- Сообщения
- 32
- Реакции
- 38
Как настроить jabber-клиент для безопасного общения в 2021 году?
Сейчас расскажу по пунктам!
Почему OMEMO лучше OTR:Сейчас расскажу по пунктам!
Я искренне считаю протокол XMPP, часто просто имениуемый Jabber'ом, одним из лучших, если не лучшим, средством связи для безопасного общения. Как мне видится, любой мессенджер, даже если он пять раз шифрует все переписки, - это так или иначе посредник между участниками диалога, который в любом случае будет иметь доступ к каким-либо данным, будь то IP входа, данные об устройстве или платёжная информация, если мессенджер является платным.
В отличие от большинства мессенджеров, протокол XMRR является децентрализованным, и единственные, кто при общении через него теоретически могут собирать информацию - это сервера, на которых пользователи создают свои аккаунты. И если IP входа от сервера можно скрыть установкой TOR-прокси, то вот для сокрытия сообщений необходимо использовать шифрование. В основном сейчас для этой цели используется протокол OTR (реже PGP), но в реалиях 2021 века он уже давно устарел по многочисленным параметрам, и ему на смену пришёл другой более безопасный и более удобный протокол - OMEMO.
Целью этого материала я ставлю расширение знаний об OMEMO и донесение той мысли, что он намного больше соответствует духу времени, чем утративший свою актуальность OTR. Честно, я устал, что при общении через Jabber мне постоянно приходится ждать человека в онлайне, чтобы отправить ему сообщение, что фотографии нужно грузить на сторонние хостинги, а сами диалоги могут постоянно слетать. И я очень надеюсь, что с этим материалом я смогу донести до вас ценность использования OMEMO, который все эти ограничения уверенно обходит.
Почему OMEMO > OTR?
Излюбленный многими сервер 404.city в своей вики опубликовал исчерпывающее сравнение трёх основных видов шифрования (PGP, OTR, OMEMO), их преимуществ и недостатков, а также добавил в это сравнение ситуацию, когда шифования нет вовсе. Ссылку на эту статью я дам в конце материала, а пока же приведу из неё интересующие нас пункты, описывающие преимущества и недостатки (да, такие тоже есть) OMEMO на OTR.
Преимущества:
OMEMO поддерживает шифрование групповых приватных чатов. То есть с данным протоколом возможно реализовать общение сразу с несколькими людьми в полностью зашифрованном виде (только если сам чат является приватным, у публичных безопасность, по заверению 404.city, является "фейковой").
OMEMO умеет шифровать файлы. С этим протоколом можно забыть о загрузке изображений и прочих документов на turbo.me лишь для того, чтобы передать их собеседнику.
OMEMO позволяет отправлять сообщения даже если собеседник находится в оффлайне, что невозможно с OTR.
OMEMO сам по себе более удобный и приятный в использовании, а уровень безопасности обеспечивает тот же, что и OTR.
OMEMO при правильной настройке ключей может быть использован одновременно на нескольких устройствах. То есть, подключившись к одному аккаунту, вы сможете видеть все свои зашифрованные сообщения как с компьютера, так с телефона и планшета.
Недостатки:
Последнее преимущество одновременно может являться и недостатком в плане безопасности. Все сообщения с протоколом OTR зашифрованы, что называется, endpoint-to-endpoint, то есть от точки использования Jabber к точке использования. Зашифрованные таким способом диалоги привязаны не к аккаунту в целом, а к конкретному клиенту, так что если вы даже на одном и том же устройстве зайдёте в свой аккаунт с другого клиента, то OTR диалогов там не найдёте (в этом плане OTR можно сравнить с секретными чатами в телеграме). Такой способ общения можно считать более безопасным, так как в случае, если к вашему аккаунту будет получен доступ, то все OTR диалоги всё равно никто не увидит. OMEMO же, наоборот, обеспечивает шифрование от аккаунта к аккаунту, так что в случае наличия пароля и логина злоумышленник сможет прочитать ваши сообщения.
Клиенты, поддерживающие OMEMO
Так как излюбленный всеми Pidgin, к сожалению, не поддерживает OMEMO, для использования данного типа шифрования придётся устанавливать другие клиенты. Я решил разобрать установку на Linux трёх из них, хотя реальное число клиентов, поддерживающих этот протокол, конечно, намного больше. Если вы знаете какие-либо неразобранные удобные приложения, то можете написать о них в комментариях, буду рад их попробовать. Ну и сразу должен сказать, что тестирование проходило на Whonix, так что в случае проблем с Tails тоже пишите ниже.
