Mikä on Matrix - Pikaviestit, puhelut, avoinkoodi, salattu ja fedroitu

[ztec]

Mikä Matrix on? Matrix.org

Se on oikein hyvää vauhtia kehittyvä ja jo varsin käytettävä salattu pikavistintä standardi, joka tarjoaa puhelut ja viestit miltei kaikilla alustoilla.

Muita karkeasti verrattavia tuttuja projekteja on muummoassa:
WhatsApp, Facebook Messenger, Telegram, Discord, Teams, Line, Signal, Slack, XMPP, Wickr, Kik, IRC, Zoom, Jitsi, Google Hangouts / Google Chat, ja monta muuta jotka varmaankin unohdin.

Matrix-Suomi keskustelu löytyy Matrixista huoneesta: #matrix.fi:matrix.org
Tai linkkinä: You're invited to talk on Matrix

Avasin uuden keskustelun, koska tämä on aihe joka varmaan tulee pyörimään tapetilla vuosikausia.

Tekemäni analyysin perusteella tämä vaikuttaa tällä hetkellä kaikkein lupaavimmalta projektilta nykytilan, arkkitehtuurin ja tulevaisuuden osalta.

Web-client ja rekisteröityminen löytyy mm. osoitteesta: Element

Ajautksia, kysymyksiä, keskustelua? - Antaa palaa.



Edit: Lisätään heti avauspostaukseen Pikaviestin suomalaisille, joka on siis varmaankin se suositelteltava palvelin Suomalaisille, jos ei satu olemaan jotain muuta serveriä johon sut on kutsuttu syystä tai toisesta.

 

[Algron28]

Mikä Matrix on? Matrix.org

Se on oikein hyvää vauhtia kehittyvä ja jo varsin käytettävä salattu pikavistintä standardi, joka tarjoaa puhelut ja viestit miltei kaikilla alustoilla.

Muita karkeasti verrattavia tuttuja projekteja on muummoassa:
WhatsApp, Facebook Messenger, Telegram, Discord, Teams, Line, Signal, Slack, XMPP, Wickr, Kik, IRC, Zoom, Jitsi, Google Hangouts / Google Chat, ja monta muuta jotka varmaankin unohdin.

Matrix-Suomi keskustelu löytyy Matrixista huoneesta: #matrix.fi:matrix.org
Tai linkkinä: You're invited to talk on Matrix

Avasin uuden keskustelun, koska tämä on aihe joka varmaan tulee pyörimään tapetilla vuosikausia.

Tekemäni analyysin perusteella tämä vaikuttaa tällä hetkellä kaikkein lupaavimmalta projektilta nykytilan, arkkitehtuurin ja tulevaisuuden osalta.

Web-client ja rekisteröityminen löytyy mm. osoitteesta: Element

Ajautksia, kysymyksiä, keskustelua? - Antaa palaa.

Mää koitin tuolta noiden sivuilta saada edes jonkinlaista käsitystä mikä tämä nyt on mutta aika teknistä jargonia oli. Voitko tiivistää mitä tällä tavan käyttäjä voi tehdä ja miksi tämä on parempi kuin nämä perinteisemmät kilpailijat jotka mainitsit?

 

[Kilkenblad]

Jeps. Onnea vaan kilpailemaan WhatsApp/Signal/Telegramin kanssa. Taas yksi pikaviestin lisää jakamaan käyttäjäkuntaa.

 

[burmanm]

Jeps. Onnea vaan kilpailemaan WhatsApp/Signal/Telegramin kanssa. Taas yksi pikaviestin lisää jakamaan käyttäjäkuntaa.

Ja sen päälle liimasit xkcd:n kuvan standardeista joita ei ollut? Tällä hetkellä Matrix ja XMMP lienevät ainoat protokollat, eikä XMMP:n korvaaminen kyllä mitenkään ole huono juttu. Whatsapp/Signal/Telegram eivät ole mitään avoimia protokollia.

 

[Raxxster]

Secure? Kun tätä aikoinaan vilkaisin, oli html:ään ympätty kaikki. Selkokielellä.

 

[Kilkenblad]

Ja sen päälle liimasit xkcd:n kuvan standardeista joita ei ollut? Tällä hetkellä Matrix ja XMMP lienevät ainoat protokollat, eikä XMMP:n korvaaminen kyllä mitenkään ole huono juttu. Whatsapp/Signal/Telegram eivät ole mitään avoimia protokollia.

Lähinnä tuota kuvaa voi ajatella että "hei, kilpailijoilla on suljettuja viestintäsovelluksia. Tehdäänpä tästä tälläinen standardi protokolla joka syrjäyttää kaikki muut viestintätavat. Lopputulos -> taas vain yksi pikaviestin muiden lisäksi"

 

[Ormu]

Secure? Kun tätä aikoinaan vilkaisin, oli html:ään ympätty kaikki. Selkokielellä.

Matrix tukee vahvaa salausta, mutta ei (vielä?) vaadi sitä. Osa matrix-ohjelmista ei toistaiseksi edes tue salausta.

Joku kommentoi joskus, että Matrix-protokolla olisi tarpeettoman raskaasti toteutettu. En muista perusteluja, mutta saattoi liittyä HTTP/JSON-pohjaisuuteen. Onkohan siinä mitään perää?

e: Taisi olla tuo:

Matrix is an extremely heavy protocol, not suitable for business use imo. Riot i... | Hacker News

news.ycombinator.com

 

[burmanm]

Lähinnä tuota kuvaa voi ajatella että "hei, kilpailijoilla on suljettuja viestintäsovelluksia. Tehdäänpä tästä tälläinen standardi protokolla joka syrjäyttää kaikki muut viestintätavat. Lopputulos -> taas vain yksi pikaviestin muiden lisäksi"

Matrixin yksi suunnitteluperusteista on eri protokollien yhteensopivuus (ns. bridget). Eli standardista standardiin. Ei sen tarkoitus ole ollut syrjäyttää muita. Open source chat-viestintäsovelluksia ja protokollia on muitakin ja onneksi niitä tulee lisääkin.

