SSL / TLS en Jabber

3

Solo me pregunto: ¿el tráfico completo entre yo y el servidor Jabber que uso está encriptado, o solo inicio de sesión y contraseña? Dado que el servidor admite el cifrado, y mi cliente de IM está configurado para solicitar el cifrado.

Si se usa el cifrado SSL / TLS para todo el tráfico, indique qué algoritmo de cifrado se usa normalmente (uno asimétrico para el intercambio de claves y el cifrado simétrico para chatear).

Por supuesto, utilizo OTR para hacer el cifrado punto a punto, pero aún deambulo sobre SSL / TLS en Jabber / XMPP.

    
pregunta MyName 27.10.2013 - 21:39
fuente

1 respuesta

3

La integración de XMPP (el protocolo) con SSL / TLS se describe en sección 5 de RFC 3920 . Básicamente, el cliente y el servidor acuerdan cambiar a SSL en la conexión ya abierta, y luego a SSL / TLS hasta el final de la conexión. Así que todo está protegido en SSL / TLS, no solo en la parte de autenticación. Todo el tráfico subsiguiente se encripta.

Todavía depende del software del cliente negarse a hablar si intentó utilizar SSL / TLS, y la operación falló (por ejemplo, por la falta de un conjunto de cifrado común entre el cliente y el servidor). Si el software del cliente se vuelve transparente a un cuadro de diálogo que no es SSL, entonces un atacante activo puede obligar al cliente a no usar SSL incluso si fuera posible. Sin embargo, espero que su cliente Jabber no sea tan malo.

(Cuando la seguridad es opcional, no funciona.)

    
respondido por el Tom Leek 28.10.2013 - 16:40
fuente

Lea otras preguntas en las etiquetas