Güvenli İletişim ve Biz

[empax]

Merhabalar,

Skype'ın ne kadar güvenli(!) olduğunu okuduktan¹ sonra biraz araştırıp alternatif bir cevap buldum ancak emin olamadığım noktalar var. (@if'e bir kez daha teşekkür ediyorum buradan.)

XMPP veya diğer adıyla Jabber. (ilk defa duyanlar varsa araştırmalarını tavsiye ederim.)
Bir kaç belge okudum, kafamda oluşan profil "kısmen iyi, kısmen kötü" şeklinde oldu.

Bir kaç tanesini yazayım;
1- "XML biçiminde dosya tipiyle iletişim sağlanır" deniyor. Ses ve görüntü'de durum nedir?
2- "Merkez ya da herhangi bir yere bağlı değildir, e-posta mimarisine benzer" ibaresinden neyi anlamalıyız? Çünkü XMPP yapısında [Client <> Server <> Client] yapısı kullanılıyor anladığım kadarıyla.
3- Altı çizilerek güvenli iletişim olanağı sağladığı söyleniyor ama şöyle bir açıklama da içeriyor, "Çok fazla port aralığı barındırdığından çeşitli güvenlik zafiyetleri barındırır". Bunun önlemenin yolları nelerdir? Pidgin, Jitsi vs. ile kullanımlarda bu güvenlik zafiyetlerini yaşamamak için ne gibi önlemler alınmış veya alınmalı?
4- "Yazışmalar 128 bit SSL sertifikası ile şifreleniyor" denilmiş. Bu ön tanımlı olarak böyle midir yoksa aracı programlarda güvenlik ayarlarının kullanıcı tarafından isteğe bağlı olarak ayarlanması mı gerekiyor? Bununla beraber ses ve görüntüde de yine şifreleme kullanılıyor mu?

Aklıma şimdilik bunlar geliyor, siz de tecrübelerinizi, bilgilerinizi veya aklınızdaki soruları paylaşıp "Güvenli iletişim" için ışık tutarsanız çok sevinirim. Belki de güzel bir belge çıkar ortaya. 

Teşekkürler.

[cagriemer]

PGP'den bildigimiz Phil Zimmermann'in ZRTP[1] diye bir protokolu var. Bu sayede hem ses hem goruntu sifrelenebiliyor XMPP'de. Jitsi de bu destegi veren istemcilerden bir tanesi. Cok basarili buldum ben. SUDO'da onumuzdeki ay bir yazisi olacak OpenFire sunucu ile birlikte.

1) Ikilik veri aktarimi icin Jingle diye bir protokol var. XMPP acik bir standart oldugundan isteyen istedigi eklemeyi yapabiliyor.
2) Merkeze bagli degildir derken "decentralized" ise kelimenin orijinali, tek bir ana sunucu yok onu demek istiyordur. Yani sistem yine sunucu<->istemci seklinde calisiyor fakat ana bir sunucuya baglanmiyorsunuz. Isteyen kendi sunucusunu kuruyor.
3) XMPP servisi veren sunucu ile iletisim kuran taraflarin guvenligi elbette alakali ama orada bahsedilen sunucuda cok fazla port acmak istemiyorsaniz ne yaptiginizi iki kere dusunmenizde fayda var manasinda.
4) Kullandiginiz sunucuyla nasil iletisime gectiginize bagli. Sunucu SSL/TLS destegi veriyorsa kullanir, vermiyorsa kullanamaz. Fakat iletinin basinda yazdigim ZRTP protokolunun SSL/TLS destegi veren bir sunucuya ihtiyaci yok.

Geri kalani sonraki SUDO'da

[1] http://en.wikipedia.org/wiki/ZRTP

[empax]

Öncelikle teşekkürler @cagriemer.

ZRTP, konusu ilgi çekici gerçekten ve konu baya derinlere iniyor gibi görünüyor.
Sizin yazınız çıkana kadar ben araştırmaya ve merakımı gidermeye devam edeyim. Umarım güzel bir noktada bulurum kendimi.
Bir sonraki Sudo'yu merakla bekliyor olacağım. XMPP ve son kullanıcıya sunduklarına açıklık getirirseniz eminim bir çok kullanıcıyı da cezp edecek.

Kolay gelsin.