Compliance Liste: Wir unterstützen OMEMO!

Update

Daniel Gultsch fügte heute einen Erklärung in den Sourcecode von OMEMO.java des ComplianceTesters hinzu. Außerdem fügte er in die Spalte XEP-0384: OMEMO Encryption ein Fragezeichen hinzu, welches einen Link zu dieser Erklärung enthält. Auch wenn dies wirklich nur ein kleiner Hinweis ist, danken wir Herrn Gultsch dennoch das er unserem Wunsch nachgekommen ist.

Original

Hallo zusammen,

vor ein paar Tagen wurden die Compliance Liste von Daniel Gultsch um die Spalte XEP-0384: OMEMO Encryption erweitert. Derzeit suggeriert diese, auf Grund einer fehlenden Erklärung, das nur conversations.im OMEMO Encryption unterstützen würde, was natürlich nicht der Wahrheit entspricht.

Hintergrund des ganzen ist, das Daniel Gultsch empfiehlt, das das PEP-Modul der Server publish-options unterstützen sollte (hier ein ausführlichere Beschreibung). Dies bewirkt in Conversations ab Version 1.20+, das man auch Personen verschlüsselt anschreiben kann, ohne sie vorher in sein Adressbuch hinzufügen zu müssen. Auch wir finden dieses Feature gut und würden es gern unterstützen, allerdings unterstützt das PEP Modul von prosody publish-options derzeit noch nicht.

Wie Herr Gultsch selbst an mehreren Stellen schreibt handelt es sich dabei um kein Security Risiko, sondern lediglich um ein Usability Problem und er setzt es nicht voraus, sondern empfiehlt es nur. Die Bitte/der Vorschlag eine kurze Erklärung zu der Spalte in seiner Liste hinzuzufügen, da das ganze sonst so eine falsche Aussage über die Server wiederspiegelt, wurde mit den folgenden Sätzen einfach ignoriert und das Ticket geschlossen:

While not a security problems the lack of publish-options is a huge usability problem as this limits OMEMO to contacts you have mutual presence subscription with. Conversations users will except OMEMO to work with everyone. That’s why Conversations requires publish-options.

Nicht nur das plötzlich Conversations publish-options benötigt, was vorher nur eine Empfehlung war. Das Problem das das ganze „rufschädigend“ sein kann, welches ich und ein paar andere versuchen vorzutragen wird von ihm einfach komplett ignoriert.

Lange Rede kurzer Sinn - Ihr könnt mit Conversations und anderen Clients weiterhin OMEMO über unseren und die anderen Server verwenden, nur eben derzeit noch ohne das Feature Kontakte außerhalb eurer Kontaktliste direkt verschlüsselt anzuschreiben, ohne diese vorher zu adden.

Viele Grüße,

Sebastian


Update

Today, Daniel Gultsch added an explanation to the source file OMEMO.java of the ComplianceTester. He added also a question mark to the column XEP-0384: OMEMO Encryption, which is a link to this explanation. Even this is a really short and easy to overlook note, we would like to thank Mr. Gultsch for fulfilling our request.

Original

Hello,

a few days ago Daniel Gultsch added the column XEP-0384: OMEMO Encryption to the Compliance List. It currently suggests that only conversations.im supports OMEMO Encryption, caused by the lack of an explanation, which isn’t the truth.

Daniel Gultsch strongly recommend that the servers PEP module should support publish-options(detailed explanation). If enabled, Conversations starting with version 1.20, will be able to send OMEMO encrypted messages to clients, without the need to add them to your roster first. This is a great new feature and we like it, and would like to support it, but currently the PEP module from prosody does not support publish-options.

Mr. Gultsch wrote in several posts, that this isn’t a security vulerability, rather a usability problem and don’t require, but strongly recommend PEP with publish-options. My suggestion was to add a short explanation to the column of his list. Without it, the statement of his list is just wrong, but he closed the issue with the following sentences:

While not a security problems the lack of publish-options is a huge usability problem as this limits OMEMO to contacts you have mutual presence subscription with. Conversations users will except OMEMO to work with everyone. That’s why Conversations requires publish-options.

Not that publish-options suddenly is a requirement instead of a recommendation, he ignored the whole part about, that this column, without a explanation, is just libelous for a bunch of servers and it’s administrators.

Long speak short – You can still use Conversations and other clients with OMEMO over our and other servers, but without the feature of writing encrypted messages to persons, who are not in your address book.

Best regards,

Sebastian