Messenger auf Linux Server

11/30/2015 13:58 Ares#1

Guten Mittag,

ich versuche mich gerade an der Idee, einen verschl�sselten Messenger f�r Smartphone & PC auf einem Linux Server zu installieren. Das hei�t praktisch eine Messenger App al� WhatsApp, Signal, Threema & Co. + einen Client f�r PC oder �ber eine Website. Da die Konversationen mit beiden Clients sichtbar sein sollten, wird es wohl auf eine Client-Server-Verschl�sselung hinauslaufen (wenn das m�glich sein sollte). Mein erster Ansatz war XMPP, da es offenbar bereits Clients f�r beide gibt. Geht das in die richtige Richtung bzw. ist so etwas �berhaupt m�glich?

Edit: Alternativ w�ren nat�rlich auch irgendwelche Fertigl�sungen m�glich, allerdings hat Signal afaik noch kein Desktop Client.

11/30/2015 14:32 Der-Eddy#2

Man kann seinen [Only registered and activated users can see links. Click Here To Register...], dadurch schafft man schon mal eine sichere TLS Verbindung zum Server

Zus�tzlich kann man die Verbindung zwischen einander [Only registered and activated users can see links. Click Here To Register...]
Ein XMPP cmd client der das unterst�tzt w�re z.B. [Only registered and activated users can see links. Click Here To Register...]

Eine Liste an XMPP Clients (inklusive Browser Clients), findest du hier: [Only registered and activated users can see links. Click Here To Register...]

12/01/2015 13:03 -Tap-#3

das meiste hat zwar Eddy schon gesagt, ich empfehle dir aber Pidgin als Client. Dieser bietet dir z.B. auch [Only registered and activated users can see links. Click Here To Register...] als Plugin an.

12/01/2015 16:01 Zypr#4

Du brauchst [Only registered and activated users can see links. Click Here To Register...] und eine vern�nftige Config.

Die hier nutze ich aktiv auf meinen Server. Ich nutze keinen Datentransfer dar�ber, deshalb m�sstest du dir das entsprechende Modul und den Dienst dazu selber einstellen, wenn du es nutzen m�chtest.

Spoiler

Module:
[Only registered and activated users can see links. Click Here To Register...]

Clients:
[Only registered and activated users can see links. Click Here To Register...]

Ich kann pers�nlich ChatSecure unter iOS/Android und Pidgin unter Windows/Linux empfehlen. Wenn du es webbasiert haben m�chtest, dann kann ich dir [Only registered and activated users can see links. Click Here To Register...] und [Only registered and activated users can see links. Click Here To Register...] empfehlen. Ich habe beide nur "kurz" angetestet, nutze allerdings keine webbasierte Platform mehr.

12/03/2015 10:47 Ares#5

Ist das besser als Openfire?

12/03/2015 13:02 Zypr#6

Openfire = Java
Prosody = Lua

Ich bin ein Fan von leichtgewichtigen Systemen, deshalb ist Openfire f�r mich pers�nlich keine Option. Wenn du eine Alternative suchst, dann kannst du dir noch ejabberd anschauen.

Hier kannst du sehen, dass Openfire kaum genutzt wird:

[Only registered and activated users can see links. Click Here To Register...]

12/03/2015 21:24 Ares#7

Hab Prosody jetzt mal installiert, aber immer noch ein paar Fragen:
- Was bewirkt daemonize = true bei posix? Hab's mir durchgelesen, aber nicht ganz verstanden. (Du hast �brigens 2x posix).
- Bez�glich authentication stand in der Doku: "Once hashed, there is no way to go back to plain storage without resetting all users' passwords". F�r mich h�rt sich das jetzt so an, als m�sste man alle Passw�rter resetten, wenn einer sein Passwort vergisst oder ist das dann wirklich nur bei einem?
- ~~Muss man c2s_ports oder s2s_ports angeben oder nutzt er die default Ports?~~ Benutzt default Ports
- ~~Laut dieser schlauen Wikipedia-Tabelle ist Conversations etwas besser als ChatSecure~~ Gerade gesehen, dass das was kostet

Spoiler

12/04/2015 00:23 Zypr#8

Quote:

Originally Posted by Ares

- Was bewirkt daemonize = true bei posix? Hab's mir durchgelesen, aber nicht ganz verstanden. (Du hast �brigens 2x posix).

daemonize=true bewirkt, dass Prosody im RC-Skript in den Hintergrund rutscht und als Daemon agiert.
[Only registered and activated users can see links. Click Here To Register...]