Gajim
Один из моих любимых клиентов под OMEMO да и, признаться честно, единственный, который я использовал до этого материала. Удобный интерфейс, по моему субъективному мнению превосходящий Pidgin, интуитивно понятная настройка различных функций и тёмная тема делают Gajim очень хорошим вариантом для настройки OMEMO. Единственный минус, здесь нет поддержки OTR, так что постоянно придётся переключаться между различными клиентами.
Установка:
>> sudo apt install gajim-omemo
Включение шифрования:
Чтобы включить OMEMO, перейдите в по направлению Gajim -> Plugins, отметьте чекбокс напротив соответствующего типа шифрования, а после внутри диалога с человеком нажмите на знак замка, переключив его в режим OMEMO.
Psi+
Максимально устаревший клиент прямиком из 2000-х, который тем не менее поддерживает одновременно и OTR, и OMEMO. Несмотря на это уникальное одновременное сочетание двух протоколов я не смог вытерпеть дизайна psi+ и 20 минут, удалив его со своего устройства. Я, конечно, понимаю, что при нормальной безопасности до дизайна дело доходит редко, но тут уж совсем перебор. Впрочем, если Вам всё равно на эстетическую составляющую (прям совсем всё равно), то этот клиент является чуть ли не единственным нормальным вариантом, включающим в себя сразу все протоколы.
Установка:
>> sudo apt install psi-plus
Включение шифрования:
Через иконку psi перейдите в настройки, после в раздел плагинов, где отметьте чекбоксы с OTR и OMEMO. Следом в диалогах у вас появятся соответствующие иконки, отвечающие за соответствующие типы шифрования.
Dino
Абсолютная противоположность psi+ и клиент, уверенно забирающий золотую медаль за самый красивый и современный дизайн. XMPP мессенджеров, выглядящих лучше, действительно не найти, но тут проблемы уже уходят в сторону безопасности и функциональности. Во-первых, Dino напрямую не поддерживает подключение через торовские прокси, и чтобы его запустить на Whonix / Tails нужно устраивать те ещё танцы с бубном. Во-вторых, в Dino нет возможности отключения логирования диалогов (что есть в тех же Gajim, Psi+ и Pidgin) и все сообщения в виде сухого текста записываются на устройство, что является серьёзным допущением. В-третьих, в данном клиенте нет возможности настраивать свои прокси, что вместе с отсутствием поддержки TOR рождает мысли о не самой глубокой технической подготовке разработчиков в аспектах безопасности, из чего логически следует возможное наличие других багов. Учитывая всё, даже несмотря на безупречный дизайн, я бы не доверял свою безопасность такому клиенту как Dino. Особенно беря во внимание тот факт, что на профильном форуме Whonix'а (ссылку дам ниже) этот клиент обвиняют во множестве критических багов в безопасности. Но попробовать ради просмотра дизайна можно.
Установка (танцы с бубном, протестированные на Whonix):
>> sudo su -c "echo -e 'deb tor+
>> sudo apt-get -t buster-backports install dino-im
Включение шифрования:
Включено автоматически, достаточно лишь поставить его в диалоге через иконку замка.
Практические рекомендации
Учитывая, что дельных клиентов с одновременной поддержкой OTR и OMEMO не существует (psi+ лично я рассматривать не готов, но вы можете быть не так придирчивы), я бы рекомендовал для общения через OMEMO просто сделать отдельный аккаунт на том же сервере, где находится основной, продублировать его адрес с добавлением прописи "_omemo" в конце (было [email protected], добавили [email protected]) и доступ к этому аккаунту поместить в Gajim. Таким образом вы понятно разграничите все свои OTR переписки (пусть для примера они будут в Pidgin) и диалоги с OMEMO.
Источники информации
XMPP client encryption -
Dino-im messenger on Whonix -
В отличие от большинства мессенджеров, протокол XMRR является децентрализованным, и единственные, кто при общении через него теоретически могут собирать информацию - это сервера, на которых пользователи создают свои аккаунты. И если IP входа от сервера можно скрыть установкой TOR-прокси, то вот для сокрытия сообщений необходимо использовать шифрование. В основном сейчас для этой цели используется протокол OTR (реже PGP), но в реалиях 2021 века он уже давно устарел по многочисленным параметрам, и ему на смену пришёл другой более безопасный и более удобный протокол - OMEMO.
