Jabber的SSL/TLS

Question

只是想知道:我和我使用的Jabber服务器之间的整个流量是加密的，还是只有登录和密码？考虑到服务器支持加密，并且我的IM客户机被配置为请求加密。

如果所有流量都使用SSL/TLS加密，请说明通常使用哪种加密算法(非对称加密用于密钥交换，对称加密用于聊天)。

当然，我使用OTR进行点对点加密，但仍然在Jabber/XMPP中的SSL/TLS中徘徊。

Answer 1

RFC 3920第5节描述了XMPP (该协议)与SSL/TLS的集成。基本上，客户机和服务器同意在已经打开的连接上切换到SSL，然后切换到SSL/TLS，直到连接结束为止。因此，一切都在SSL/TLS中受到保护，而不仅仅是身份验证部分。随后的所有通信都会被加密。

如果客户端软件试图使用SSL/TLS，则仍然拒绝对话，操作失败(例如，客户端和服务器之间缺乏通用密码套件)。如果客户端软件透明地退回到非SSL对话框，那么即使可能，活动攻击者也可以强制客户端不使用SSL。不过，我强烈希望你的贾贝尔客户不会那么糟糕。

(如果安全性是可选的，则不起作用。)