 

[Ormu]

Tätä Matrixiin liittyvää bridge-hössötystä en oikein ymmärrä, kun saahan periaatteessa mistä tahansa protokollasta tai palvelusta siirrettyä keskustelun toiseen. Tarvitaan vain botti, joka kerää viestit yhdestä paikasta ja lähettää ne toisaalle. Mikä siitä tekee Matrixissa niin ihmeellistä?

 

[Ormu]

Ja sen päälle liimasit xkcd:n kuvan standardeista joita ei ollut? Tällä hetkellä Matrix ja XMMP lienevät ainoat protokollat, eikä XMMP:n korvaaminen kyllä mitenkään ole huono juttu. Whatsapp/Signal/Telegram eivät ole mitään avoimia protokollia.

Whatsapp taitaa käyttää XMPP:tä pohjalla, mutta itse ohjelma ja ehkä osa protokollastakin on suljettua koodia.

XMPP on kai vähän huonosti standardoitu, jos olen ymmärtänyt oikein. Salausmenetelmiä ja laajennuksia on joka lähtöön, eivätkä kaikki ohjelmat tue kaikkia.

 

[burmanm]

Whatsapp taitaa käyttää XMPP:tä pohjalla, mutta itse ohjelma ja ehkä osa protokollastakin on suljettua koodia.

Ainakin jo vuonna 2016 WhatsApp käytti muokattua versiota XMPP:stä, ei pelkästään siis laajennoksia vaan myös itse core-protokolla oli silloin muokattua. Löytynee "FunXMPP" nimellä, mutta voi olla että viimeisen 5 vuoden aikana tuo on vaihtunut entisestään (ainakin encryptaus on vielä oma protokollansa, mahdollisesti perustuen Signal protokollaan).

Tätä Matrixiin liittyvää bridge-hössötystä en oikein ymmärrä, kun saahan periaatteessa mistä tahansa protokollasta tai palvelusta siirrettyä keskustelun toiseen. Tarvitaan vain botti, joka kerää viestit yhdestä paikasta ja lähettää ne toisaalle. Mikä siitä tekee Matrixissa niin ihmeellistä?

Se että siitä huolehditaan. Vaikka "aina" voit tehdä protokollasta toiseen muunnoksia, niin muutokset voi rikkoa sen. Matrixin protokolla on täysin avoin, mikä tekee muunnoksien rakentamisesta huomattavasti helpompaa (tiedät varmasti jos olet joskus tehnyt kahden suljetun protokollan välille muunnoksia että se on aivan hanurista).

Matrix Specification

Matrixhan ei ole pelkkä chat-protokolla, vaan sillä voi rakentaa muitakin palveluita. Se on enemmänkin yleinen identity/event/etc protokolla, jota nyt sattumalta käytetään pääasiassa chat-käyttöön tällä hetkellä.

 

[ztec]

Mää koitin tuolta noiden sivuilta saada edes jonkinlaista käsitystä mikä tämä nyt on mutta aika teknistä jargonia oli. Voitko tiivistää mitä tällä tavan käyttäjä voi tehdä ja miksi tämä on parempi kuin nämä perinteisemmät kilpailijat jotka mainitsit?

Koska vertailulista oli niin pitkä (ja siitä varmaan puuttui varmaan silti noin 90 erilaista softaa mitä käytetään), niin todella vaikea sanoa "mikä on parempaa", mutta kuten jo otsikkon olin kiteyttänyt niin ne pääasialliset pointit oli:

• Pikaviestit - Eli kuiten kaikki chat sovellukset on nykyjään.
• Puhelut - Tukee puheluita, videopuheluita ja ryhmäpuheluita
• Avoinkoodi, rajapinnat, alustat palvelimet ja loppukäyttäjän client sovellukset - Sallii sovelluksen kehittämisen, eikä "pakota" mihinkään, kuten monet muut sovellukset tekevät.
• E2EE (OLM / MEGOLM), viestin sisältö on vahvasti E2EE salattua, alusta loppuun. Eli viestit salataan vain määritellyille päätelaitteille ilmoitetuilla avaimilla.
• Federoitu, tarkoittaa sitä, että vaikka käytettäisiin eri palvelimia, jos federointi on sallittu, toimii viestintä silti saumattomasti yhteen. Aivan kuten IRC:ssä, sähköpostissa jne. Tämä mahdollistaa sen, että haluttu osa liikenteestä voidaan pitää omassa ympäristössä, mutta se ei kuitenkaan estä kommunikoimasta muiden kanssa. Moni alusta tarjoaa jompaa kumpaa vaihtoehtoa, eli joko suljettua ympäristöä, tai sitten avointa ympäristöä. Tässä voidaan sujuvasti ja kanavakohtaisesti valita millä mennään.
• Käyttäjätunnus / salasana riittää, ei kysellä, eikä kerätä muita tietoja. - Tietysti tämä on myös clientti / palvelin-kohtaista, joten ei voi välttämättä yleistää.

Huonot puolet tällä hetkellä?

• No just se mitä sanoit, eli perinteinen "open sourcen ongelma". Eli projektit on monimutkaisia, usein tekniikkapainosesti johdettuja ja ulkopuoliselle kokonaisuus saattaa näyttää super-sekavalta, hyvin tuotteistettuihin kaupallisiin projekteihin nähden.
• Softa kehittyy kovaa vauhtia, josta seuraa ajoittain mielenkiintoisia bugeja.
• Haasteet käyttäjälle palvelimen valinnassa, jos ei pystytä omaa. Sekä sitten tietysti siitä johtuvat mahdolliset palvelin ongelmat, koska jokainen voi ajaa omaa palvelinta, jos se on esim väärin konfiguroitu tai alitehoinen, niin aiheuttaa ongelmia.

Ei ole mitään "parempaa ratkaisua", on vain erilaisia vaihtoehtoja ja niiden välillä tasapainottelua, kaikissa valituissa malleissa on hyvät ja huonot puolet.

