Największe serwery XMPP/Jabber włączyły obowiązkowe szyfrowanie
W styczniu tego roku grupa operatorów serwerów Jabbera/XMPP itwórców klientów tego protokołu podjęła ważnezobowiązanie – do 19 maja wprowadzić powszechne szyfrowaniekomunikacji, docelowo wychodzące poza standardowe mechanizmySSL/TLS. Prace udało się ukończyć na czas. Od dzisiaj Jabberbędzie bardziej odporny na cyberprzestępców i zbyt ciekawskichpracowników państwowych służb.
Zobowiązanie nie mogło być niczym więcej, jak tylko deklaracjązainteresowanych stron: nie istnieje żadna organizacja, któramogłaby wymóc na operatorach sieci obowiązkowe szyfrowanie. Do tejpory pod dokumentemopisującym zasady zaszyfrowania XMPP znalazło się jednak ponad 70podpisów. To grupa na tyle duża, by rozpocząć procesprzekształcenia tej sieci w bezpieczne medium komunikacji dla jejużykowników.
XMPP Standards Foundation napisała na swoim blogu: *dzisiajduża liczba serwerów publicznej sieci XMPP włączyła obowiązkoweszyfrowanie połączeń klient-serwer i serwer-serwer. *Serweryte będą po prostu odrzucały niezaszyfrowane połączenia. Jeśliktoś chce ze swoim serwerem dołączyć do tej grupy, może znaleźćszczegółowe informacje na wikiXMPP. Jeśli użytkownicy zauważą, że coś nie działa,pozostaje im jedynie powiadomić administratorów – dziśnajpopularniejsze klienty XMPP bez problemu obsługują szyfrowanie.
Wprowadzona zmiana, choć pozwoli jużna ochronę XMPP/Jabbera przed pasywnym nasłuchem, jest tylko pierwszymkrokiem, nie rozwiązującym jeszcze wszystkich kwestii związanych z zabezpieczeniem. Jeden zsygnatariuszy zobowiązania, firma Prosodical, stwierdził, że wciążpotrzebne jest wdrożenie protokołów wspierających pełneszyfrowanie (end to end) transmisji, takich jak Off-the-recordmessaging (OTR), silnych technik uwierzytelniania, wiązania kanałów,bezpiecznego DNS, testowania tożsamości serwerów i bezpiecznegodelegowania usług.
Jedno jest jednak pewne – nadrodze do tych rozwiązań zwolennicy szyfrowanej sieci XMPP będąunikali stosowania certyfikatów wydanych przez urzędycertyfikacyjne. Prosodical wyjaśnia, że dla wielu ludzi ważnąkwestią jest przyszłość bez takich urzędów, odrzucają je nietylko ze względów bezpieczeństwa, ale też z powodów finansowychczy filozoficznych. W zamian firma chce, by wykorzystywaćtechnologie takie jak DNSSEC czy Monkeysphere i przygotowała dlaswojego serwera Prosody eksperymentalne wtyczki.
Niestety przeciętny internauta niewiele na tym skorzysta, XMPPjest przede wszystkim siecią dla geeków, znajdującą teżzastosowanie w wewnętrznych komunikatorach firmowych. Masowe usługiod XMPP odchodzą. Google, które kiedyś wykorzystywało sieć tę wwebowym kliencie Chat, przechodzi na własnościowego Hangoutsa.Facebook zapowiedział już, że w 2015 roku całkowicie zakończywsparcie dla XMPP. Lync i Skype Microsoftu oferują jedyniepodstawowe wsparcie przy użyciu bramek nie obsługującychszyfrowania. Polski Tlen, bazujący na jednej z wczesnych wersjiXMPP, też już z obecną wersją tej sieci nie ma nic wspólnego.