Авторские статьи Jabber + SSL + GPG = Security ;)

Discussion in 'Статьи' started by nerezus, 23 Apr 2006.

  1. nerezus

    nerezus Banned

    Joined:
    12 Aug 2004
    Messages:
    3,191
    Likes Received:
    727
    Reputations:
    266
    Статья astr0 про jabber.
    Редактировано и дополнено nerezus'ом.

    От nerezus'a: Редактирование выполнено ввиду гибели jabber-сервиса от blacklogic(а именно ему была посвящена статья) и добавления информации, серьезно влияющую на безопасность пользователя. Я сомневаюсь, что astr0 бы был против ее дополнения. На всякий случай в авторы себя не записал =)

    Введение в Jabber
    Сейчас есть большое количество различных сред общения в сети.
    Наиболее популярными являются ICQ и IRC.

    Общение по протоколу Jabber позволяет совместить плюсы обоих этих систем,
    и добавить многие другие возможности.
    Например, возможность шифрования передаваемого трафика.

    Также, наша команда настоятельно рекомендует вам пользоваться шифрованием самих сообщений.
    Хорошим выбором будет использование системы GnuPG.
    Зашифрованные сообщения возможно передавать любым способом.
    Если вы воспользуетесь приведённой ниже инструкцией, то сможете использовать GnuPG в клиенте Jabber.
    Вы пишите текст, GnuPG шифрует его, Jabber клиент передаёт шифротекст по ssl каналу на сервер,
    от серевера вашему собеседнику, GnuPG которого расшифровывает сообщение.
    Это позволяет использовать всю мощь системы шифрования с приватным и публичным ключами в режиме онлайн.

    В режиме чата использование GnuPG невозможно, исходя из самой схемы шифрования.
    Но шифрование пакетов на транспортном уровне всёравно происходит.

    Теперь подробнее о технической стороне.
    В системе Jabber у каждого пользователя есть своя информационная карточка - vCard.
    Но протоколы Jabber не позволяют производить поиск пользователя по vCard.
    Если вы хотите чтобы вас могли найти (добавить в контакт лист можно и без этого),
    зарегистрируйтесь в каталоге пользователей.

    Jabber ID - ваш идентификатор в системе, состоит из двух частей.
    Ваш ник, например - RO. Сервер - jabber.ru.
    Таким образом, Jabber ID = ro@jabber.ru.

    Для соединения с сервером, вам необходимо скачать клиент.
    Хорошим выбором будет клиент Psi

    Установка и настройка Psi + GnuPG
    После установки клиента зарегистрируйтесь.
    Для регистрации выберите себе Jabber ID и пароль.
    Вход: укажите ваш Jabber ID и пароль (сохранение пароля в клиенте - лежит на вашей совести).
    Psi определит сервер автоматически. На вкладке Connection должны быть установленны
    две галочки - Use SSL и Send "Keep-Alive".
    Для того чтобы при каждом соединении Psi не выдавал предупреждения, вы можете добавить
    сертификат сервера в файл Psi\certs\rootcert.xml либо отменить варнинги по поводу SSL: ignore SSL warnings.
    Структура файла такая <store><certificate><data>......</data></certificate></store>.

    Обратите внимение, что в самом файле rootcert.xml переносов строк между
    тегами <data> быть НЕ ДОЛЖНО. Т.е. их нужно удалить, когда вы будете редактировать файл rootcert.xml.

    Теперь ваш клиент готов к соединению к серверу.
    Если подключение пройдёт нормально, то Psi попросит вас заполнить карточку vCard.

    Если вы хотите добавить функционал GnuPG (что мы рекомендуем).
    Скачайте и установите пакет GnuPG.
    Определите место где вы будите хранить ваши ключи.
    Например, это будет папка C:\archive\gnupg.
    Запустите regedit. В HKEY_CURRENT_USER\Software\GNU\GnuPG
    добавьте строку HomeDir, со значением C:\archive\gnupg соответственно.
    Теперь, в свойствах моего компьютера добавьте в переменную окружения PATH
    путь к самой программе - C:\Program Files\GNU\GnuPG. Разделитилем служет сивол - ;.
    Перезагрузите компьютер, чтобы система подхватила новый PATH.