Jokaisella projektilla on omat lähtökodat, tämäkin on varsin mielenkiintoinen, mutta nämä taas ovat sanoneet suoraan, että eivät halua luoda järjestelmää joka on fedroitu. Eli jokaiseen instanssiin pitää rekisteröityä ja kirjautua erikseen ja jokainen instanssi on esim selaimessa omassa tabissaan.
1. Why no federation? | Revolt

 

[ztec]

Secure? Kun tätä aikoinaan vilkaisin, oli html:ään ympätty kaikki. Selkokielellä.

Jep, jostain on alotettava. E2EE tuli sen jälkeen käyttöön kun perusteet oli kunnossa.

Kanavat voidaan luoda salattuna tai salaamattomana, ihan oman tahtotilan mukaan. Salatut viestit näyttävät tältä:

{
  "type": "m.room.encrypted",
  "sender": "@crypto-sample:matrix.org",
  "content": {
    "algorithm": "m.megolm.v1.aes-sha2",
    "sender_key": "RQZXFr+0gvQNvC/2sp7qfUytku/2nXqQiqHQwwr/1E0",
    "ciphertext": "AwgAEoABOFgT8sIjYARpl9goIkxocAGXOQ6LB0OxqzKU8BXffbTg48rDZC2g53ev+RMZBwryOLh7mzOQvRHClolA/5ivLbCNYy6Bw0/0ZqcLHcVn8UP56gjG2QxJWXd3pBFjQrVekDN5euxeX0pqkoc8AKVI1Qg6ZdkbuwxNlFUfaeSiiTtYq4Lhi7Y9LNySkVatYWLJVJTXk/IvSUGAwuBORoKgyEVYLfmlMXoQO1iEqxlYocj+QRPG75lhS9+c5v2vFv4MOIWzMt3h9QM",
    "session_id": "1FryOOTCLSXr7iYrFz6mxIpC8Qr1PPJDVWP0iJHTTmQ",
    "device_id": "WLLHHSMAPN"
  },
  "origin_server_ts": 1631095366867,
  "unsigned": {
    "age": 1701,
    "transaction_id": "m1631095367855.139"
  },
  "event_id": "$X8EExcYs_3UziRdUc6OQRmHrSaAx9AxbCrHpwxIRiew",
  "room_id": "!AQOSUeNMlrmPjoEwZv:matrix.org"
}

XMPP:ssä on siinäkin ongelmansa, OTR vs OMEMO, tai ilman salausta kokonaan. Ja varsinkin isommissa huoneissa sekä salaus, että status-päivitykset ovat raskaista ja aiheuttavat valtavat määrät liikennettä.

Kuten sanottu, vaihtoehtoja ja valintoja on, ja eri tilanteissa valitaan eri preferenssit.

Tuossahan oli juuri uutisissa että Yhdysvaltojen armeija käyttää laajasta IRC:iä viestintään. Joo-o, toimiihan sekin. Vaikka ei oo kyllä nykymittareilla mitenkään moderni ratkaisu, niin ainakin kevyt ratkaisu se on. Mutta soveltuu huonosti mm. mobiili-clienttien kanssa toimimimiseen, kun standardi implementaatioissa ei ole backfilliä / off-line käsittelyä, kuten kaikissa uudemmissa ratkaisuissa on.

 

[escalibur]

Huonot puolet tällä hetkellä?

• No just se mitä sanoit, eli perinteinen "open sourcen ongelma". Eli projektit on monimutkaisia, usein tekniikkapainosesti johdettuja ja ulkopuoliselle kokonaisuus saattaa näyttää super-sekavalta, hyvin tuotteistettuihin kaupallisiin projekteihin nähden.
• Softa kehittyy kovaa vauhtia, josta seuraa ajoittain mielenkiintoisia bugeja.
• Haasteet käyttäjälle palvelimen valinnassa, jos ei pystytä omaa. Sekä sitten tietysti siitä johtuvat mahdolliset palvelin ongelmat, koska jokainen voi ajaa omaa palvelinta, jos se on esim väärin konfiguroitu tai alitehoinen, niin aiheuttaa ongelmia.

Paljon on väitteitä turvallisuudesta ja luotettavuudesta, mutta ulkopuollisestia tietoturvaauditoinnista ei juurikaan mainita mitään?

Entäs Bug Bounty-ohjelma? "The Matrix.org Foundation does not ordinarily provide bug bounties, though organisations building on top of Matrix may do so in future."

Kumpikin noista pitäisi olla de-facto-asioita ennen kuin voidaan luottaa tuotteen tietoturvaan ja luotettavuuteen.

 

[burmanm]

Kumpikin noista pitäisi olla de-facto-asioita ennen kuin voidaan luottaa tuotteen tietoturvaan ja luotettavuuteen.

Eiköhän kumpikin noista ole enemmänkin client/server-puolen ongelmia. Vai meinasitko että matrix-specsissä on bugeja? Matrix Foundation ei tee ohjelmistoja.

 

[ztec]

Paljon on väitteitä turvallisuudesta ja luotettavuudesta, mutta ulkopuollisestia tietoturvaauditoinnista ei juurikaan mainita mitään?

Loistavia pointteja.

Aika haastavia hommia ilmaisten ja kehittyvien softien kanssa. Olen työskennellyt ohjelmistojen parissa, missä noita vaaditaan ja tekee hommasta järjettömän hidasta ja kallista.

Kiva kun otit tuon esille. Closed sourcessaan tuota asiaa ei voi edes mitenkään tarkistaa. Toinen fakta on se, että vaikka tuotteen versio joka sulla on nyt olisi absoluuttisesti 100% turvallinen, heti kun ajat seuraavan päivityksen, sillä mitä edellisestä versiosta oli auditoitu, ei ole enää mitään merkitystä. Tämä fakta tuntuu unohtuvan uudelleen ja uudelleen. Toinen vastaava ongelma on se, että varsinkin jos sama taho vastaa kokonaisuudesta, kuten esim. ProtonMailin tapauksessa (ja niin monen muunkin palvelun tapauksessa). On e2ee täysin merkityksetön, miksi? No, niillä on tietenkin mahdollisuus ottaa ne avaimet seuraavan päivityksen myötä milloin tahansa, vaikka niillä ei juuri nyt niitä olisikaan.

