Ero sivun ”Irc” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
 
(10 välissä olevaa versiota samalta käyttäjältä ei näytetä)
Rivi 1: Rivi 1:
 +
'''IRC''' (''Internet Relay Chat'') on vanhin sosiaalisen median muoto NNTP-keskusteluryhmien lisäksi ja se on yhä suosittu niin kuluttajien kuin eri toimialojen parissa, huolimatta sosiaalisen median kasvusta. Europpassa ja USA:ssa on omia verkkoja, joiden palvelimiin voi toki liittyä koko maailmasta.
  
 +
IRCissä tapahtuu häirintää (spämmäämistä, Nickin varastamista, jne) ja siksi sen eri verkoissa on käytössä sovellustason tunnistautumisjärjestelmiä, kuten
 +
* rekisteröitymistä roolitunnuksille (''nickserv'').
 +
* Toinen tapa olisi sallia vain salattu TCP-yhteys (SSL tai TLS tilassa) ja vaatia tunnistautuminen jo yhteyden muodostamisvaiheessa asiakaspään varmenteella ja käyttää yhteydestä saatuja tietoja sovellustasolla.
 +
* Kolmas tapa olisi vaatia luomaan käyttäjätili eri kanavassa, esim Web-sivulla ja vaatia sieltä saatua käyttäjätunnusta/yhteysvarmennetta ja sen salasanaa yhteyden muodostamisvaiheessa.
 +
 +
TCP-yhteyden asiakaspään varmenteen vaatimisen probleema on tyypillinen käyttö jossa usein kanava jätetään auki ja käyttäjä poistuu terminaalinsa ääreltä ottaen varmentensa mukaan (yksi vahvan varmenteen etu, sitä ei jätetä kuleksimaan). Tällöin TCP-yhteys todennäköisesti katkeaa. Tämä käyttötapa puoltaisi pehmeämpien mekanismien käyttöä vaikkakin tunnisten taustalla on se sama vahva henkilövarmenne. Keskusteluverkon saavuttama häiriökäyttäytymisen esto olisi joka tapauksessa saavutettu. Lisäksi vaikka ohjelmien [[PKCS#11]] tuki on parantunut, se ei yhä ole toivottavalla tasolla tunnettavuuden ja käytön vähäisyyden takia.
  
 
Työaseman komennot kun henkilökortti on lukijassa, luetaan varmenteen ID ja käytetään sitä argumenttina ensimmäisen varmenteen lukemiseen:
 
Työaseman komennot kun henkilökortti on lukijassa, luetaan varmenteen ID ja käytetään sitä argumenttina ensimmäisen varmenteen lukemiseen:
Rivi 8: Rivi 15:
 
  $ pkcs15-tool -r 01 | openssl x509 -fingerprint -noout | sed -e 's/^.*=//;s/://g;y/ABCDEF/abcdef/'
 
  $ pkcs15-tool -r 01 | openssl x509 -fingerprint -noout | sed -e 's/^.*=//;s/://g;y/ABCDEF/abcdef/'
 
  7e4161df525cac260a34891352525b88b8edccdf
 
  7e4161df525cac260a34891352525b88b8edccdf
 +
 +
 +
== Freenode ==
 +
Freenode-verkossa on toteutettu eriasteisia rekisteröinti- ja tunnistamisjärjestelmiä, kuten NickServ - nick-palvelu. Freenoden NickServ palvelulle voi todentaa itsensä joko salasanalla tai julkisen avainparin sormenjäljellä (''fingerprint'') jonka palvelu saa asiakasvarmenteella avatusta SSL-yhteydestä ([https://tools.ietf.org/html/rfc4422#page-29 SASL EXTERNAL]).
  
 
Freenode IRC-serverin nickserv-palvelun komennot:
 
Freenode IRC-serverin nickserv-palvelun komennot:
Rivi 16: Rivi 27:
 
  -NickServ- - 7e4161df525cac260a34891352525b88b8edccdf
 
  -NickServ- - 7e4161df525cac260a34891352525b88b8edccdf
  
 +
Asiakasvarmenteella luodun SSL-yhteyden tunnistamisen onnistumisen voi tarkastaa komennolla:
 +
/msg nickserv status
 +
-NickServ- You are logged in as Tuju.
 +
 +
 +
* [https://freenode.net/kb/answer/certfp freenode.net - CertFP (certificate fingerprint)] ohjeita eri asiakasohjelmien käyttöön
 +
* [https://github.com/atheme/atheme github.com - atheme] Freenoden käyttämä Nickserv palveluprosessi
  
 
== Asiakasohjelmat ==
 
== Asiakasohjelmat ==
 +
 +
Salasanatunnistamisen lisäksi IRC-asiakasohjelmien tuki eri tunnistamisjärjestelmille on huono. Yksi tapa yrittää kiertää niiden puutetta on käyttää [[Stunnel]]-ohjelmaa.
  
