A protezione dei dati

Perfect Forward Secrecy

Jabber.tcpreset.net è configurato in modo da preferire crittografia efemerale anche detta a curve ellittiche.

Questi i cifrari utilizzati per le comunicazioni su questo server:

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-GCM-SHA384

Tipicamente quando viene stabilita una comunicazione protetta tra un client e un server, quest’ultimo genera una chiave di sessione (provvisoria) per cifrare i dati trasmessi partendo dalla propria chiave privata (a lungo termine). Nel caso in cui questa chiave privata venisse compromessa, ovvero perdesse la sua segretezza, sarebbe possibile derivare tutte le chiavi di sessioni generate a partire da essa e quindi decifrare le comunicazioni protette effettuate dal server. I protocolli dotati di forward secrecy proteggono da questa eventualità, utilizzando invece altre chiavi a lungo termine per generare le chiavi di sessione.

Per questo la criptografia end to end implementata su jabber.tcpreset.net rispetta criteri di Perfect Forward Secrecy garantendo la riservatezza di tutte le comunicazioni client to server (C2S) e server to server (S2S).

STARTTLS è obbligatorio e se non lo abiliti sul tuo programma XMPP non sarai in grado di connetterti a jabber.tcpreset.net.

jabber.tcpreset.net xmpp

Chiavi da 4096 bit.

Negli ultimi anni, varie organizzazioni di sicurezza hanno raccomandato di non usare piu’ chiavi RSA di dimensione inferiore a 2048 bit.

In particolare, l’Istituto nazionale degli standard e della tecnologia degli Stati Uniti (NIST), raccomanda l’uso di chiavi RSA a 2048 bit fino al 2030, momento in cui prevede che non saranno più considerate sufficientemente forti.

Perché aspettare fino al 2030?

Abbiamo scelto di saltare le raccomandazioni del NIST e abbiamo adottato chiavi di 4096 bit.

jabber.tcpreset.net xmpp

I certificati TLS sono verificati da Letsencrypt, la nostra Certificate Authority.

letsencrypt CA

DNSSEC

DNSSEC è un ulteriore livello di sicurezza per questo server di chat XMPP.

Infatti DNSSEC garantisce l’integrita e l’autenticita’ di tutte le richieste DNS verso jabber.tcpreset.net che ritornino il giusto ip senza alcuna possibilita’, nel caso di compromissione della cache del server DNS, di essere dirottati verso un indirizzo fasullo.

jabber.tcpreset.net dnssec powered

Crittografia end-to-end (E2EE)

Per un ulteriore strato di crittografia a protezione delle vostre conversazioni e della vostra identita’ vi invitiamo ad utilizzare un client che supporti i seguenti protocolli di sicurezza:

Omemo vs OTR

Leave a Reply