Monet pitää tuota vitsinä, mutta näinhän ei ole. Tuo on ilmennyt hyvin mm. DeFi projekteissa. Puhutaan että on decentralized, mutta silti koko plattarin koodi voi olla closed sourcea ja tulee yhdestä lähteestä. Tuota, mun mielestä se on silloin hyvinkin keskitettyä, eikä mitenkään decentralisoitua. Perustahan on se, että vähintään kolme rinnakkaista implementaatiota pitäisi olla about samoilla painoilla + konsensus-algoritmi. Jos näin ei ole, niin silloin järjestelmä on keskitetty jos yhdelläkin taholla (tai code basella) on yli 50% paino järjestelmässä jota väitetään hajautetuksi. - Mutta tää nyt meni turhan kauas aiheesta tässä langassa. Kuhan vaan heitin ajatuksen.

Se on vaan faktaa, että tietoturva on aivan poskettoman vaikea aihe jos se halutaan hoitaa hyvin. Auditointi toki auttaa, erityisesti kiinittämään huomiota epäkohtiin, mutta se ei silti takaa mitään. Toinen massiivinen moka on se, että ihmiset haluaa paljon ominaisuuksia sovelluksiin. Jos halutaan turvallinen viestintäplattari, sen pitää olla äärimmäisen yksinkertainen, eikä kukaan tevejärkinen aja sitä nykyisissä puhelimissa tai normaaleissa tietokoneissa, koska no silloin kaikki turvallisuus on jo menetetty.

Mutta nyt ois tarkoitus puhua kuitenkin käytännönratkaisuista, ei ydinaseiden laukaisukoodien hallintajärjestelmistä.

Anyway, suosittelen lukemaan Matrix E2EE / OLM / MEGOLM dokumentoinnin, ratkaisu on ihan mielenkiintoinen.

En tiedä onko yhdelläkään listaamistani tuotteista paitsi Lync:llä tietoturvaluokitus. Tietääkö joku muu? Signalista on puhuttu paljon, mikä sen tietoturvaluokitus on, onko joku virallinen taho, joka tarjoaa luokituksen ja sertifioinnin jokaiselle julkaistulle versiolle? Mattermost Enterprisellä ja Jitsin paikallisella sertifioidulla versiolla on edes TLIV luokuts. Monesti myös sanotaan että OpenSSH / OpenPGP kuten GnuPG olisi turvallinen, mutta kumpikaa noista ei ole defacto luokiteltu turvalliseksi, ellei kyseessä ole joku erikseen tietoturvasertifioitu versio. Äärimmäisen vaikea yhtälö tuotteille, joista asiakkaat eivät maksa paljon.

 

[escalibur]

Eiköhän kumpikin noista ole enemmänkin client/server-puolen ongelmia. Vai meinasitko että matrix-specsissä on bugeja? Matrix Foundation ei tee ohjelmistoja.

Tarkoitin ihan kokonnaisuutta. Ilman noita asioita tietoturvallisuus perustuu lähinnä henkilökohtaiseen uskomiseen.

 

[ztec]

Tarkoitin ihan kokonnaisuutta. Ilman noita asioita tietoturvallisuus perustuu lähinnä henkilökohtaiseen uskomiseen.

Onhan tuo valtioilla käytössä auditoituna järjestelmänä.

How governments and spies text each other

Matrix has become the messaging app of choice for top-secret communications

www.wired.co.uk

 

[burmanm]

Tarkoitin ihan kokonnaisuutta. Ilman noita asioita tietoturvallisuus perustuu lähinnä henkilökohtaiseen uskomiseen.

Foorumi ei anna taas lainata, mutta joka tapauksessa. Mikä kokonaisuus? Matrix on protokolla, ei yksikään ohjelmisto. Meneekö nyt määritelmät sekaisin?

Tosin Matrixia varten löytyy kyllä Bug Bounty: Intigriti launches EU-backed bug bounty program for Matrix secure communications tool

 

[escalibur]

Foorumi ei anna taas lainata, mutta joka tapauksessa. Mikä kokonaisuus? Matrix on protokolla, ei yksikään ohjelmisto. Meneekö nyt määritelmät sekaisin?

Tosin Matrixia varten löytyy kyllä Bug Bounty: Intigriti launches EU-backed bug bounty program for Matrix secure communications tool

Kokonnaisuudella tarkoitin niin protokollaa kuin sitä käyttäviä (tai tulevia) applikaatioita.

Bug Bountyn ohjelman olemassaolo on iso plussa. Katsotaan miltä tulevat auditoinnit kertovat ja saako tämä ikinä sellaista suosiota mihin tällä tähdätään.

 

[burmanm]

Kokonnaisuudella tarkoitin niin protokollaa kuin sitä käyttäviä (tai tulevia) applikaatioita.

Millä protokollalla on edes vastaavat? Eihän HTML5:stakaan auditoida, silti sitäkin käytetään.

 

[escalibur]

Millä protokollalla on edes vastaavat? Eihän HTML5:stakaan auditoida, silti sitäkin käytetään.

Itsellä ei riitä aika ja mielenkiinto opetella koko kuviota, mutta tavalla tai toisella tarkoitin siis yleistä tietoturva-auditointia koskekoot se sitten suoraan Matrixia tai sen ympärillä pyöriviä järjestelmiä.

Mm. OpenVPN:lle on tehty vastaavia Security audit vulnerabilities resolved | OpenVPN vaikka OpenVPN ei sinänsä ole verkkoprotokolla.

 

[burmanm]

Itsellä ei riitä aika ja mielenkiinto opetella koko kuviota, mutta tavalla tai toisella tarkoitin siis yleistä tietoturva-auditointia koskekoot se sitten suoraan Matrixia tai sen ympärillä pyöriviä järjestelmiä.
Mm. OpenVPN:lle on tehty vastaavia Security audit vulnerabilities resolved | OpenVPN vaikka OpenVPN ei sinänsä ole verkkoprotokolla.