Целью этого материала я ставлю расширение знаний об OMEMO и донесение той мысли, что он намного больше соответствует духу времени, чем утративший свою актуальность OTR. Честно, я устал, что при общении через Jabber мне постоянно приходится ждать человека в онлайне, чтобы отправить ему сообщение, что фотографии нужно грузить на сторонние хостинги, а сами диалоги могут постоянно слетать. И я очень надеюсь, что с этим материалом я смогу донести до вас ценность использования OMEMO, который все эти ограничения уверенно обходит.
Почему OMEMO > OTR?
Излюбленный многими сервер 404.city в своей вики опубликовал исчерпывающее сравнение трёх основных видов шифрования (PGP, OTR, OMEMO), их преимуществ и недостатков, а также добавил в это сравнение ситуацию, когда шифования нет вовсе. Ссылку на эту статью я дам в конце материала, а пока же приведу из неё интересующие нас пункты, описывающие преимущества и недостатки (да, такие тоже есть) OMEMO на OTR.
Преимущества:
OMEMO поддерживает шифрование групповых приватных чатов. То есть с данным протоколом возможно реализовать общение сразу с несколькими людьми в полностью зашифрованном виде (только если сам чат является приватным, у публичных безопасность, по заверению 404.city, является "фейковой").
OMEMO умеет шифровать файлы. С этим протоколом можно забыть о загрузке изображений и прочих документов на turbo.me лишь для того, чтобы передать их собеседнику.
OMEMO позволяет отправлять сообщения даже если собеседник находится в оффлайне, что невозможно с OTR.
OMEMO сам по себе более удобный и приятный в использовании, а уровень безопасности обеспечивает тот же, что и OTR.
OMEMO при правильной настройке ключей может быть использован одновременно на нескольких устройствах. То есть, подключившись к одному аккаунту, вы сможете видеть все свои зашифрованные сообщения как с компьютера, так с телефона и планшета.
Недостатки:
Последнее преимущество одновременно может являться и недостатком в плане безопасности. Все сообщения с протоколом OTR зашифрованы, что называется, endpoint-to-endpoint, то есть от точки использования Jabber к точке использования. Зашифрованные таким способом диалоги привязаны не к аккаунту в целом, а к конкретному клиенту, так что если вы даже на одном и том же устройстве зайдёте в свой аккаунт с другого клиента, то OTR диалогов там не найдёте (в этом плане OTR можно сравнить с секретными чатами в телеграме). Такой способ общения можно считать более безопасным, так как в случае, если к вашему аккаунту будет получен доступ, то все OTR диалоги всё равно никто не увидит. OMEMO же, наоборот, обеспечивает шифрование от аккаунта к аккаунту, так что в случае наличия пароля и логина злоумышленник сможет прочитать ваши сообщения.
Клиенты, поддерживающие OMEMO
Так как излюбленный всеми Pidgin, к сожалению, не поддерживает OMEMO, для использования данного типа шифрования придётся устанавливать другие клиенты. Я решил разобрать установку на Linux трёх из них, хотя реальное число клиентов, поддерживающих этот протокол, конечно, намного больше. Если вы знаете какие-либо неразобранные удобные приложения, то можете написать о них в комментариях, буду рад их попробовать. Ну и сразу должен сказать, что тестирование проходило на Whonix, так что в случае проблем с Tails тоже пишите ниже.
Gajim
Один из моих любимых клиентов под OMEMO да и, признаться честно, единственный, который я использовал до этого материала. Удобный интерфейс, по моему субъективному мнению превосходящий Pidgin, интуитивно понятная настройка различных функций и тёмная тема делают Gajim очень хорошим вариантом для настройки OMEMO. Единственный минус, здесь нет поддержки OTR, так что постоянно придётся переключаться между различными клиентами.
Установка:
>> sudo apt install gajim-omemo
Включение шифрования:
Чтобы включить OMEMO, перейдите в по направлению Gajim -> Plugins, отметьте чекбокс напротив соответствующего типа шифрования, а после внутри диалога с человеком нажмите на знак замка, переключив его в режим OMEMO.
Psi+
Максимально устаревший клиент прямиком из 2000-х, который тем не менее поддерживает одновременно и OTR, и OMEMO. Несмотря на это уникальное одновременное сочетание двух протоколов я не смог вытерпеть дизайна psi+ и 20 минут, удалив его со своего устройства. Я, конечно, понимаю, что при нормальной безопасности до дизайна дело доходит редко, но тут уж совсем перебор. Впрочем, если Вам всё равно на эстетическую составляющую (прям совсем всё равно), то этот клиент является чуть ли не единственным нормальным вариантом, включающим в себя сразу все протоколы.
