Шифрование в Jabber: различия между версиями

Материал из Мир Jabber
Перейти к навигацииПерейти к поиску
м (Добавил про E2E)
(Переработал текст для наименьшего дублирования информация, но ещё нужен допил.)
Строка 1: Строка 1:
==Введение==
==Введение==
Для обеспечения безопасного подключения к серверу, а также для сохранения конфиденциальности разговоров в сети Jabber используются разнообразные системы шифрования. При подключении к серверу вся сессия между клиентом и сервером (т.е., Ваш логин, [[Пароль|пароль]] и все то, о чем вы говорите) может шифроваться при помощи одного из протоколов - [[ru_wikipedia:SSL|SSL]] либо [[ru_wikipedia:TLS|TLS]]. Для большей конфиденциальности и для исключения перехвата трафика на сервере в дополнение к SSL/TLS можно использовать шифрование с использованием пары открытых и закрытых ключей - [[ru_wikipedia:GPG|GPG]] или [[ru_wikipedia:OTR|OTR]], а для сохранения конфиденциальности пароля используется SASL. Ниже разъясняется значение этих сокращений.
Jabber обладает широкими возможностями в области шифрования. Для обеспечения безопасного подключения к серверу, а также для сохранения конфиденциальности разговоров в сети Jabber используются разнообразные системы шифрования. Ниже рассмотрены самые распространенные.


==Терминология==
==Терминология==


* '''SASL''' - Один из способов логина. При нем вместо [[Пароль|пароля]] передается его хэш-сумма, поэтому получить [[Пароль|пароль]] недоброжелателю при таком способе логина проблематично.<ref>Часто происходит путаница между SASL и передачей пароля открытым текстом. На самом деле, в случае, если включена опция "передавать пароль открытым текстом", пароль передается зашифрованным. Пароль передается открытым текстом только когда отключен SASL, что практически никогда не происходит.</ref>
* Для безопасной передачи пароля при подключении используется механизм '''SASL'''. Суть его действия заключается в том, что [[Пароль|пароль]] передается в обработанном виде (отсылается его хэш-сумма), поэтому получить [[Пароль|пароль]] недоброжелателю в этом случае крайне тяжело.<ref>В некоторые клиентах, таких как [[Psi]], допущена ошибка - в настройках возможно включить передачу пароля открытым текстом, но на самом деле и в этом случае используется хэш-сумма. Однако мы настоятельно рекомендуем не включать эту опцию.</ref> Этот механизм включен по умолчанию практически во всех клиентах, поэтому вам не требуется совершать какие-либо действия для его включения.


* '''SSL''' - традиционный способ шифрования. При включенном SSL шифрование начинается с самого начала передачи данных. SSL обычно использует специально выделенный порт 5223. Также может называться "Традиционное шифрование", "Защищенная сеть XMPP (старый стиль)" или "безопасное соединение (офис)"
* Для шифрования самих сообщений используются протоколы '''TLS''' и '''SSL'''. Благодаря этим технологиям, злоумышленнику будет значительно тяжелее перехватить вашу переписку. Эти протоколы очень похожи между собой, но TLS считается немного более современным. В большинстве клиентов для компьютеров TLS или SSL включены по умолчанию, а в клиентах для мобильных устройств требуется включить эту опцию в настройках. При желании вы можете добавить [[Сертификаты в TLS/SSL|сертификат]] из доверенного источника в ваш клиент - это повысит безопасность. Крайне важно отметить, что при использовании TLS или SSL Jabber-сервер производит расшифровку сообщений, поэтому администратор сервера имеет полный доступ к вашей переписке.


* '''TLS''' - более новый способ шифрования, базируется на SSL. Сеанс начинается без шифрования и включается только в случае, если оно возможно. Работает на том же порту, что и Jabber без шифрования, обычно 5222. Также может называться "Защищенная сеть XMPP", "безопасное соединение" или просто "шифрование включено"
* Если вы не доверяете своему серверу, то вам необходимо использовать '''[[OTR]]''', '''E2E''' или '''[[Настройка GPG-шифрования между Psi и Gajim|GPG]]'''. Первые два не требуют особых усилий для их использования, GPG же нуждается в некоторой настройке, но дает максимально возможную для Jabber степень безопасности.
 
* '''GPG''' - свободная реализация PGP. Используется для шифрования исключительно сообщений и проходит сервер в зашифрованном виде. Дешифруется на конечном клиенте по доверенному ключу. Для шифрования используется открытый и закрытый ключи.
 
* '''OTR''' - протокол шифрования, специально созданный для сетей обмена мгновенными сообщениями. Шифрует только сообщения. Не требует предварительного обмена ключами.
 
* '''E2E''' - способ шифрования, используемый в [[Gajim]] и использующий открытый и закрытый ключи для шифрования. Подходит для шифрования между двумя пользователями с Gajim, для других клиентов рекомендуется использовать более популярный '''GPG'''.
 
==Что использовать?==
 
Для большей безопасности при общении в сети Jabber стоит как минимум использовать один из протоколов шифрования сессии - TLS либо SSL<ref>SSL считается устаревшим, поэтому рекомендуется использовать TLS.</ref>. Благодаря этому практически исключается перехват трафика (т.е., Ваших паролей и разговоров) в Вашей локальной сети либо на промежуточных узлах между клиентом и сервером. Сейчас практически не осталось серверов, не поддерживающих один из этих протоколов, поэтому практически всегда сессия изначально защищена. Ценой безопасного общения становится немного увеличившееся время подключения к серверу, но оно стоит того. Такого шифрования хватит для большинства случаев. Тем людям, для кого важна конфиденциальность передаваемой информации, стоит в дополнение к SSL/TLS использовать шифрование GPG или OTR. В любом случае не стоит забывать про необходимость иметь надежный [[Пароль|пароль]]. Также рекомендуется включать SASL логин, при его использовании количество переданного трафика и время соединения практически не увеличивается.


'''Примечания:'''
'''Примечания:'''

Версия 22:11, 21 июня 2011

Введение

Jabber обладает широкими возможностями в области шифрования. Для обеспечения безопасного подключения к серверу, а также для сохранения конфиденциальности разговоров в сети Jabber используются разнообразные системы шифрования. Ниже рассмотрены самые распространенные.

Терминология

  • Для безопасной передачи пароля при подключении используется механизм SASL. Суть его действия заключается в том, что пароль передается в обработанном виде (отсылается его хэш-сумма), поэтому получить пароль недоброжелателю в этом случае крайне тяжело.[1] Этот механизм включен по умолчанию практически во всех клиентах, поэтому вам не требуется совершать какие-либо действия для его включения.
  • Для шифрования самих сообщений используются протоколы TLS и SSL. Благодаря этим технологиям, злоумышленнику будет значительно тяжелее перехватить вашу переписку. Эти протоколы очень похожи между собой, но TLS считается немного более современным. В большинстве клиентов для компьютеров TLS или SSL включены по умолчанию, а в клиентах для мобильных устройств требуется включить эту опцию в настройках. При желании вы можете добавить сертификат из доверенного источника в ваш клиент - это повысит безопасность. Крайне важно отметить, что при использовании TLS или SSL Jabber-сервер производит расшифровку сообщений, поэтому администратор сервера имеет полный доступ к вашей переписке.
  • Если вы не доверяете своему серверу, то вам необходимо использовать OTR, E2E или GPG. Первые два не требуют особых усилий для их использования, GPG же нуждается в некоторой настройке, но дает максимально возможную для Jabber степень безопасности.

Примечания:

  1. В некоторые клиентах, таких как Psi, допущена ошибка - в настройках возможно включить передачу пароля открытым текстом, но на самом деле и в этом случае используется хэш-сумма. Однако мы настоятельно рекомендуем не включать эту опцию.

Ссылки