Eli sulla menee sekaisin protokollat ja ohjelmistot, etkä ole kiinnostunt ymmärtämään eroa. Matrixiin liittyviä asioita löytyy kyllä auditoituna, mm. referenssi-implementaatio E2EE:stä (libolm). Eiköhän tämä keskustelu aiheesta riitä jos se ei sinua kiinnosta, vaan heität jostain listalta "mutku tää sano näin".

 

[escalibur]

Eli sulla menee sekaisin protokollat ja ohjelmistot, etkä ole kiinnostunt ymmärtämään eroa. Matrixiin liittyviä asioita löytyy kyllä auditoituna, mm. referenssi-implementaatio E2EE:stä (libolm). Eiköhän tämä keskustelu aiheesta riitä jos se ei sinua kiinnosta, vaan heität jostain listalta "mutku tää sano näin".

Ei tarvitse kiukutella asiasta. Pointtini oli että odottaisin koko kuvion (protokollat, ohjelmistot yms) auditointia, ennen uskomista sen olevan todella turvallinen niin kuin tekijä väittää. Jätetään asioiden toistamisen tähän ja palataan tarvittaessa asiaan joskus tulevaisuudessa.

 

[burmanm]

Ei tarvitse kiukutella asiasta. Pointtini oli että odottaisin koko kuvion (protokollat, ohjelmistot yms) auditointia, ennen uskomista sen olevan todella turvallinen niin kuin tekijä väittää. Jätetään asioiden toistamisen tähän ja palataan tarvittaessa asiaan joskus tulevaisuudessa.

Matrixiin löytyy lähemmäs 100 eri ohjelmistoa. Voit valita vapaasti ne ohjelmistot, jotka on auditoitu - et ole sidottu siihen yhteen.

 

[ztec]

Paljon on väitteitä turvallisuudesta ja luotettavuudesta, mutta ulkopuollisestia tietoturvaauditoinnista ei juurikaan mainita mitään?

Tuollainen arvio on joskus tehty:

Redirect

Tässä vielä PDF:nä.

https://www.nccgroup.trust/globalas...group_olm_cryptogrpahic_review_2016_11_01.pdf

Sekä tässä vielä pieni raapaisu Signal vs Matrix salauksesta karkealla tasolla:

https://blog.jabberhead.tk/2019/03/10/a-look-at-matrix-orgs-olm-megolm-encryption-protocol/

Toisaalta hieno ajoitus postata koska:

Pre-disclosure: upcoming critical fix for several popular Matrix clients

Matrix, the open protocol for secure decentralised communications

matrix.org

Odotetaan mielenkiinnolla millainen ongelma sieltä paljastuu.

Mutta todellakin, projekti on tällä hetkellä keskeneräinen. Protokolla, serverit ja clientit kaikki kehittyy ja muuttuu jatkuvasti. Ei siis voida siinä mielessä puhua stabiilista sertifioidusta ja ajan testaamasta järjestelmästä kuin eräiden toisten ratkaisuiden osalta voidaan tehdä.

Lisäksi P2P ominaisuudet on vasta tulossa. Nehän poistavat serverin kuvioista. Toisaalta serverin käyttämisessä on myös omat hyvät puolensa.

Introducing the Pinecone overlay network

Matrix, the open protocol for secure decentralised communications

matrix.org

Sekä tässä muutaman vuoden vanha yleiskatsaus asiaan, jossa paljon informaatiota:

https://github.com/libremonde-org/paper-research-privacy-matrix.org/blob/master/part1/README.md

Pointtini oli että odottaisin koko kuvion (protokollat, ohjelmistot yms) auditointia.

"Ohjelmistot" on tässä tapauksessa äärimmäisen haastava konsepti, tosissaan kun niitä on vaikka kuinka ja monta. mm. mun oma serveri käyttää cURL:a viestien lähettämiseen. Mutta joo,ymmärrän pointin. Esim. yksi serveri ja client-implementaatio, joka on sertifioitu. Eiköhän juuri tuollaiset ole käytössä näissä tapauksissa joihin aikaisemmin viitattiin noiden valtioiden toiminnassa.

Matrixiin löytyy lähemmäs 100 eri ohjelmistoa. Voit valita vapaasti ne ohjelmistot, jotka on auditoitu - et ole sidottu siihen yhteen.

Juurikin näin. Eikä edes ohjelmistosta ole hyötyä, jos alusta / ympäristö jossa softaa pyöritetään ei ole turvallinen. Turvallisuus on vaikea ja monimutkainen asia. Tai jos käyttäjä ottaa salattua kanavaa pitkin vastaan vaikka binääritä / videoita / kuvia, joissa on exploitti niin. Täydellistä ratkaisua ei ole olemassa. Ja vaikka alusta olisi täydellinen, niin sitten on vielä se suurempi ongelma, eli ihmiset.

Kun tuli puhuttua noista tietoturva-aspekteista, niin oli muuten ihan viihdyttävää lukea nuo Signalin turvallisuuslupaukset läpi.

Tiivistettynä: Emme lupaa, emmekä vastaa mistään mitään, ja jos tästä huolimatta joutuisimme tilanteeseen jossa joudutaan maksamaan korvauksia, on korvaus enintään USD$ 100. Tuon tasoisilla turvallisuuslupauksilla, mä voin tehdä softan viikonloppuna, ja antaa sille ihan samat tasoiset turvallisuustakuut. Yleensä sopimuksissa on nimittäin selvästi sanktioitu erilaiset rikkomukset, ja usein vaaditaan myös sitä, että saktioit ovat toimeenpantavissa ilman, että niiden rikkomisesta osoitetaan aiheutuneen mitään haittaa. Jos täällä sattuu olemaan joku tietietoturvasopimuksia ammatikseen hoitava juristi, olisi kiva kuulla näkemykset tuosta Signalin sopparista. Mielestäni noilla lupauksilla Signal ei sovellu edes GDPR:n alaisen tiedon käsittelyyn, koska sellaisestakin vuodosta voi tulla ihan poskettoman kalliit kulut.