    После перезагрузки надо запустить cmd.exe.
    cd C:\archive\gnupg - чтобы всё сохранялось в этом каталоге.
    gpg --gen-key - генерация личного ключа, выбор - 1 Эль-Гамаль.
    Длинна ключа 4096.
    Срок действия 10 лет.
    Теперь введите ваше имя или ник (не менее 5-ти символов), почтовый адрес и комментарий.
    Пароль нужно выбрать не менее 10-ти символов.
    Для генерации, программе необходимо много случайных данных,
    по этому он требует нажимать на кнопки клавиатуры и производить движения мишью.
    Когда ключи будут созданы, выполните
    gpg --output revoke.asc --gen-revoke astr0
    тут вместо astr0 укажите ваше имя или почтовый адрес, который вы указали ранее.
    Создание revoke.asc - не обязательно, но рекомендуется.
    Причину отзыва можете не указывать.

    Теперь всё готово.
    Перезапустите Psi. Зайдите в Account Setup. Нажмите Modify.
    В главной вкладке (Account) нажмите Select Key. Укажите ваш ключ.
    Пароль от приватного ключа сохранять не рекомендуется.

    Если всё прошло удачно, то при попытке соединения с сервером Psi затребует пароль от ключа GnuPG.
    Чтобы другие люди могли шифровать сообщения и передавать их вам, сделайте экспорт публичного ключа.
    Например так

    gpg --output astr0.gpg --export astr0@astr0.ru

    Теперь можете выложить этот ключ для всеобщего доступа.

    Чтобы импортировать чей-то ключ, выполните

    gpg --import astr0.gpg

    После импорта перезапустите Psi.
    Чтобы отправить шифрованное сообщение в Psi, нажмите замочек в панеле инструментов привата.

    Внимание! Логи! Логи все еще сохраняются. Их можно или отключить, или сменить директорию для их хранения, поставив например директорию, находящуюся на зашифрованном диске.
    По умолчанию логи лежат в disk:\Documents and Settings\username\PsiData (для NT систем)
    Достаточно просто поставить переменную окружения с именем PSIDATADIR значением вашего нового каталога (right-click on My Computer -> Preferences -> Advanced tab -> Environment variables).

    Ссылки на закачку
    Psi [ http://psi-im.org/download ]
    GnuPG [ http://www.gnupg.org/download/ ]

    Автор: astr0. Правка/дополнение: nerezus.
     
    #1 nerezus, 23 Apr 2006
    Last edited: 23 Apr 2006
    4 people like this.
  2. nerezus

    nerezus Banned

    Joined:
    12 Aug 2004
    Messages:
    3,191
    Likes Received:
    727
    Reputations:
    266
  3. A110ut

    A110ut Elder - Старейшина

    Joined:
    31 Dec 2005
    Messages:
    505
    Likes Received:
    263
    Reputations:
    92
    давно уже пора вливать жабу в массы. имхо ацка посует по всем статьям если сравнивать с жабером. лично я юзаю плаг для миранды, но ввиду его корявости [примитивности] наверное перейду на Psi+GnuPG
    Нерез за инфу спс, как только смогу ставить + немедленно етим воспользуюсь ;)
     
  4. tclover

    tclover nobody

    Joined:
    13 Dec 2005
    Messages:
    741
    Likes Received:
    682
    Reputations:
    287
    http://www.security-teams.net/board/index.php?showtopic=4963
    Туториал от drmist о настройке GPG и Psi. Актуально всвязи с недавними событиями, в которых аол в очередной раз проявил себя не с лучшей стороны.
    PS. Почему кнопки "выбрать ключ" в Psi неактивны? =\ Версия Psi - 0.10

    UPD всё работает, нужно было просто дописать в переменную PATH :)
     
    #4 tclover, 11 May 2007
    Last edited: 11 May 2007
  5. fucker"ok

    fucker"ok Elder - Старейшина

    Joined:
    21 Nov 2004
    Messages:
    578
    Likes Received:
    274
    Reputations:
    91
    Да вот контакт запарно на жабер переводить :)
    Пользуюсь pidgin (бывший gaim), хотя для жабы он не очень адаптирован и gnupg там не поддерживается.
    ICQ в топку. Особенно после вчерашнего.
     
