Безопасность переговоров
-
Безопасность бизнеса

Безопасность

PSI + SSL + GnuPG = security

Введение в Jabber

Сейчас есть большое количество различных сред общения в сети. Наиболее популярными являются ICQ и IRC.

Общение по протоколу Jabber позволяет совместить плюсы обоих этих систем, и добавить многие другие возможности. Например, возможность шифрования передаваемого трафика.

Мы настоятельно рекомендует вам пользоваться шифрованием самих сообщений. Хорошим выбором будет использование системы GnuPG. Зашифрованные сообщения возможно передавать любым способом. Если вы воспользуетесь приведённой ниже инструкцией, то сможете использовать GnuPG в клиенте Jabber. Вы пишите текст, GnuPG шифрует его, Jabber клиент передаёт шифротекст по ssl каналу на сервер, от сервера вашему собеседнику, GnuPG которого расшифровывает сообщение. Это позволяет использовать всю мощь системы шифрования с приватным и публичным ключами в режиме онлайн.

В режиме чата использование GnuPG невозможно, исходя из самой схемы шифрования.
Но шифрование пакетов на транспортном уровне всёравно происходит.

Теперь подробнее о технической стороне.

В системе Jabber у каждого пользователя есть своя информационная карточка - vCard. Но протоколы Jabber не позволяют производить поиск пользователя по vCard. Если вы хотите чтобы вас могли найти (добавить в контакт лист можно и без этого), зарегистрируйтесь в каталоге пользователей.

Jabber ID - ваш идентификатор в системе, состоит из двух частей.

Ваш ник, например - mynick. Сервер - thesecure.biz. Таким образом, Jabber ID = mynick@thesecure.biz.

Для соединения с сервером, вам необходимо скачать клиент. Хорошим выбором будет клиент Psi

Установка и настройка Psi + GnuPG

После установки клиента зарегистрируйтесь. Для регистрации выберите себе Jabber ID и пароль. Вход: укажите ваш Jabber ID и пароль (сохранение пароля в клиенте - лежит на вашей совести). Psi определит сервер автоматически. На вкладке Connection должны быть установленны две галочки - Use SSL и Send "Keep-Alive".

Для того чтобы при каждом соединении Psi не выдавал предупреждения, вы можете добавить сертификат сервера в файл Psi\certs\rootcert.xml либо отменить варнинги по поводу SSL: ignore SSL warnings.

Обратите внимение, что в самом файле rootcert.xml переносов строк между тегами быть НЕ ДОЛЖНО. Т.е. их нужно удалить, когда вы будете редактировать файл rootcert.xml.

Теперь ваш клиент готов к соединению к серверу. Если подключение пройдёт нормально, то Psi попросит вас заполнить карточку vCard.

Если вы хотите добавить функционал GnuPG (что мы рекомендуем).

Скачайте и установите пакет GnuPG.
Определите место где вы будите хранить ваши ключи.
Например, это будет папка C:\archive\gnupg.
Запустите regedit. В HKEY_CURRENT_USER\Software\GNU\GnuPG добавьте строку HomeDir, со значением C:\archive\gnupg соответственно.
Теперь, в свойствах моего компьютера добавьте в переменную окружения PATH путь к самой программе - C:\Program Files\GNU\GnuPG. Разделитилем служет сивол - ;.
Перезагрузите компьютер, чтобы система подхватила новый PATH.

После перезагрузки надо запустить cmd.exe.
cd C:\archive\gnupg - чтобы всё сохранялось в этом каталоге.
gpg --gen-key - генерация личного ключа, выбор - 1 Эль-Гамаль.
Длинна ключа 4096.
Срок действия 10 лет.
Теперь введите ваше имя или ник (не менее 5-ти символов), почтовый адрес и комментарий. Пароль нужно выбрать не менее 10-ти символов.
Для генерации, программе необходимо много случайных данных,
по этому он требует нажимать на кнопки клавиатуры и производить движения мышью.

Когда ключи будут созданы, выполните
gpg --output revoke.asc --gen-revoke astr0
тут вместо astr0 укажите ваше имя или почтовый адрес, который вы указали ранее.
Создание revoke.asc - не обязательно, но рекомендуется.
Причину отзыва можете не указывать.

Теперь всё готово.

Перезапустите Psi. Зайдите в Account Setup. Нажмите Modify.
В главной вкладке (Account) нажмите Select Key. Укажите ваш ключ.
Пароль от приватного ключа сохранять не рекомендуется.

Если всё прошло удачно, то при попытке соединения с сервером Psi затребует пароль от ключа GnuPG.

Чтобы другие люди могли шифровать сообщения и передавать их вам, сделайте экспорт публичного ключа.
Например так

gpg --output astr0.gpg --export astr0@astr0.ru

Теперь можете выложить этот ключ для всеобщего доступа.

Чтобы импортировать чей-то ключ, выполните

gpg --import astr0.gpg

После импорта перезапустите Psi.
Чтобы отправить шифрованное сообщение в Psi, нажмите замочек в панеле инструментов привата.

Внимание! Логи! Логи все еще сохраняются. Их можно или отключить, или сменить директорию для их хранения, поставив например директорию, находящуюся на зашифрованном диске. По умолчанию логи лежат в disk:\Documents and Settings\username\PsiData (для NT систем) Достаточно просто поставить переменную окружения с именем PSIDATADIR значением вашего нового каталога (right-click on My Computer -> Preferences -> Advanced tab -> Environment variables).

Есть и другой вариант.
Для этого в папке с установленным PSI создайте файл psi.bat со следующим содержанием:

set PSIDATADIR=%CD%
start Psi

И запускайте PSI только через этот файл. Тогда все профили будут храниться в папке с клиентом. Если бы хотите выставить другую директорию для логов, замените %CD% на полный путь до необходимой папки.

Также достаточно неудобно использовать консоль для генерации новых ключей и добавления публичных ключей собеседников. Для удобства создана графическая оболочка GPGshell, имеющая поддержку русского языка. Если все действия, описанные выше в статье вы выполнили, то GPGshell установится и будет работать без всяких проблем.

Автор: astr0. Правка/дополнение: nerezus, mr. Secure.