Irc
IRC (Internet Relay Chat) on vanhin sosiaalisen median muoto NNTP-keskusteluryhmien lisäksi ja se on yhä suosittu niin kuluttajien kuin eri toimialojen parissa, huolimatta sosiaalisen median kasvusta. Europpassa ja USA:ssa on omia verkkoja, joiden palvelimiin voi toki liittyä koko maailmasta.
IRCissä tapahtuu häirintää (spämmäämistä, Nickin varastamista, jne) ja siksi sen eri verkoissa on käytössä sovellustason tunnistautumisjärjestelmiä, kuten
- rekisteröitymistä roolitunnuksille (nickserv).
- Toinen tapa olisi sallia vain salattu TCP-yhteys (SSL tai TLS tilassa) ja vaatia tunnistautuminen jo yhteyden muodostamisvaiheessa asiakaspään varmenteella ja käyttää yhteydestä saatuja tietoja sovellustasolla.
- Kolmas tapa olisi vaatia luomaan käyttäjätili eri kanavassa, esim Web-sivulla ja vaatia sieltä saatua käyttäjätunnusta/yhteysvarmennetta ja sen salasanaa yhteyden muodostamisvaiheessa.
TCP-yhteyden asiakaspään varmenteen vaatimisen probleema on tyypillinen käyttö jossa usein kanava jätetään auki ja käyttäjä poistuu terminaalinsa ääreltä ottaen varmentensa mukaan (yksi vahvan varmenteen etu, sitä ei jätetä kuleksimaan). Tällöin TCP-yhteys todennäköisesti katkeaa. Tämä käyttötapa puoltaisi pehmeämpien mekanismien käyttöä vaikkakin tunnisten taustalla on se sama vahva henkilövarmenne. Keskusteluverkon saavuttama häiriökäyttäytymisen esto olisi joka tapauksessa saavutettu. Lisäksi vaikka ohjelmien PKCS#11 tuki on parantunut, se ei yhä ole toivottavalla tasolla tunnettavuuden ja käytön vähäisyyden takia.
Työaseman komennot kun henkilökortti on lukijassa, luetaan varmenteen ID ja käytetään sitä argumenttina ensimmäisen varmenteen lukemiseen:
$ pkcs15-tool -c $ pkcs15-tool -r 01 | openssl x509 -fingerprint -noout Using reader with a card: Gemalto PC Twin Reader (DF244A22) 00 00 SHA1 Fingerprint=7E:41:61:DF:52:5C:AC:26:0A:34:89:13:52:52:5B:88:B8:ED:CC:DF $ pkcs15-tool -r 01 | openssl x509 -fingerprint -noout | sed -e 's/^.*=//;s/://g;y/ABCDEF/abcdef/' 7e4161df525cac260a34891352525b88b8edccdf
Freenode
Freenode-verkossa on toteutettu eriasteisia rekisteröinti- ja tunnistamisjärjestelmiä, kuten NickServ - nick-palvelu. Freenoden NickServ palvelulle voi todentaa itsensä joko salasanalla tai julkisen avainparin sormenjäljellä (fingerprint) jonka palvelu saa asiakasvarmenteella avatusta SSL-yhteydestä (SASL EXTERNAL).
Freenode IRC-serverin nickserv-palvelun komennot:
/msg nickserv cert add 7e4161df525cac260a34891352525b88b8edccdf -NickServ- Added fingerprint 7e4161df525cac260a34891352525b88b8edccdf to your fingerprint list. /msg nickserv cert list -NickServ- Fingerprint list for Tuju: -NickServ- - 7e4161df525cac260a34891352525b88b8edccdf
Asiakasvarmenteella luodun SSL-yhteyden tunnistamisen onnistumisen voi tarkastaa komennolla:
/msg nickserv status -NickServ- You are logged in as Tuju.
- freenode.net - CertFP (certificate fingerprint) ohjeita eri asiakasohjelmien käyttöön
- github.com - atheme Freenoden käyttämä Nickserv palveluprosessi
Asiakasohjelmat
Salasanatunnistamisen lisäksi IRC-asiakasohjelmien tuki eri tunnistamisjärjestelmille on huono. Yksi tapa yrittää kiertää niiden puutetta on käyttää Stunnel-ohjelmaa.
| ohjelma | SSL-tuki | verkko | toimiiko | muuta |
|---|---|---|---|---|
| Konversation | on | Freenode | ei | Yhteyden muodostamisessa ei ole mahdollista antaa muita SSL-parametreja kuin päälle/pois. Ilmeisesti vaatisi TLS-option. |
| Quassel | ||||
| Hexchat |
