XMPP deklariert Verschlüsselung auf IM-Diensten

Es wird erwartet, dass die Betreiber von IM-Diensten, die das XMPP (Extensible Messaging and Presence Protocol) verwenden, beginnend mit der laufenden Woche die Verschlüsselung auf ihren Plattformen verstärken werden. Vertreter der XMPP Standard Foundation (XSF) erklärten am 19. Mai, dass bereits viele Dienste des öffentlichen XMPP-Netzes die Initiative unterstützen, die bereits die verbindliche Verschlüsselung für die Verbindungen Client-Server und Server-Server eingeführt haben.

Die XSF bezeichnet das als einen ersten Schritt zur Verbesserung der Sicherheit für alle Nutzer des XMPP-Netzes. In dieser Richtung sind auch andere Neueinführungen geplant, unter anderem eine allgemeine Authentifizierung, geschützter DNS und flächendeckende Verschlüsselung.

XMPP ist eine Open-Source-Plattform für das Instant-Messaging. Der erste Anwender war Jabber; zum gegenwärtigen Zeitpunkt ist dieses Protokoll weit verbreitet, es wird in unterschiedlichem Umfang von einer Reihe populärer IM-Services unterstützt.

Technisch ist es nicht möglich, eine verpflichtende Verschlüsselung einzuführen, die die gesamte XMPP-Community umfasst, da viele Dienste, die diesen Standard nutzen, eigenständig funktionieren. „Da XMPP ein offenes, verteiltes Netz ist, kann verständlicherweise keine einzelne Einheit alle anderen zur Verschlüsselung verpflichten“, erklären die Entwickler des XMPP-Servers Prosody, die zu den Unterzeichnern des Manifests gehören. „Als Gruppe bewegen wir uns aber in die richtige Richtung.“

Einem Prosody-Blogeintrag nach zu urteilen stellen viele XMPP-Services ab dieser Woche die Bedienung unverschlüsselter Verbindungen ein. Gleichzeitig kann eine inkorrekte Umsetzung der Verschlüsselung Probleme bei der Bereitstellung der Dienstleistungen hervorrufen. Den Anwendern von XMPP-Diensten wird empfohlen, ihre Provider über die neue Initiative zu informieren.

„Und das ist nur der Anfang“, heißt es in dem Prosody-Blog. „Die Neueinführung gewährleistet lediglich die Verschlüsselung (wodurch das passive Abfangen des Traffics unterbunden werden kann), von uns wird bisher kein gültiges Zertifikat gefordert, das von einem entsprechenden Organ ausgegeben wird (obgleich einige Dienste bereits das Vorhandensein eines solchen Zertifikats überprüfen)“. Da die XMPP-Dienste heterogen sind, kann man den gesamten Prozess in drei Etappen unterteilen: Der Provider sollte sich ein Zertifikat für den Server zulegen, nicht verschlüsselte Kanäle deaktivieren und das XMPP auf Sicherheit überprüfen. Im Detail ist dieser Prozess hier beschrieben. Hier können Sie die Sicherheit der Verbindungen überprüfen und sich mit den Ergebnissen anderer neuer Tests vertraut machen.

Die neue Initiative entspricht dem allgemeinen Bestreben, Online-Dienste flächendenkend zu verschlüsseln. Diese Tendenz ist zu einem großen Teil den Enthüllungen zuzuschreiben, die das Ausmaß der Cyberspionage durch die NSA aufdeckten. Zu den aktiven Befürwortern der Verschlüsselung zählen die Bürgerrechtler der EFF (Electronic Frontier Foundation), die vor Gericht und im Kongress für eine Gesetzesänderung und eine Bestätigung der Unantastbarkeit des persönlichen Lebens im Internet eintreten. Die Freiheitskämpfer im Cyberspace veröffentlichen zudem den halbjährlich erscheinenden Bericht „Who’s Got Your Back?“, der ein Rating der Internet-Provider, Mobilfunkbetreiber und Hightech-Anbieter beinhaltet. Sie alle werden nach Effizienz der angewandten Verschlüsselung und in Bezug auf die Anfragen staatlicher Strukturen auf Herausgabe von Anwenderdaten beurteilt.

Eine andere interessante Initiative auf diesem Gebiet ist Reset the Net – eine Koalition von Datenschützern, die für eine Ausweitung der Nutzung von SSL, HTTP Strict Transport Security (HSTS), Perfect Forward Secrecy (PFS) sowie für flächendeckende Verschlüsselung eintritt.

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.