Onko Signalilla millainen tietoturvaluokka / suojaustason sertifioinnit kunnossa? ST IV / TL IV tms. Toisaata mitä tulee digitaaliseen kommunikaatioon, niin usein on parempi pysyä vaan oikeasti salaisista tiedoista mahdollisimman kaukana. Sellaista ei voi vuotaa / varastaa, mitä ei ole edes olemassa.

 

[ztec]

Niille tiedoksi jotka on Elementin asentanut, että tänään julkaistiin clientteihin kriittinen tietoturvapäivitys. Kannattaa asentaa.

Päivityspalvelimet on kyllä aika pahasti jumissa, mutta kyllä se siitä.

Tässä tarkemmat tiedot tuosta haavoittuvuudesta joka koskee näköjään useampaakin clienttiä:

Disclosing CVE-2021-40823 and CVE-2021-40824: E2EE vulnerability in multiple Matrix clients

Matrix, the open protocol for secure decentralised communications

matrix.org

 

[ztec]

Pistetään muutamakin linkki tähän samaan:
Matrix / Element ohjeet - Element_aloitus_ohje.pdf

Sekä Matrix palvelin - Pikaviestin suomalaisille

 

[ztec]

Pikaviestin.fi on nyt auki ja käytettävissä.

Sen verran päivitystä aiheeseen, että vanha lengenda Matrix piireissä oli sanoa:
"Friends don't let friends use matrix.org"...
"No? Mitä palvelinta sitten suosittelet?"...
"En voi suositella mitään, kun tuota, DYOR ja päätä ite"...
...
Nyt sentään voi sanoa, että pikaviestin.fi on optio, jota voi avoimesti suositella suomalaisille.

 

[ztec]

Artikkeli Scrollissa Matrixista ja pikaviestimestä.

 

[Humanoid]

Pikaviestin.fi on nyt auki ja käytettävissä.

Sen verran päivitystä aiheeseen, että vanha lengenda Matrix piireissä oli sanoa:
"Friends don't let friends use matrix.org"...
"No? Mitä palvelinta sitten suosittelet?"...
"En voi suositella mitään, kun tuota, DYOR ja päätä ite"...
...
Nyt sentään voi sanoa, että pikaviestin.fi on optio, jota voi avoimesti suositella suomalaisille.

Tämä vaikuttaa hyvältä suunnalta. Mutta kuka on vastuussa rekisterin ylläpidosta, ja onko palvelulla käyttöehtoja? "pikaviestin.fi-palvelua ylläpitää joukko vapaaehtoisia harrastajia" ei herätä vielä hirveästi luottamusta.

 

[kryptonian]

Tämä vaikuttaa hyvältä suunnalta. Mutta kuka on vastuussa rekisterin ylläpidosta, ja onko palvelulla käyttöehtoja? "pikaviestin.fi-palvelua ylläpitää joukko vapaaehtoisia harrastajia" ei herätä vielä hirveästi luottamusta.

Mitä tähän siis kaivataan lisää? Ainakin tietosuojaselosteen kannalta se pitäisi olla ihan riittävä.
Mikä lisäisi luottamuksen tasoa?

 

[Humanoid]

Mitä tähän siis kaivataan lisää? Ainakin tietosuojaselosteen kannalta se pitäisi olla ihan riittävä.
Mikä lisäisi luottamuksen tasoa?

Kuka tai ketkä kuuluvat tähän pikaviestin.fi -yhteisöön, joka ylläpitää rekisteriä?

 

[ztec]

Luento Matrix:in toiminnasta ja miten salatut ryhmäpuhelut toimivat. Jos aihe vähänkin kiinnostaa, suosittelen katsomaan. Hyviä pointteja ja paljon asiaa.



Jos teksti maistuu paremmin, niin tässä tekstiversiona:

matrix-spec-proposals/proposals/3401-group-voip.md at matthew/group-voip · matrix-org/matrix-spec-proposals

Proposals for changes to the matrix specification. Contribute to matrix-org/matrix-spec-proposals development by creating an account on GitHub.

github.com

Matrix voi ehkä tulevaisuudessa myös implementoida MLS salauksen, jonka alustava draft speksi on tässä, jos jotakuta nappaa:

The Messaging Layer Security (MLS) Protocol

Messaging applications are increasingly making use of end-to-end security mechanisms to ensure that messages are only accessible to the communicating endpoints, and not to any servers involved in delivering messages. Establishing keys to provide such protections is challenging for group chat...

datatracker.ietf.org

 

[Zombie100]

Erittäin hyvältä ja varteenotettavalta näyttää Matrix pikaviestivaihtoehtona. Jopa client-softatkin miellyttävät silmää. Kannattaa kokeilla!

Suomalaisia huoneita esim.: You're invited to talk on Matrix

Scrollin Offtopic-huoneesta poimittu viesti tilin luontimahdollisuudesta:
"Tervehdys! Matrix on sen verran mielenkiintoinen, että pystytin oman homeserver-instanssin. Onkohan täällä Matrix-tilin tarvitsijoita? Nyt olisi helppo tilinluonti hetkisen aikaa tarjolla osoitteessa Element - toimiva sähköposti tarvitaan. Lisää käyttäjiä kehiin.
Homeserverin osoite: https://matrix.v6.army:8448 "

 

[ztec]

Puheluihin on julkaistu nyt uusi parannettu stackki:

Introducing Native Matrix VoIP with Element Call!

Hopefully in-person meet-ups will prove much easier in 2022 - but, there’s still a need for video calls, so let’s face it, they’re here to stay. This makes it really exciting to present Element Call: the world’s first decentralised voice and video conferencing app powered entirely

element.io

kw: Element Call, call.element.io

Ukrainan kriisin myötä on tullut myös tapetille se, että monet viestintäpalvelut joita suomalaiset käyttävät ovat itseasiassa ulkomaalaisia. mm. Pikaviestin tarjoaa oikeasti Suomalaisen vaihtoehdon. Vaikka Suomen internet-yhteydet katkaistaisiin ulkomaille, Pikaviestin jatkaa silti toimintaa.