    1 person likes this.
  6. guest3297

    guest3297 Banned

    Joined:
    27 Jun 2006
    Messages:
    1,246
    Likes Received:
    639
    Reputations:
    817
    тогда уж на скайп переходить
     
  7. tclover

    tclover nobody

    Joined:
    13 Dec 2005
    Messages:
    741
    Likes Received:
    682
    Reputations:
    287
    из одной могилы в другую. Или у тебя есть описание протокола скайпа?
     
  8. iv.

    iv. Elder - Старейшина

    Joined:
    21 Mar 2007
    Messages:
    1,183
    Likes Received:
    438
    Reputations:
    107
    пользуюсь icq+jabber, т.е. кросспротокольным клиентом, а не через транспорт.
    пользоваться чисто жаббером - бред, не такой это популярный мессенджер сейчас, хоть и лучше аськи в разы..
    да и зачем он вам этот жаббер? понт? необходимость? задумайтесь.
     
  9. Digimortal

    Digimortal Banned

    Joined:
    22 Aug 2006
    Messages:
    471
    Likes Received:
    248
    Reputations:
    189
    >> да и зачем он вам этот жаббер? понт? необходимость? задумайтесь.

    ты сам лучше задумайся нафиг нужна асику..
    безопасность, децентрализованность, открытость протокола и т.д. и т.п. - вот этого всего у асику нету...

    >> icq 235-236

    кто-то тут употребил слово "понт"? )
     
    2 people like this.
  10. iv.

    iv. Elder - Старейшина

    Joined:
    21 Mar 2007
    Messages:
    1,183
    Likes Received:
    438
    Reputations:
    107
    это из серии "виндоуз маст дай, линукс рулез. почему все пользуются виндоуз?".
    рынок как говорится уже зохвачен.
    а я как бы и не понтовался, номер аськи просто для удобства связи вот и всё.
     
  11. tclover

    tclover nobody

    Joined:
    13 Dec 2005
    Messages:
    741
    Likes Received:
    682
    Reputations:
    287
    напоминает аргументацию в стиле "потому что гладиолус"
     
  12. nerezus

    nerezus Banned

    Joined:
    12 Aug 2004
    Messages:
    3,191
    Likes Received:
    727
    Reputations:
    266
    А зачем тебе голова? ))

    Ща, типа доводы:
    Почему я считаю ICQ калом:
    1) Номера. Я - nerezus. Это мой ник. Меня так знают. Так почему же мой ID должен быть тупой цифрой, а не моим ником?
    2) Централизованный сервер. Иногда глючит. Часто кстати.
    3) Централизованная система. Невозможность создания своего асечного сервера для подключения в общую сеть.
    4) Анрег. И прочие "что хочу, то и творю" асечных админов. Меня такая наглость вымораживает.
    5) Закрытый протокол. Нет спецификаций.
    6) Невозможность работать с другими протоколами. Т.е. нет шлюзов.
     
  13. iv.

    iv. Elder - Старейшина

    Joined:
    21 Mar 2007
    Messages:
    1,183
    Likes Received:
    438
    Reputations:
    107
    плюсы жаббера и минусы аськи по версии пользователей кстати можно почитать например здесь: community.livejournal.com/talkers/4962.html?thread=29794

    только вот какой толк от этого открытого и мегасекьюрного протокола если ты по нему связаться ни с кем не можешь?
     
