствами и поиском по истории, пересылку картинок, видео-звонки, редактирование и удаление сообщений, и так далее. В общем, больше удобства. Но если вы готовы пожертвовать удобством ради чего-то, что напоминает настоящую безопасность, Jabber с OTR похож на что-то, что ее предоставляет.
А пользуетесь ли вы Jabber с OTR или иными криптомессенджерами? Если да, то каковы ваши впечатления?
Вы можете прислать свой комментарий мне на почту, или воспользоваться комментариями в Telegram-группе.
Источник: eax.me
Что такое «Джаббер» и как им пользоваться?
«Джаббер» (Jabber) в переводе с английского означает «болтовня» или «болтовня». Это исходное название бесплатного протокола обмена мгновенными сообщениями XMPP, а также собирательное название клиентских программ, которые его используют. Менее чем за двадцать лет технология прошла этап бурного развития и приобрела всемирную известность. Что такое Jabber в настоящем и как им пользоваться? Об этом и многом другом вы узнаете из статьи.
История появления
Официальной датой рождения технологии XMPR считается 4 января 1999 года. В этот день в сети было размещено сообщение о начале работы над проектом. Изначально разработка получила большую поддержку со стороны информационных компаний. Параллельно велся процесс создания серверной части и клиентских программ для различных операционных систем. Были разработаны специальные сетевые шлюзы, которые позволили обмениваться сообщениями с уже существующими крупными IM-клиентами, такими как ICQ, MSN Messenger и AIM.
В середине 2000 года была завершена разработка первой стабильной серверной версии. Год спустя была создана Jabber Software Foundation — организация, задачей которой было дальнейшее развитие протокола и модернизация его технических характеристик. Позже, в 2007 году, он был переименован в XMPP Standarts Foundation, тем самым отделив разработку самого протокола обмена от разработки одноименного программного обеспечения.
«Золотой век»
В 2005 году Google, который в то время уже был глобальным поисковым гигантом, объявил о запуске проекта Google Talk. Сервис предполагал передачу текстовых и голосовых сообщений по протоколу XMPP. Шесть месяцев спустя сетевой шлюз был открыт, и пользователи Google Talk смогли обмениваться данными между серверами. Фактически, они могут вести переписку с любым пользователем в мире, используя клиентскую программу XMPP.
Конечно, такой шаг Google нельзя было проигнорировать. Возможность работы по протоколу ХМРР в короткие сроки реализовали все конкуренты в области исследований и крупнейшие социальные сети. Доступ осуществлялся как через сетевые шлюзы, так и через создание собственных мессенджеров. Для пользователей Jabber наступил «золотой век». Протокол XMPP позволил связать несколько учетных записей с программой и свободно обмениваться сообщениями, используя их одновременно.
Заглядывая в будущее, я должен сказать, что это взаимное проникновение технологий длилось недолго. Один за другим ИТ-гиганты начали отключать сетевые шлюзы, чтобы вернуть себе целевую аудиторию. Google запустил новый проект, основанный на проприетарном протоколе, и с 2013 года. В 2015 году Google Talk был официально закрыт. Яндекс без промедления завершил аналогичный проект».
Особенности протокола ХМРР
В отличие от всех других служб обмена сообщениями, Jabber не привязан к одному концентратору. Любой желающий может установить Jabber-сервер на компьютер. В этом XMPP похож на электронную почту. Новый сервер может быть подключен к другим серверам по всему миру или работать в изолированной и закрытой сети. Эта функция делает его удобным для использования в качестве бизнес-клиента.
Спецификация XMPP допускает обмен данными с использованием различных механизмов шифрования сообщений. Реализация данного метода защиты по переписке возможна как на сервере, так и на стороне клиентских приложений, поддерживающих использование технологий SSL и PGP.
Взаимодействие с другими мессенджерами организовано через сетевой шлюз или, как его еще называют, транспорт. Существуют различные варианты транспорта, с помощью которых вы можете получить доступ к электронной почте, метеослужбам, RSS-каналам. Открытый исходный код протокола позволяет реализовать различные параметры, необходимые пользователям шлюза.
Как зарегистрироваться?
Вы уже знаете, что такое Jabber. Если вы заинтересовались этой технологией и решили опробовать ее в действии, мы расскажем, как это сделать. Вы можете зарегистрироваться в Jabber на любом активном сервере. Для примера рассмотрим всю процедуру применительно к старейшему в России сервису Jabber.ru. Он предлагает стабильную работу, большую клиентскую базу и предоставляет пошаговые инструкции для новых пользователей.
В форме регистрации предлагается выбрать логин, который будет использоваться в будущем в системе обмена сообщениями, и ввести действующий адрес электронной почты. Как видите, процедура проста и абсолютно стандартна для многих интернет-проектов. Полученное письмо будет содержать ваш Jabber ID, более известный как JID, и ссылку для ввода вашего пароля для доступа к нему.
Выполнив эти несложные манипуляции, вы получите полный доступ к сети Jabber. Протокол JP или XMPP позволяет общаться с любым пользователем Jabber, независимо от сервера, на котором он зарегистрирован. Для отправки сообщения достаточно знать JID запрашиваемого подписчика.
