02.08 // Софт // Новые черновые спецификации безопасности в IM-протоколе Jabber

На рассмотрение организации Jabber Software Foundation, развивающей и продвигающей открытый IM-протокол Jabber, были переданы новые спецификации подсистемы шифрования и аутентификации переписки. Предложенные схемы во многом схожи с протоколом Off-the-Record Messaging, существующем в виде плагина к популярному в Linux-сообществе IM-клиенту GAIM, и обеспечивают следующие свойства:

• шифрование сообщений;
• аутентификацию собеседников;
• защиту от атаки с повторной передачей (replay attack);
• perfect forward secrecy;
• возможность отречения;
• поддержку offline-режима.

Как и в случае с плагином OTR Messaging, свойство отречения (в противовес неотречению, обеспечиваемому цифровыми подписями) достигается благодаря применению MAC-кодов для аутентификации сообщений: завершив переговоры, собеседники могут опубликовать свой общий MAC в интернете, после чего ни одного из них нельзя будет "поймать за язык", если содержание разговора вдруг будет раскрыто.

Учитывая стремительное улучшение атак на традиционные хэш-функции, авторы протокола рекомендуют использовать в его реализации алгоритм хэширования Whirlpool.

Спецификации носят черновой характер и будут дорабатываться. Если впоследствии они будут утверждены рабочей группой JSF, спецификации будут добавлены в расширенную часть протокола Jabber (JEP) и могут быть реализованы в Jabber-совместимых клиентах.

Источник: "openPGP в России"