XMPP 通訊軟體是什麼? 為什麼用它? 如何用?

What is XMPP?

通訊軟體。

與 LINE, Skype 等等通訊軟體類似：XMPP 軟體可以用文字和表情圖案聊天，傳檔案和照片。至於通話和視訊，目前在電腦版可以使用，行動裝置版本則還在開發中。

嚴格來說，XMPP 是通訊協定，也就是通訊軟體的規格書。依照這份規格書做出來的通訊軟體（有幾十種）都叫做 XMPP 軟體，它們的基本功能完全相同（因為按照規格製作），不同的是畫面、表情圖案、進階功能等等。

詳見本站：目前 XMPP 和 SIP 通訊軟體的不足之處，與專有軟體比較

Why XMPP?

因為 XMPP 軟體是目前實作上最安全與隱私的加密通訊軟體（當然也需要使用者正確使用），安全性高於目前流行的加密通訊軟體 Signal, Telegram 和 WhatsApp，雖然相應地在使用上稍微不方便一點（說明）。但請記得本站的格言：

安全與隱私，往往要用方便來交換

不要使用較常見的 Skype, LINE, Facebook Messenger, Google Hangout, WhatsApp, QQ, 微信 ….，因為它們或者不是開源自由軟體，或者沒有點對點加密，或者伺服器會記錄一切的通訊內容，更不用說中國產的（或外國產但中國特有版的）軟體和網路服務背後有中國政府在監控著，不能確保安全、隱私和言論自由的基本人權。（BBC: Facebook“为中国订制审查工具” (2016/11/23)）

詳見本站：一般通訊軟體的隱憂

How to XMPP?

XMPP 基於自由開源軟體社群的一貫風格，無論在使用者端或伺服器端都是自由市場（跟最近的電力自由化相同的道理）。這表示：使用者可以在很多套軟體裡面任意試用、挑選最喜歡的，也可以隨時更換軟體而不會損失帳號和聯絡人清單。

XMPP 的使用有五個步驟（詳見：xmpp： 初始設定 ）：

選擇客戶端軟體（你的手機或電腦上使用）；

選擇伺服器來開新帳號（跟玩線上遊戲類似）；

加入聯絡人；

確認雙方的加密金鑰與安全性設定；

開始加密對話。

1. 選擇客戶端軟體

Android 推薦使用 Conversations。（在 Conversations 上使用別家的 XMPP 帳號是免費的，若使用 Conversations 自家的帳號則自第7個月起需要付小額年費）

iPhone 推薦使用 ChatSecure。

Mac OS 可以使用 Adium 或 Jitsi。

Windows 和 Unix-like 可以使用 Gajim + OTR plugin, Jitsi 或 Pidgin + OTR plugin。

詳見本站：跨平台加密通訊軟體的比較

2. 選擇註冊帳號的伺服器

詳見本站：註冊哪家的 XMPP 帳號? 從安全性看

本站目前推薦：jabber.otr.im，並且搭配 tor 或 Orbot 來使用它的暗網網址 5rgdtlawqkcplz75.onion

3. 加入聯絡人

跟使用任何通訊軟體一樣，可以輸入對方的 XMPP 帳號，在這個行動裝置稱王的時代，也可以掃描對方的二維條碼來加入。

4. 確認雙方的加密金鑰與安全性設定

強制使用加密連線 (TLS)；

強制開啟 加密聊天 (OTR 或 OMEMO)；

新增聯絡人時一定要互相確認身分，因為對方的帳號可能被盜用。透過 XMPP 軟體的｢驗證身分｣功能，基本上有三種方法：

(1) 互相問一個只有你們兩人知道答案的問題。

(2) 手機用戶可以掃描二維條碼來互相確認。

(3) 透過其他通訊管道（例如立刻打個電話，或者見面，或者寫 email）與對方互相確認聊天的｢指紋｣(fingerprint)。

指紋 (fingerprint) 是個獨一無二的亂數，即使是同一個帳號在不同裝置上也有不同指紋，從而保證了別人不能利用偷到的裝置B竊聽你在裝置A的對話。也因為這個機制，所以 XMPP 加密的訊息很難做到在不同裝置上同步，而跟 Skype, LINE, Facebook 等聊天功能極為不同，也許有人視此為不方便，但它同時也代表著安全。

PS1. XMPP 使用功能的注意事項

不同 XMPP 伺服器的帳號是互通的，不同 XMPP 軟體也是互通的，都可以進行點對點加密的雙人訊息 (OTR)。

點對點加密群組訊息，目前只有 Gajim 和 Conversations 做到且互通。其他軟體大概要再等幾個月到一年才會實現此功能。這是因為群組加密的協定 OMEMO 是 2015年秋天才納入 XMPP 標準。

現階段各家 XMPP 軟體在加密檔案傳輸上不相容，主要是因為各軟體實現的協定版本不一（改進中）。所以如果有需要傳輸檔案或圖片，發與收檔案的人最好使用相同軟體（或者上傳到有加密的檔案分享平台，然後在這些軟體裡發送連結；或者使用加密的 email 來傳檔案）。

PS2. 更加強安全與隱私的做法

每次聊天結束後就刪除自己和對方的指紋，下次重新驗證身分。

刪除自己指紋可以保證，就算有你的同一個裝置和同一個帳號也無法解讀之前對話。

刪除對方指紋可以保證每次都跟正確的人聊天，不會因為在兩次對話中間有一方的裝置遺失或帳號被盜用而與錯誤的人聊天。

有些人可能會覺得這太極端、多疑、或太麻煩。