Клиенты для компьютера
Есть много программ для разных операционных систем. Вы можете выбрать подходящее по функционалу приложение и начать пользоваться сервисом Jabber. Вы уже завершили регистрацию, поэтому при первоначальной настройке вы указываете полученное имя. Заполните поле с названием сервера и дайте согласие на автоматическое определение порта для его работы. Чтобы облегчить вам выбор, мы представляем некоторых из самых популярных клиентов:
Если вы используете macOS, вы можете обойтись без загрузки сторонних приложений. Программа Standard Messaging, входящая в состав этой операционной системы, позволяет подключать к ней Jabber. Сеть будет автоматически входить в систему при каждой загрузке.
Мобильные клиенты
невозможно представить современный сервис без мобильных клиентов, а найти человека, который бы не пользовался услугами обмена мгновенными сообщениями, довольно сложно. Несмотря на конкуренцию со стороны популярных мессенджеров с многомиллионной аудиторией, мобильный клиент Jabber существует, причем в нескольких версиях. Одни проекты стоят в стагнации, другие активно развиваются. Например, Talkonaut, у которого есть версии для Android и iOS с регулярными обновлениями.
Talkonaut позволяет не только обмениваться сообщениями, но и совершать звонки по протоколу VoIP. Так что в целом он мало отличается по функциональности от многих более известных конкурентов, хотя и использует протокол, разработанный свободным сообществом.
Cisco Jabber
Нельзя сказать, что идея использования протокола XMPP мертва в самом расцвете сил, не выдержав конкуренции. Да, многие проекты полагаются исключительно на работу энтузиастов, поэтому бесплатный Jabber развивается не очень активно. В то же время есть примеры успешного применения этой технологии в корпоративной среде.
В 2008 году Cisco Systems (мировой лидер в области ИТ) приобрела платформу Jabber XCP. С тех пор компании удалось превратить этот проект в успешный бизнес-продукт с использованием бесплатного протокола XMPP. Пользователи имеют доступ к функциям обмена сообщениями, функциям голосовых и видеозвонков. Версии Cisco Jabber разработаны для Windows и MacOS, а также для мобильных платформ iOS и Android. Продукт продвигается на корпоративном рынке как современное комплексное решение для организации многофункциональных коммуникаций.
Джаббер и Linux
Пользователи Linux хорошо знают, что такое Jabber. Любой дистрибутив этой бесплатной операционной системы (независимо от используемой графической среды) содержит интегрированную программу обмена мгновенными сообщениями. Практически любой может подключиться и работать по протоколу XMPP.
Одной из интересных функций, поддерживаемых этой программой, являются лекции. Это специально созданные тематические комнаты, своего рода виртуальный клуб по интересам. Чтобы присоединиться к такой конференции, вам нужен только рабочий Jabber. Регистрация в каждом из них отдельно не требуется. На сервере Jabber.ru вы можете найти список активных конференций, подключенных в режиме реального времени.
Сотни этих небольших форумов работают каждый день на постоянной основе. Более половины посвящено разным версиям Linux. В них вы можете задать вопрос и быстро получить ответ от других пользователей Linux.
Сильные и слабые стороны
Давайте проанализируем сильные и слабые стороны этой технологии, чтобы понять, почему после бурного старта и «золотого века» ее использования ее вытеснили более успешные конкуренты с закрытыми протоколами.
- Гибкая сетевая архитектура с использованием механизма децентрализованного доступа.
- Безопасность и шифрование на уровне сервера и клиента.
- Расширяемость платформы с помощью сетевых транспортов.
- Открытие стандарта ХМРР для разработчиков программного обеспечения.
- Торговля отходами. Более половины информации, передаваемой по сети с использованием протокола XMPP, — это данные о присутствии пользователя.
- Громоздкий механизм передачи файлов с загрузкой Jabber Chttps://oao-ka.ru/informacionnye-tehnologii/chto-takoe-dzhabber-i-kak-im-polzovat/» target=»_blank»]oao-ka.ru[/mask_link]
Telegram vs Jabber
Эти 2 приложения лучшие на данный момент по шифру и не одни органы МВД, ФСБ, ФСКН и тд не читают там наши сообщения, ну или Жаббер это вообще топ-1 по шифру и привату, даже Телега с ним рядом не лежала.. Что думаете вы по этому поводу?
16 Oct 2017 в 12:14 #2
16 Oct 2017 в 12:15 #3
Думаю, что спецслужбам глубоко пофигу, что я пишу своим друзьям в вк.
16 Oct 2017 в 12:15 #4
16 Oct 2017 в 12:17 #5
DrWoodoo сказал(а):↑
Думаю, что спецслужбам глубоко пофигу, что я пишу своим друзьям в вк.
Нажмите, чтобы раскрыть.
сам пользуюсь телеграмом
16 Oct 2017 в 12:18 #6
Телега норм, про второй не слышал. Да и в принципе вк тоже отличный, мне думается товарищу майору все равно на твои переписки. А если не все равно, так он тебя и в телеге найдет, и в том джагернауте.
16 Oct 2017 в 12:20 #7
Пользуюсь аськой. Она настолько древняя что никакое фсб туда не заглядывает.
16 Oct 2017 в 12:25 #8
DARKKIS сказал(а):↑
Эти 2 приложения лучшие на данный момент по шифру и не одни органы МВД, ФСБ, ФСКН и тд не читают там наши сообщения, ну или Жаббер это вообще топ-1 по шифру и привату, даже Телега с ним рядом не лежала.. Что думаете вы по этому поводу?
Нажмите, чтобы раскрыть.
Может ФСБ и не сможет читать сообщения, кто сказал что другие тоже не могут?
Источник: dota2.ru