Näköjään päässyt myös uutisiin tuo Matrixin yleistyminen Ukrainassa.

Element’s servers operate on the Matrix open-source network and are currently up and running in Kyiv, Odessa and Kharkiv in Ukraine. Hodgson said the app has seen a “massive spike” in downloads from Ukraine over the last week, estimating that around 85 percent of its total iOS installations on Feb. 24 came from that country. Although Apple’s App Store doesn’t disclose total app downloads publicly, the Android Play Store shows the messenger service has more than 500,000 downloads.

It is to be noted that eQualitie has set-up public Matrix and Element instances for Ukrainian people who are struggling right now. If you are in Ukraine or are in touch with Ukrainian people who need secure communications, you can show them dComms-Kyiv, dComms-Odessas, or dComms-Kharkiv depending on their location so they get instructions on how to create an account on Matrix and stay in touch

Ref: Biden pushes Congress on privacy in SOTU

 

[ztec]

Matrix porukka on myös kovasti harkinnut Messaging Layer Security (MLS) protokollan käyttöön ottoa, joka tarjoaa IETF:n speksin (kun valmis) end-to-end e2ee päästä-päähän salausta käyttäjille ja ryhmille. Huomasin nimittäin justiin, että drafti on päivitetty versioon 13. Tästäkin vois olla kiva kuulla kommentteja jos joku on hetinyt tuota tuumaamaan.

Muuten se näyttää musta hyvältä ja selkeätä, mutta tuota purakenteen päivittämistä commiteilla pitäs varmaan harjoitelaa parilla simuilaatiolla päässä, ennen kuin menee ihan täysin jakeluun:

Versio 13 MLS dokkari: https://tools.ietf.org/id/draft-ietf-mls-protocol-13.html
Wikpedia stubbi: Messaging Layer Security - Wikipedia

 

[Humanoid]

Element-clienttiin saa nyt myös videopuheluhuoneet:

Element welcomes Video Rooms and a new search experience!

We're so excited to announce that Video Rooms is entering beta in Element, just as a new Room Search is exiting beta!

element.io

 

[ztec]

Sessionin mainosmateriaalista poimittia, Matrix on ihan mainio, kun muistaa sen, että voi ajaa omaa tai organisaation kotipalvelinta, ei ole pakko käyttää matrix.org:n omaa palvelinta.



Tuosta kuvasta sen verran että "metadata protection", tarkoittaa sitä, että niillä palvelimilla jotka osallistuu johonkin huoneeseen, on tietysti sen kyseisen huoneen tiedot olemassa. Eli jos esim kaveri liittyy pikaviestimestä minun palvelimellani olevaan huoneeseen, niin sen jälkeen tuon kyseisen huoneen tiedot ovat näillä kahdella palvelimella. Se ei kuitenkaan tarkoita, että ne olisivat tuhansilla muilla palvelimilla jotka liittyvät Matrix verkostoon.

Valitettavasti tai onneksi (?) open source projektit voidaa konfiguroida monella eri tavalla. Näin ollen ei ole helppoa antaa "yhtä totuutta" siitä, miten kaikki asiat toimii. Kun ne voi eri tilanteissa ja eri ympäristöissä toimia eri tavalla.

mm. Pikaviestin projektin aulaan, voi liittyä miltä tahansa palvelimelta: ( #aulaikaviestin.fi )

Matrix - Decentralised and secure communication

You're invited to talk on Matrix. If you don't already have a client this link will help you pick one, and join the conversation. If you already have one, this link will help you join the conversation

matrix.to

Discord on yksi pahimpia pakan sotkijoita, koska ne kylvävät käyttäjiin vakavia väärinkäsityksiä. Jos mä pistän oman Discord palvelimen pystyyn, niin miten Discordi voi sitä hallita. Eräälle projektille kävi niin, että niiden palvelin vain yhtäkkiä katosi. Tämä osoittaa sen, että alustassa ja ympäristössä on jotain ihan katastrofaalisesti pielessä. Monesti olen huomannut, että käyttäjät kyselevät että mihin matrix palvelimille pitäisi liittyä? Uh? Niin, eli siis pitää avata joka paikkaan sähköpostitunnukset mihin aikoo joskus sähköpostia lähettää vai? Jos nyt käytetään tuollaisia vähän vanhempia ja tutumpia vertauskuvia.

 

[archy]

Kiva ”protokolla” mutta nuo sovellukset on niin kauheeta kuraa ettei tuota voi järkecästi käyttää.

Element sovelluksesssa on ollut jo pitkään ongelma ettei kuvat/giffit näy ja keskusteluun tulee hirveitä tyhjiä tiloja viestien välissä.
Fluffychat toimii varsin hyvin, tosin tumma teema bugailee eikä lukemattomien viestien merkkiä esim näe ollenkaan. Lisäksi tämä kötöstys ei osaa liittyä oikein spaceihin jne

 

[Humanoid]

Kiva ”protokolla” mutta nuo sovellukset on niin kauheeta kuraa ettei tuota voi järkecästi käyttää.

Element sovelluksesssa on ollut jo pitkään ongelma ettei kuvat/giffit näy ja keskusteluun tulee hirveitä tyhjiä tiloja viestien välissä.
Fluffychat toimii varsin hyvin, tosin tumma teema bugailee eikä lukemattomien viestien merkkiä esim näe ollenkaan. Lisäksi tämä kötöstys ei osaa liittyä oikein spaceihin jne

Jos haluaa jotain simppeliä clientia josta on karsittu turhat päältä, Cinny toimii siihen tarkoitukseen hyvin.

 

[ztec]

Element sovelluksesssa on ollut jo pitkään ongelma ettei kuvat/giffit näy ja keskusteluun tulee hirveitä tyhjiä tiloja viestien välissä.

