субота, 20 априла, 2024
Интернет, мреже и комуникације

Шифровани чет (6. део) – Жици (Jitsi)

NZT , ,

Аутор: Петар Симовић

Жици (енг. Jitsihttps://jitsi.org/) је популарни мултиплатформски (Виндоуз, Мек ОС X, ГНУ-Линукс, Андроид верзија је експериментална и доступна на https://goo.gl/Eawqc ) клијент за гласовну комуникацију (енг. VoIP — Voice over IP), видео-конференције и живо дописивање, тј. дописивање у реалном времену (енг. Instant messaging). И, као што смо до сада описивали клијенте који користе разне методе шифровања за протоколе који служе за размену текста, Жици шифрује и аудио-видео протокол помоћу ЗРТП-а (енг. Zimmermann Real-time Transport Protocol, https://goo.gl/lvU1oR), протокола за успостављање заједничког кључа, који ћемо боље описати у овом делу.jitsi-logo

Протокол

Заправо, ради се о протоколу који омогућава успостављање шифроване сигурне комуникације између две стране претпостављајући да се веза између учесника прислушкује. Иако звучи скоро немогуће да се две стране договоре око заједничког кључа преко везе коју трећа страна стално прислушкује, ово је заправо могуће употребом Дифи-Хелмановог метода за размену кључа (енг. Diffie–Hellman key exchange, https://goo.gl/BtEm2d), који свакодневно користимо претражујући интернет преко ХТТПС-а (енг. Hypertext Transfer Protocol Secure). Када се употребом овог протокола успостави симетричан (исти) кључ између два корисника, сви подаци (аудио, видео и текст) се надаље током те сесије шифрују и дешифрују тим кључем. За сваку нову сесију се успоставља нови дељени једнократни тајни кључ.

Међутим, протокол у одређеним случајевима може бити подложан пресретању. У овој ситуацији онај ко пресреће вашу комуникацију (енг. Man-in-The-Middle) може вашем саговорнику да се лажно представи као ви, а вама као да је ваш жељени саговорник.

Како би се ово избегло, ЗРТП користи „кратку аутентификациону ниску” карактера (енг. Short Authentication String) како би корисници могли да се увере да причају са правом особом и да комуникација није ни пресретнута ни хакована. Иако ово не звучи баш убедљиво, најједноставније кратко објашњење је да је веома мало вероватно да би нападач успео да имитира туђи глас, као и да намести и вама и вашем саговорнику исте аутентификационе карактере, јер се они не бирају ручно већ по сигурном криптографском протоколу.

maninthemiddleattack jitsi-en-win-45

Инсталација и подешавања

Ако већ немате инсталиран Жици на вашем систему, то можете извести из терминала командом:

sudo apt-get install jitsi

Када се инсталира, покрените га и додајте нови налог за неки од подржаних протокола. На прозору који сâм искочи при првом стартовању понуђени протоколи су Фејсбук, ИксМПП (икс-ем-пе-пе), Гугл ток (енг. Google Talk) и СИП. Ово нису сви, поред ових подржани су још и АИМ, ИЦКју (енг. ICQ), ИППИ, ИПТЕЛ, Јаху (енг Yahoo!) и наравно ИРЦ.

11-sign_in_jitsi add_new_account

Ми ћемо се овде фокусирати на ИксМПП који смо до сада описали за Пиџин у прошлом броју, стога, ако већ имате налог, можете га користити и са Жицијем. Кад смо већ код креирања налога, то може бити проблем ако желите то да урадите директно из Жиција за ИксМПП на ГНУ-Линукс системима, па ћете нови налог за овај протокол морати да региструјете из интернетског прегледача на серверу који одаберете (ИксМПП сервери се могу наћи на: https://xmpp.net/directory.php, https://list.jabber.at/).