Quote:

Originally Posted by Ares

- Bez�glich authentication stand in der Doku: "Once hashed, there is no way to go back to plain storage without resetting all users' passwords". F�r mich h�rt sich das jetzt so an, als m�sste man alle Passw�rter resetten, wenn einer sein Passwort vergisst oder ist das dann wirklich nur bei einem?

Du kannst das Passwort eines einzelnen Users �ndern.

Code:

prosodyctl passwd JID

12/04/2015 17:01 Ares#9

Ich kann leider keine verschl�sselte Verbindung mehr aufbauen. Gestern Abend ging es komischerweise noch und ich habe nichts ge�ndert.

Meine Config:

Spoiler

Code:

admins = { "[Only registered and activated users can see links. Click Here To Register...]" }

plugin_paths = { "/usr/lib/prosody/modules/prosody-modules" }

modules_enabled = {

	-- Generally required
		"roster"; -- Allow users to have a roster. Recommended 
		"saslauth"; -- Authentication for clients and servers. Recommended if you want to log in.
		"tls"; -- Add support for secure TLS on c2s/s2s connections
		"dialback"; -- s2s dialback support
		"disco"; -- Service discovery
		"posix"; -- POSIX functionality, sends server to background, enables syslog, etc.

	-- Not essential, but recommended
		"private"; -- Private XML storage (for room bookmarks, etc.)
		"vcard"; -- Allow users to set vCards
	
	-- These are commented by default as they have a performance impact
		--"privacy"; -- Support privacy lists
		--"compression"; -- Stream compression (requires the lua-zlib package installed)

	-- Nice to have
		--"version"; -- Replies to server version requests
		"uptime"; -- Report how long server has been running
		"time"; -- Let others know the time here on this server
		"ping"; -- Replies to XMPP pings with pongs
		"pep"; -- Enables users to publish their mood, activity, playing music and more
		"register"; -- Allow users to register on this server using a client and change passwords

	-- Admin interfaces
		"admin_adhoc"; -- Allows administration via an XMPP client that supports ad-hoc commands
		--"admin_telnet"; -- Opens telnet console interface on localhost port 5582

	-- HTTP modules
		--"bosh"; -- Enable BOSH clients, aka "Jabber over HTTP"
		--"http_files"; -- Serve static files from a directory over HTTP

	-- Other specific functionality
		--"groups"; -- Shared roster support
		--"announce"; -- Send announcement to all online users
		--"welcome"; -- Welcome users who register accounts
		--"watchregistrations"; -- Alert admins of registrations
		"motd"; -- Send a message to users when they log in
		"legacyauth"; -- Legacy authentication. Only used by some old clients and bots.


		"require_otr";
		"strict_https";
};

hsts_header = "max-age=31556952"
daemonize = true;
pidfile = "/var/run/prosody/prosody.pid";
c2s_require_encryption = true;
legacy_ssl_ports = { 5223 }
motd_text = [[Text!
    Text.]]