Elementissä tuntuu olevan joo monenlaista haastetta kuvien kanssa, lisäksi pitää muistaa, että Element ei ole yksi sovellus vaan se on monta sovellusta. Android, iOS ja mm. Desktop/Web on kaikki eri softia. Eli kuvat voi hyvin näkyä mm. Desktopilla, mutta ei silti näy mobiilissa. Pääasialinen syy tuntuu olevan kuven koko rajoitus joka johtaa tuohon. Androidi versio ei suostu näyttämään liian isoja kuvia, ehkä muistirajoitusten takia? Ei voi tietää.

Mutta kyllä, noi clientti ongelmat onkin pääasiallinen syy mikä usein ottaa ja sitten kismittää käyttäjiä. Siitä on valitettavasti pakko olla samaa syytä ja olen mm. #matrix.fi kanavalla avautunut monta monituista kertaa noista, vaikka se nyt onkin juuri protokollaa varten oleva kanava.

Mutta sitten, Matrixlla 60 miljoonaa käyttäjää:

'Matrix' Network Hits 60 Million Users, Improving the Demand for Decentralized Communication

Matrix is an open-source standard for decentralized communication. It is constantly evolving to the requirements of modern solutions keeping in mind the privacy of users. You will find Matrix clients as a replacement for Slack, Microsoft Teams, and several other popular communication...

news.itsfoss.com

Tutkin pitkään eri vaihtohetoja ja Matrix oli oikeastaan ainoa hyvä plattari joka täytti perusvaatimukset viestintään, eli noin protokolla ja arkkitehtuuri mielessä se on ainakin tällaisen vanhan hikisen nörtin mielestä ihan parasta mitä löytyy. Suurin haastaja tuntuukin olevan odottamattomasti XMPP. Joskus kymmenen vuotta sitten kävin läpi kaiken XMPP protokollan dokumentoinnin ja testasin sen aikaiset clientit. Oli pako todeta, että ei sekään autuaaksi tehnyt.

 

[ztec]

Matrix on valittu Saksassa viralliseksi viestintävälineeksi jota tulisi käyttää luottamukselliseen viestintään. Aivan huimaa kehitystä. Vihdoinkin herätty siihen, että amerikkalaiset closed sourcet ei ehkä ole se tietoturvallisin malli.
BundesMessenger shows Germany's embrace of open standard messaging

Update:
Juuri tulleen tiedon mukaan myös Reddit olisi (mahdollisesti) ottamassa Matrixia IM protokollaksi:

 

[dataaja95]

Matrix on valittu Saksassa viralliseksi viestintävälineeksi jota tulisi käyttää luottamukselliseen viestintään. Aivan huimaa kehitystä. Vihdoinkin herätty siihen, että amerikkalaiset closed sourcet ei ehkä ole se tietoturvallisin malli.
BundesMessenger shows Germany's embrace of open standard messaging

Update:
Juuri tulleen tiedon mukaan myös Reddit olisi (mahdollisesti) ottamassa Matrixia IM protokollaksi:

Loistavaa ei voi muuta sanoa, ehkä parempi, kauniimpi ja avoimempi mailma on saapumassa vihdoinkin ja proprietaryn sekä closedsourcen ylivallan loppu häämöttää. Kippis sille.

 

[TeknoR]

keskeneräiset / bugiset softat oli ainakin vielä vuosi sitten. Muutenkin käyttöönotto vaati aikamoista noituutta kaikine ihme gateway juttuineen, jotka oli nekin välillä offline tai jotenkin jumissa ja huomasit puhuvasi tyhjille seinille tai et nähnyt kaikkia viestejä...

 

[dataaja95]

keskeneräiset / bugiset softat oli ainakin vielä vuosi sitten. Muutenkin käyttöönotto vaati aikamoista noituutta kaikine ihme gateway juttuineen, jotka oli nekin välillä offline tai jotenkin jumissa ja huomasit puhuvasi tyhjille seinille tai et nähnyt kaikkia viestejä...

Kehitysasteellahan tuo vielä on, joten bugeja tottakai ilmenee. Käytitkö mitä clienttejä ja serverinä ilmeisesti tuota pikaviestin.fi. Omassa käytössä toiminut oikein kivasti.

 

[ztec]

Kehitysasteellahan tuo vielä on, joten bugeja tottakai ilmenee. Käytitkö mitä clienttejä ja serverinä ilmeisesti tuota pikaviestin.fi. Omassa käytössä toiminut oikein kivasti.

Ikäviä ongemia kyllä riittää. Kuten se, että viestejä katoaa välistä.Ne voi sitten tunnin päästä ilmestyä sinne historiaan ilman ilmoitusta jne. Varsinkin multi clienttinä näyttäisi olevan ihan hajalla toi Androidin Element. Viestit näkyy sitten joskus, jos on näkyäkseen.

 

[dataaja95]

Ikäviä ongemia kyllä riittää. Kuten se, että viestejä katoaa välistä.Ne voi sitten tunnin päästä ilmestyä sinne historiaan ilman ilmoitusta jne. Varsinkin multi clienttinä näyttäisi olevan ihan hajalla toi Androidin Element. Viestit näkyy sitten joskus, jos on näkyäkseen.

Multi clienttinä en ole vielä testannut, voisi kokeilla. Kellään kokemusta muista mobiiliclienteistä kuin element, esim vaikkapa tästä

Syphon | F-Droid - Free and Open Source Android App Repository

A privacy centric matrix client

f-droid.org

 

[dataaja95]

Jäipä mietityttämään matrixin salausavainten vaihto e2e-keskusteluissa, jos hyökkääjä pääsee väliin hän voi käsittääkseni korvata avaimet omillaan ja seurata keskustelua, miten pystymme varmistumaan, että avaimia ei ole matkalla muutettu tai vaihdettu, onko clienteillä, esim element tähän omia toimintoja, tai miten tämä yleensä hoidetaan, minkälaisia käytäntöjä matrix suosittelee tähän, jos menemme parhaiden käytäntöjen mukaan. Varoittavatko clientit avainten peukaloimisesta esim mitm:n avulla.

 

[miksu8]

Miksi tarvitaan jatkuvasti uusia standardeja? Signal toimii.