Музыка:	Lacrimosa -- Alleine zu Zweit
Entry tags:	it

Jabber
На фоне этого вашего кипиша з разными мессенжерами пришла светлая мысль, не пора ли откапывать старый добрый теплый ламповый XMPP/Jabber. И вообще, что стоит глянуть, что там с ним творится.

А там все, в общем хорошо.

Jabber вполне себе здравствует. Оброс новыми XEP'ами, адаптирующими протокол к современным реалиям, в частности:

1. XEP-0198: Stream Management -- решение вопроса нестабильного (в т.ч. мобильного) интернета (подтверждения получения сообщения между клиентом и сервером плюс переустановление оборванного соединения);
   
2. XEP-0313: Message Archive Management (и ряд более простых вариантов, реализующих неполный набор возможностей) -- архивирование истории на сервере плюс кошерная синхронизация между клиентами.
   
3. XEP-0363: HTTP File Upload -- один из стандартов обмена файлами, вроде даже работает (как минимум, в цепочке поддерживающих клиента-сервера-сервера-клиента). Причем даже вместе с вышеупомянутым XEP-0313 -- т.е. фоточка прийдет на все устройства.
   
4. Сквозное шифрования аж в трех видах:
   
   1. OpenPGP -- классика. Хороша всем, кроме невозможности включить одной кнопкой (таки немножечко надо подумать), а также отсутствием призрачной forward secrecy.
      
   2. OTR. Для реальных параноиков. Работает только между двумя клиентами, которые чатятся в онлайне (никаких отложенных доставок).
      
   3. OMEMO -- хит сезона. Адаптация протокола Signal (Axolotl). Попытка скрестить ужа с ежом. Всмысле -- и призрачная forward secrecy, и много устройств, и многопользовательский чатик, и отложенная доставка (когда адресат войдет в сеть) и т.д.
   
   Личное впечаление -- я, пожалуй, за классику. В реальной жизни отобрать устройство проще, чем компрометировать ключ, и в этом смысле тупая passphrase в OpenPGP может помочь гораздо лучше, чем все эти криптографические навороты. Однако, для чайника OMEMO существенно проще, т.к. включается одной кнопкой, не требует всей этой ручной генерации ключей, обмена, key signing party и прочих гиковских развлечений.
   
   С другой стороны, при подключении нескольких устройств подтверждать ключи нужно для каждого, и новому подключенному устройству не будут доступны старые сообщения (forward secrecy же). Т.е. допустим, при утере/краже/поломке старого телефона архив сообщений накроется (если не было параллельного аккаунта на другом устройстве), а собеседникам придется одобрить смену ключа.
   
   Кстати, стоило бы проверить еще раз, но я лично наблюдал случай, когда OMEMO-ключ на ведроидном клиенте восстановился после полного сброса телефона в заводские настройки. Если повторится, то нужно зарепортить, это явный misbehavior.

Да, о клиентах. Из стационарных в плане поддержки всего вышеперечисленного наиболее продвинут Gajim.

Pidgin не умеет в Message Archive Management (только в Message Carbons, и то, насколько я помню, плагином), да и... в остальное тоже (OMEMO и OpenPGP плагинами). Psi надо уточнять.

Из мобильного -- Conversations. Если версия андроида слишком старая или сильно надо OTR -- есть отдельная ветка Conversations Legacy. В Google Play Conversations платный (Legacy -- нет), в F-Droid вроде нет. Пытаются предлагать свой Jabber-сервер по умолчанию, за который через некоторое время после подключения захотят денег, но без проблем можно подключить аккаунт в любом другом. Есть ряд клонов и прочих поделий. По совместительству один из двигателей современной экосистемы Jabber (OMEMO и HTTP file upload разрабатывали эти ребята).

Есть еще, хех, Xabber. Упоминаю чисто ради равновесия эльфов и орков, почитайте при случае, что этот ватник пишет в ответ на просьбу реализовать OMEMO: https://github.com/redsolution/xabber-android/issues/540 . "Crypto-cancer", "drug dealers", и дальше по тексту.

Сервера -- надо проверять. Я сижу на jabber.hot-chilli.net. Из пожаловаться -- иногда возникают странности с ключами SSL (ну или это был MITM, хех). Однако, потенциально ряд старых серверов может не уметь в новые возможности.