allow_registration = false;


ssl = {
	key = "/etc/prosody/certs/keyfile.key";
	certificate = "/etc/prosody/certs/certfile.crt";
}

tls_policy = "FS" -- allow only ciphers that enable forward secrecy

tls_policy = {
  c2s = {
    encryption = "AES"; -- Require AES (or AESGCM) encryption
    protocol = "TLSv1.2"; -- and TLSv1.2
    bits = 128; -- and at least 128 bits (FIXME: remember what this meant)
  };
  s2s = {
    cipher = "AESGCM"; -- Require AESGCM ciphers
    protocol = "TLSv1.[12]"; -- and TLSv1.1 or 1.2
    authentication = "RSA"; -- with RSA authentication
  };
}

c2s_require_encryption = true
s2s_require_encryption = true

s2s_secure_auth = true

s2s_insecure_domains = { "gmail.com" }

pidfile = "/var/run/prosody/prosody.pid"

authentication = "internal_hashed"


log = {
	info = "/var/log/prosody/prosody.log"; -- Change 'info' to 'debug' for verbose logging
	error = "/var/log/prosody/prosody.err";
	"*syslog";
}


VirtualHost "domain.com"

	-- Assign this host a certificate for TLS, otherwise it would use the one
	-- set in the global section (if any).
	-- Note that old-style SSL on port 5223 only supports one certificate, and will always
	-- use the global one.
	ssl = {
		key = "/etc/prosody/certs/keyfile.key";
		certificate = "/etc/prosody/certs/certfile.crt";

		options = { "no_sslv2", "no_sslv3", "no_ticket", "no_compression", "cipher_server_preference", "single_dh_use", "single_ecdh_use" };
		ciphers = "HIGH+kEDH:HIGH+kEECDH:HIGH:!CAMELLIA:!PSK:!SRP:!3DES:!aNULL";
		dhparam = "/etc/prosody/certs/dh-2048.pem";
	}

Hab's ohne und mit Legacyauth und Legacy SSL Port probiert.

Auszug prosody.log:

Spoiler

Teilweise steht auch da "Client connected" und in der selben Sekunde "Client disconnected".
Wenn ich in ChatSecure die verschl�sselte Verbindung aktivieren will, l�dt der Balken einfach nur unendlich lange und nichts passiert. Und unverschl�sselt kann ich es ja eh nicht nutzen.

Edit:
// Freundschaftsanfragen kommen an

Noch mal dem Verst�ndnis halber: M�ssen beide Clients online sein, um verschl�sselt zu schreiben (auch wenn man vorher schon mal verschl�sselt geschrieben hat)? Also muss die Verschl�sselung praktisch immer neu aufgebaut werden?

12/05/2015 11:34 snafu#10

Ich wei�, dass es bei Otr in Pidgin so ist. Dort wird glaube ich auch mit dem Session key encrypted.

12/06/2015 00:16 Zypr#11

Prosody unterst�tzt von sich aus Offlinenachrichten, es sei denn du deaktivierst das.

[Only registered and activated users can see links. Click Here To Register...]

Wenn du die Schl�ssel bereits ausgetauscht hast und beide Seite diese best�tigt haben, kannst du auch Nachrichten versenden, wenn ein Teilnehmer offline ist. Wenn der andere Teilnehmer wieder online kommt, wird die Nachricht von dem Server vermittelt. Wenn sich der Schl�ssel nicht ge�ndert hat, dann wird die Nachricht entschl�sselt und ist somit lesbar. Wenn nicht, sieht es so aus:

Code:

?OTR:AAIDAAAAAAEAAAACAAAAwCJkRqcjQvr/AgxOtKmpoMSAo8/zmlgYKpmVRhxFEQVCTs/m14r+dld9RHOtFX+YUfuGQjomGYrgNXbHSf7zPrRnQsoU12He0CzwRNpf1BqbqjSLXszdxtlvA2vfqaaKuJTV4WTCHuBi9YdllQ2dghgagdPCyZwjGTi2cu+soN2n6zfgVlkN5b5GUOY1/zmKRQmmLTCxf1jmCWsqK7vskmpJoxIc1b3So7V9iSAixOfgsO2cqRF/TayU6Y45FEhADgAAAAAAAAACAAAAAuyeaeTKM6pI6hM6PFD+H5FmzdxifMwAAAAA.