[HaBo]

skike

Anzeige

Hallo,

ich habe ein (paar) Problem mit PSI.
1. Wenn ich zu meinem Server jabber.ccc.de connecte kommt eine Fehlermeldung: "The jabber.ccc.de certificate failed the authenticity test. Reason: Invalid CA certificate"

2. Ich habe einen ICQ-Transport eingerichtet. So allerdings kann ich nicht sehen ob meine Kontakte online sind. Bei AIM funktioniert es - bei ICQ nicht

The Dude

das ist "normal", bzw. laesst sich leider nur mit geld aendern. leider finde ich gerade keine seite wo die problematik erklaert wird. kurz gesagt; der betreiber von jabber.ccc.de muesste bei einer firma wie verisign ein ssl zertifikat kaufen um ein zertifikat zu haben welches von browsern/mailprogrammen/psi/etc. akzeptiert wird ohne eine warnung anzuzeigen.
allerdings will eine organisation wie der ccc nicht das vorhandene geld fuer solche zertifikate ausgeben. das ist einfach extreme abzocke, wenn man sich mal ueberlegt was diese zertifikatshaendler eigentlich dafuer leisten.
aber es gibt einen hoffnungsschimmer am horizont. alles wird gut. vielleicht. demnaechst in ihrem internet: http://www.cacert.org/index.php?id=0&lang=de_DE

die transports hatte ich irgendwann mal probiert. da wurden dann nur die uins und nicht die namen angezeigt. war zwar ganz lustig anhand des chats zu raten mit wem man gerade spricht, aber irgendwie nicht so das wahre.
leider funktioniert das ganze wohl nicht so gut wie man es sich wuenschen wuerde. ausserdem koennte es sein, dass aufgrund der juengsten rechtlichen entwicklungen bei den proprietaeren instant messaging protokollen die transports einfach abgeschaltet werden.
da gibt es wohl keine zufriedenstellende loesung wenn man weiterhin icq oder einen anderen dienst nutzen will. entweder einen multiprotokollclient, der dann vermutlich eine unvollstaendige jabber implementation hat (insb. bei der gpg verschluesselung) oder zwei clients, was natuerlich auch sehr doof ist.
zwei multiprotokollclients die schon erfolgreich mit gpg verschluesselung getestet wurden sind centericq und kopete. sind wohl beide eher fuer den einsatz auf unixoiden betriebssystemen zu gebrauchen.

skike

hallo,

danke für die antwort!
wenn ich das richtig verstehe wird bzgl. des protokolls nur eine warnung angezeigt, es funktioniert aber?!

das problem mit den unis hatte ich auch und habe mich dann daran gemacht die user-infos aller user anzusehen und dann umzubennen... war eine ziemliche ahnung.

ich habe grade eben gemerkt, dass ein icq-kontakt der MICH geaddet hat (und ich ihn daraufhin) bei mir mit richtigem status angezeigt wird....
seltsam...

edit. und wenn ich die kontakte manuell hinzufüge, funktioniert die statusanzeige anscheinend auch!

The Dude

jein. also die verschluesselung funktioniert. du weisst aber nicht, ob du wirklich mit dem rechner sprichst mit dem du sprechen willst. kryptographische methoden sollen ja grundsaetzlich drei verschiedene dinge leisten.

1. vertraulichkeit der daten; niemand ausser den kommunizierenden parteien soll die kommunikation einsehen koennen. das ist (mehr oder weniger) gegeben, auch wenn ein selbst-signiertes zertifikat verwendet wird. der vorteil hierbei ist, dass niemand der deinen netzverkehr mitlesen kann deine zugangsdaten zum jabberserver in erfahrung bringen kann. zumindest nicht ohne einen aktiven angriff.

2. integritaet der daten; es soll sichergestellt sein, dass die daten nicht unterwegs manipuliert worden sind. das ist genauso (mehr oder weniger) gegeben, wenn ein selbst-signiertes zertifikat verwendet wird. ohne aktiven angriff ist es nicht moeglich die daten zu manipulieren. wenn die verbindung bereits aufgebaut ist, ist garantiert, dass die daten nicht manipuliert sind.

3. authentizitaet der daten; es soll sichergestellt werden, dass die daten wirklich von der person/von dem rechner/etc. stammen von dem sie angeblich stammen. das ist bei einem selbst-signierten zertifikat nicht gegeben. du weisst, dass die verbindung zu deinem gegenueber verschluesselt ist und dass die daten nicht manipuliert werden koennen nachdem die verbindung aufgebaut wurde. du weisst aber nicht mit wem du eine verbindung aufgebaut hast.

pragmatisch betrachtet ist die verwendung von ssl auch mit selbst-signierten zertifikaten einer klartextuebertragung vorzuziehen. allerdings besteht weiterhin die moeglichkeit, dass ein gezielter angriff (sog. man-in-the-middle-attack) dafuer sorgt, dass du deine kommunikation an den angreifer schickst und der angreifer diese nach eventueller manipulation an den eigentlichen zielrechner weiterleitet.
aus diesem grund, und aus dem grund, dass die kommunikation auch bei verwendung von ssl weiterhin auf dem server im klartext vorliegt, muss man zusaetzlich mit gpg verschluesseln, wenn man wirkliche sicherheit vor mitlesen und manipulation der kommunikation erreichen will.

ich bewundere deine bereitschaft die arbeit zu machen fuer die urspruenglich der computer gebaut wurde.

naja, immer noch nicht schoen, aber besser als nichts denk ich mal...

skike

danke für die ausführliche erklärung!

haha... sehr schön gesagt

habe eigentlich keine lust alle kontakt manuell hinzuzufügen und vielleicht finde ich ja auch noch einen weg, aber immer funktioniert es überhaupt!