  14. nerezus

    nerezus Banned

    Joined:
    12 Aug 2004
    Messages:
    3,191
    Likes Received:
    727
    Reputations:
    266
    Ростер в полсотни контактов не в счет?
     
  15. iv.

    iv. Elder - Старейшина

    Joined:
    21 Mar 2007
    Messages:
    1,183
    Likes Received:
    438
    Reputations:
    107
    без гейтов? если тебя устраивает так - отлично. народ в основном же в аське сидит, тут уже ничего не поделаешь..сам-то аськой пользуешься? =)
    просто я посидел пол годика чисто на жаббере и мне это всё дело поднадоело. в особенности - постоянные глюки асечного и других гейтов.
     
  16. Digimortal

    Digimortal Banned

    Joined:
    22 Aug 2006
    Messages:
    471
    Likes Received:
    248
    Reputations:
    189
    >> это из серии "виндоуз маст дай, линукс рулез. почему все пользуются виндоуз?"

    омг... )

    >> рынок как говорится уже зохвачен.

    кем зохвачен? асику уже давно на западе и во всем мире никому не нужна.. да и у нас наблюдается немаленький рост, например, пользователей МАгента...

    >> а я как бы и не понтовался, номер аськи просто для удобства связи вот и всё.

    а у меня джаббер-адресс состоит из моего ника - это, не какой-то там номер, это по-настоящему удобно )..
     
  17. iv.

    iv. Elder - Старейшина

    Joined:
    21 Mar 2007
    Messages:
    1,183
    Likes Received:
    438
    Reputations:
    107
    не поленился поискать информацию на этот счет, предлагаю вашему вниманию картинку:
    [​IMG]
    источник: cnews.
    хоть и информация 2005 года, но не думаю что ситуация как-то кардинально поменялась. заметьте, жаббера на диаграмме нет вообще.
    так что моё мнение в этом вопросе таково: использовать жаббер можно как хорошую альтернативу icq, но как основной im - по-моему глупо и неудобно. пока что. верю, что ситуация наконец поменяется =)
     
  18. nerezus

    nerezus Banned

    Joined:
    12 Aug 2004
    Messages:
    3,191
    Likes Received:
    727
    Reputations:
    266
    На твоей диаграмме и mrim нету, но у меня есть знакомые, котоые только ее и юзают.
     
  19. iv.

    iv. Elder - Старейшина

    Joined:
    21 Mar 2007
    Messages:
    1,183
    Likes Received:
    438
    Reputations:
    107
    ну что ж, каждый использует те или иные мессенджеры по мере необходимости.
    на самом деле все мессенджеры на диаграмме есть, просто их доля пренебрежительно мала (;
     
  20. fucker"ok

    fucker"ok Elder - Старейшина

    Joined:
    21 Nov 2004
    Messages:
    578
    Likes Received:
    274
    Reputations:
    91
    >icq sale
    Хи. Хи. Не удивительно :D
    Только вот простым смертным сидеть и дрожать над своими 6-ти знаками... Не дай бог сопрут, потом еще и денег с твоего номера возьмут :)
    >использовать жаббер можно как хорошую альтернативу icq, но как основной im - по-моему глупо и неудобно.
    В принципе верно. Допустим ИТшного Васю и Петю можно перевести на жабер, а вот блондинку Машу... Даже если рассказать ей про плюсы ssl gnupg и тп... :D

    Вот и вся основная проблема - перевод контактов. Очень жалко, что mail.ru стали разрабатывать свой mrim, а не делать свой месенджер на основе жабера. Так бы наверное у нас в России жабер был бы очень распространён. (как сейчас mra)
     
Loading...
Similar Threads - Jabber Security
  1. w0rm_

    Авторские статьи Citrix. Open Security Write Up.

    Replies:
    1
    Views:
    5,062
  2. PavelDurov
    Replies:
    11
    Views:
    28,932
  3. lytgeygen
    Replies:
    5
    Views:
    6,760
  4. Rainbow
    Replies:
    19
    Views:
    5,620