*Ако желите да се пријавите са већ постојећим ИксМПП налогом који користите на Пиџину, али сте за њега заборавили шифру, није никакав проблем, јер Пиџин чува све информације о вашим налозима у фолдеру .purple (/home/$user$/.purple/) где можете наћи accounts.xml фајл који чува све информације за креиране налоге за Пиџин у читљивом облику за људе. Ово може бити и опасно ако не користите енкрипцију целог диска јер при крађи рачунара нападач може лако да се представи као ви вашим саговорницима имајући налог, шифру, енкрипциони кључ и отисак из овог незаштићеног фајла.

Следеће што је потребно јесте да генеришемо кључеве за сигурну комуникацију, као што смо то радили са Пиџином у прошлом броју. Потребно је одабрати опцију алати па опције па безбедност (енг. Tools > Options > Security). Затим одабрати налог за који се кључеви креирају, ако их имате више, и притиснути дугме генерисати (енг. generate). Генерисање овог кључа је за шифровано дописивање помоћу ОТР протокола (енг. Off The Record), описаног детаљно у прошлом делу. Док ОТР кључ морате да генеришете притиском на дугме, ЗРТП је подразумевано омогућен као и аутентификација кратком ниском од четири карактера.

account-active options-generate_key

За разлику од Пиџина, у Жицију не морате инсталирати никакве додатке (енг. plugins) за шифровање јер су ОТР и ЗРТП омогућени, али постоји још неколико подешавања која се саветују да корисници учине како би унапредили своју приватност. Прво, чување историје разговора свакако није добро за приватност, па ћемо то искључити:

  • Идите на Алате > Опције > Генерална подешавања (Tools > Options > General) и опцију за логовање (бележење) историје наместите да не буде штиклирана као на слици испод:

options-logigng

  • Затим у Сигурносним опцијама (Tools > Options > Security) наместите да омогућите, одобрите и захтевате приватно дописивање:

options-generate_key

  • И, на крају, у Напредним подешавањима у опцији за Логовање (Tools > Options > Advanced > Logging) наместите да не буде штиклирано да се логују пакети:

options-logging

То би било све што се тиче сигурносних подешавања. Сада можемо да додамо нови контакт, да покренемо комуникацију (File > New contact) и да унесемо ИксМПП адресу особе с којом желимо да контактирамо. Када то урадимо, морамо сачекати да нас саговорник прихвати и одобри. Након тога можемо осим дописивања, гласовног позива и видео-комуникације да пошаљемо фајл, или да поделимо наше радно окружење (енг. Desktop) са саговорником, што може бити корисно ако некоме треба да асистирамо на пројекту или проблему преко интернета.

add_contact

Када вас саговорник прихвати, потребно је, као и код Пиџина, да један другог аутентификујете за ОТР шифровано приватно дописивање. Ово се ради само једном и односи са само на дописивање. Сваки следећи пут треба само да кликнете на катанац када конверзација почне.

jitsi_005 sagovornik_005 maximilijan_005 authenticate_buddy sagovornik_007-sifrovano

Али, као што смо рекли, Жици није само ту за дописивање, па ћемо укратко описати и како се сигурно успостављају видео-комуникација и позив.

За видео-комуникацију са неким контактом потребно је кликнути на иконицу камере испод имена контакта. Треба да упоредите карактере кратке аутентификационе ниске ако кључић није зелене боје и шифровани видео биће успостављен.

jitsi-call

За крај бисмо поменули да је Жици згодан за коришћење и када се ради о шифрованим позивима, а његова употреба никако није ограничена само на стоне рачунаре и лаптопе. Наиме, поред ИксМПП-а, Жици подржава и СИП за аудио комуникацију тј. позиве, а ЗРТП за успостављање сигурне шифроване комуникације није везан за ИксМПП или било који други вид комуникације, па се тако лако примењује и на СИП, чиме обезбеђује једноставно шифровање разговора између две стране. Наравно, овакви позиви су могући док имате приступ интернету на телефону и ништа не коштају, а у исто време нико између страна које разговарају не може прислушкивати јер се комуникација шифрује. О овој теми биће више речи када се будемо бавили апликацијама отвореног кода за заштиту приватности корисника Андроида. У међувремену очекујте наставак у којем ћемо се више бавити програмима који подразумевано користе Тор мрежу, а до тада свим читаоцима желимо срећну Нову годину и празнике.