Установка:
>> sudo apt install psi-plus
Включение шифрования:
Через иконку psi перейдите в настройки, после в раздел плагинов, где отметьте чекбоксы с OTR и OMEMO. Следом в диалогах у вас появятся соответствующие иконки, отвечающие за соответствующие типы шифрования.
Dino
Абсолютная противоположность psi+ и клиент, уверенно забирающий золотую медаль за самый красивый и современный дизайн. XMPP мессенджеров, выглядящих лучше, действительно не найти, но тут проблемы уже уходят в сторону безопасности и функциональности. Во-первых, Dino напрямую не поддерживает подключение через торовские прокси, и чтобы его запустить на Whonix / Tails нужно устраивать те ещё танцы с бубном. Во-вторых, в Dino нет возможности отключения логирования диалогов (что есть в тех же Gajim, Psi+ и Pidgin) и все сообщения в виде сухого текста записываются на устройство, что является серьёзным допущением. В-третьих, в данном клиенте нет возможности настраивать свои прокси, что вместе с отсутствием поддержки TOR рождает мысли о не самой глубокой технической подготовке разработчиков в аспектах безопасности, из чего логически следует возможное наличие других багов. Учитывая всё, даже несмотря на безупречный дизайн, я бы не доверял свою безопасность такому клиенту как Dino. Особенно беря во внимание тот факт, что на профильном форуме Whonix'а (ссылку дам ниже) этот клиент обвиняют во множестве критических багов в безопасности. Но попробовать ради просмотра дизайна можно.
Установка (танцы с бубном, протестированные на Whonix):
>> sudo su -c "echo -e 'deb tor+
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
buster-backports main contrib non-free' > /etc/apt/sources.list.d/backports.list">> sudo apt-get -t buster-backports install dino-im
Включение шифрования:
Включено автоматически, достаточно лишь поставить его в диалоге через иконку замка.
Практические рекомендации
Учитывая, что дельных клиентов с одновременной поддержкой OTR и OMEMO не существует (psi+ лично я рассматривать не готов, но вы можете быть не так придирчивы), я бы рекомендовал для общения через OMEMO просто сделать отдельный аккаунт на том же сервере, где находится основной, продублировать его адрес с добавлением прописи "_omemo" в конце (было [email protected], добавили [email protected]) и доступ к этому аккаунту поместить в Gajim. Таким образом вы понятно разграничите все свои OTR переписки (пусть для примера они будут в Pidgin) и диалоги с OMEMO.
Источники информации
XMPP client encryption -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Dino-im messenger on Whonix -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Скачиваем и устанавливаем ПО:
1)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
2) Jabber клиент:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
для OMEMO шифрования. OTR считается устаревшим, плагин не доступен.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
для OTR шифрования.Настройка Gajim:
1) Запускаем TOR браузер, jabber клиент будет использовать его как прокси.
2) Запускаем Gajim. Вводим желаемое имя и пароль. Нажимаем Регистрация.
3) Сервер выбираем
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
. Выбираем Расширенные настройки и жмём Регистрация.4) Заполняем поля и нажимаем кнопку настройки прокси
Прокси: TOR
Имя хоста: anonym.im
Порт: 5222
Тип: START TLS
5) Указываем Хост: localhost Порт: 9150 (либо тот, который вы используете).
Закрываем окно, ещё раз выбираем Прокси: Tor и нажием Регистрация.
6) После успешной регистрации, заходим в Учётные записи -> Ваша уч. запись -> Соединение
Нажимаем на Имя хоста, откроется окно Настройки подключения:
Включаем кнопку.
Имя хоста: ppmdqncq45xhxqnwknbdpbnctj35nr7nbwa6p6vtllvaub6e5zicymyd.onion
Порт: 5222
На этом настройка завершена. Добавляем контакт, начинаем переписку, выбираем шифрование и пишем сообщение.
Настройка Pidgin.
Запускаем TOR. Настройка по аналогии с Gajim:
Создаём учётную запись, и указываем след. настройки:
Сервер: ppmdqncq45xhxqnwknbdpbnctj35nr7nbwa6p6vtllvaub6e5zicymyd.onion
Средства - Модули
Включить модуль OTR.
Добавляем контакт, начинаем защищеныё разговор.
Последнее редактирование:
