Estoy buscando una manera fácil de configurar una infraestructura de mensajería instantánea simple que proteja los mensajes en tránsito y que evite tener registros en lugares que ni yo ni alguien en quien confío controlamos. Tengo mi sede en Alemania y, según el Sr. Snowden, mi tráfico realmente se analiza y analiza, y no me siento cómodo con eso en absoluto. IM es algo que me molesta mucho en ese sentido.
Estoy pensando en tener un servidor XMPP aislado con cuentas para todos en el grupo de personas que lo necesitan, y para requerir SSL con certificados autofirmados. De todos modos, estoy ejecutando un servidor XMPP en mi Raspberry pi, así que, ¿por qué no lo implemento con seguridad SSL? Está configurado para no escribir ningún registro a excepción de los errores y diagnósticos, por lo que el problema de registro ya está solucionado allí. Las personas en cuestión saben usar Pidgin, pero cualquier cosa demasiado molesta no volaría con ninguno de ellos. El móvil también sería un requisito, Facebook es demasiado conveniente. Creo que XMPP tiene eso cubierto.
No soy muy aficionado a OTR, ya que el complemento Pidgin requiere un poco de conocimiento técnico, bloquea a Pidgin de vez en cuando y tarda más de 10 segundos en iniciar una conversación (para mí) durante la cual Pidgin se congela por completo. Además, que yo sepa, solo existe el complemento de IM + para plataformas móviles y es bastante caro. Confiar en un servidor auto hospedado y los certificados SSL deberían funcionar para todas las plataformas concebibles (¿supongo?), Ser relativamente fáciles de configurar en el lado del cliente y proporcionar una mejora decente en la seguridad.
La pregunta es, ¿sería eso lo suficientemente seguro? Por lo menos, mi objetivo es mantener mi comunicación sobre esta infraestructura fuera de las bases de datos de la NSA. No pretendo resistir ningún ataque dirigido por expertos entrenados o similares, solo me gustaría tener conversaciones privadas que en realidad son tan privadas como una vez fue una llamada telefónica, y no se archivan ni analizan en ningún otro lugar como una cuestión de rutina. .
Si es, en otra pregunta complementaria, alguna recomendación sobre cómo generar exactamente los certificados para hacerlos seguros. Leí que algunos algoritmos pueden haber sido comprometidos, me gustaría evitarlos si es posible. He visto algunos hilos aquí sobre eso, pero ninguno (que entendí poco) con ese giro de prueba de la NSA.