 
{| class="wikitable sortable" style=";"
 
{| class="wikitable sortable" style=";"
Rivi 37: Rivi 57:
 
|
 
|
 
|-
 
|-
 +
|[https://hexchat.github.io/ Hexchat]
 +
|
 +
|
 +
|
 +
|
 
|}
 
|}
  
 
== Aiheesta muualla ==
 
== Aiheesta muualla ==
 
* https://wiki.archlinux.org/index.php/Irssi#TLS_Connection
 
* https://wiki.archlinux.org/index.php/Irssi#TLS_Connection

Nykyinen versio 13. helmikuuta 2019 kello 14.06

IRC (Internet Relay Chat) on vanhin sosiaalisen median muoto NNTP-keskusteluryhmien lisäksi ja se on yhä suosittu niin kuluttajien kuin eri toimialojen parissa, huolimatta sosiaalisen median kasvusta. Europpassa ja USA:ssa on omia verkkoja, joiden palvelimiin voi toki liittyä koko maailmasta.

IRCissä tapahtuu häirintää (spämmäämistä, Nickin varastamista, jne) ja siksi sen eri verkoissa on käytössä sovellustason tunnistautumisjärjestelmiä, kuten

  • rekisteröitymistä roolitunnuksille (nickserv).
  • Toinen tapa olisi sallia vain salattu TCP-yhteys (SSL tai TLS tilassa) ja vaatia tunnistautuminen jo yhteyden muodostamisvaiheessa asiakaspään varmenteella ja käyttää yhteydestä saatuja tietoja sovellustasolla.
  • Kolmas tapa olisi vaatia luomaan käyttäjätili eri kanavassa, esim Web-sivulla ja vaatia sieltä saatua käyttäjätunnusta/yhteysvarmennetta ja sen salasanaa yhteyden muodostamisvaiheessa.

TCP-yhteyden asiakaspään varmenteen vaatimisen probleema on tyypillinen käyttö jossa usein kanava jätetään auki ja käyttäjä poistuu terminaalinsa ääreltä ottaen varmentensa mukaan (yksi vahvan varmenteen etu, sitä ei jätetä kuleksimaan). Tällöin TCP-yhteys todennäköisesti katkeaa. Tämä käyttötapa puoltaisi pehmeämpien mekanismien käyttöä vaikkakin tunnisten taustalla on se sama vahva henkilövarmenne. Keskusteluverkon saavuttama häiriökäyttäytymisen esto olisi joka tapauksessa saavutettu. Lisäksi vaikka ohjelmien PKCS#11 tuki on parantunut, se ei yhä ole toivottavalla tasolla tunnettavuuden ja käytön vähäisyyden takia.

Työaseman komennot kun henkilökortti on lukijassa, luetaan varmenteen ID ja käytetään sitä argumenttina ensimmäisen varmenteen lukemiseen:

$ pkcs15-tool -c
$ pkcs15-tool -r 01 | openssl x509 -fingerprint -noout 
Using reader with a card: Gemalto PC Twin Reader (DF244A22) 00 00
SHA1 Fingerprint=7E:41:61:DF:52:5C:AC:26:0A:34:89:13:52:52:5B:88:B8:ED:CC:DF
$ pkcs15-tool -r 01 | openssl x509 -fingerprint -noout | sed -e 's/^.*=//;s/://g;y/ABCDEF/abcdef/'
7e4161df525cac260a34891352525b88b8edccdf


Freenode

Freenode-verkossa on toteutettu eriasteisia rekisteröinti- ja tunnistamisjärjestelmiä, kuten NickServ - nick-palvelu. Freenoden NickServ palvelulle voi todentaa itsensä joko salasanalla tai julkisen avainparin sormenjäljellä (fingerprint) jonka palvelu saa asiakasvarmenteella avatusta SSL-yhteydestä (SASL EXTERNAL).

Freenode IRC-serverin nickserv-palvelun komennot:

/msg nickserv cert add 7e4161df525cac260a34891352525b88b8edccdf
-NickServ- Added fingerprint 7e4161df525cac260a34891352525b88b8edccdf to your fingerprint list.
/msg nickserv cert list
-NickServ- Fingerprint list for Tuju:
-NickServ- - 7e4161df525cac260a34891352525b88b8edccdf

Asiakasvarmenteella luodun SSL-yhteyden tunnistamisen onnistumisen voi tarkastaa komennolla:

/msg nickserv status
-NickServ- You are logged in as Tuju.


Asiakasohjelmat

Salasanatunnistamisen lisäksi IRC-asiakasohjelmien tuki eri tunnistamisjärjestelmille on huono. Yksi tapa yrittää kiertää niiden puutetta on käyttää Stunnel-ohjelmaa.

ohjelma SSL-tuki verkko toimiiko muuta
Konversation on Freenode ei Yhteyden muodostamisessa ei ole mahdollista antaa muita SSL-parametreja kuin päälle/pois. Ilmeisesti vaatisi TLS-option.
Quassel
Hexchat

Aiheesta muualla