Spielen mit Gizmo und Zfone
Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Ein Praxisupdate zur Geschichte über verschlüsseltes VoIP über Gizmo und Zfone. Heute hatte ich Gelegenheit, die Gizmo / Zfone Kombination praktisch mit einem User zu testen, der die gleiche Kombination im Einsatz hat.
Zfone gesichertes VoIP Gespräch mit Gizmo.
Bei den Windows Betaversionen wird ja von Zfone der zusätzliche Netzwerktreiber zrtp.sys installiert, der die Aufgabe hat, als Paketfilter Datenverkehr auf dem UDP Port 5060 zu erkennen und sofort eine verschlüsselte Verbindung mit dem SRTP Protokoll (plus den Erweiterungen von Zimmermanns ZRTP Protokoll) und einem gemeinsamen Sitzungsschlüssel (mit AES-128 /-256) zwischen den beiden Kommunikationspartnern aufzubauen, wobei der Sizungsschlüssel über das Diffie-Hellmann Schlüsselvereinbarungsverfahren (mit 3072/4096-bit Schlüssel für AES-128 bzw. -256) ausgehandelt wird.
Visuell sieht das dann so aus:
Wenn man in Gizmo einen Partner anruft, der ebenfalls Zfone installiert hat, wechselt die Angabe zu "Secure" als Zeichen, dass die Schlüsselvereinbarung stattgefunden hat – ich muss das Ganze mal mit Ethereal / WinPcap beobachten, denke aber, das geht schon in Ordnung. Auf die Stärken und Schwächen des ZRTP Protokolls müssen eh ausgewiesene Kryptologen mal einen Blick werfen.
Anschließend sollten sich beide Partner den kurzen Authentifizierungsstring (j"s8o") vorlesen, der bei jedem Anruf wechselt. Bei beiden Partnern muss der gleiche String erscheinen, ansonsten stimmt etwas nicht bzw. könnte ein Man-in-The-Middle (MiTM) Angriff vorliegen. Außerdem soll die bekannte Stimme des Partners ebenfalls zur Authentifizierung beitragen.
Ein Punkt, woran sich Kritik entzündet, die sich auf die Kapazitäten von Angreifern bezieht, die per Sprachsynthese einem Zielobjekt vortäuschen könnten, er würde mit der richtigen Person sprechen. Bei Erstkontakten fällt natürlich die Sprache als Mittel der Authentifizierung ebenfalls flach.
Danach kann das Gespräch beginnen, zu dem ich sagen muss, dass die Herstellung der Verbindung ziemlich zügig vonstatten geht und sowohl Qualität, als auch Übertragung der Sprache sehr gut ist – natürlich abhängig von der eingesetzten Hardware und dem Internetzugang.
Zu der "Verified" Option kann ich nichts sagen, könnte mir aber vorstellen, dass nach Aktivierung der Option "Key Continuity" verwendet wird, von der bei Zimmermann die Rede ist. Sprich, beim nächsten Anruf wird ein Teil des alten, zwischengespeicherten Schlüsselmaterials für den neuen Sitzungsschlüssel verwendet, was auch der Abwehr von MiTM Angriffen dient. Müsste man mal Zimmermann fragen.
Zur Frage, wie es mit SIP Accounts bei anderen Providern und Gizmo ausschaut: In Gizmo kann man in den Loginoptionen einen "secondary Login" aktivieren, in den man die SIP Accountdaten einträgt und auch darüber mit Gizmo telefonieren. Das funktionierte bei mir mit und ohne Zfone noch nicht und bedarf weiterer Tests, auch mit anderen SIP Softphones.
Eine Alternative zu Skype dürfte die SIP Softphone/Zfone Kombi auf jeden Fall darstellen, wem es auf verschlüsseltes VoIP ankommt, deren Verschlüsselung nicht propietär und closed source ist und im Zweifelsfall vielleicht nach Überwachungsanordnungen ausgehebelt werden könnte. Mit der Voraussetzung, dass die Zfone Methode wirklich sicher ist.
Dem BND, der NSA oder der U. S. Federal Communications Commission dürfte etwas wie Zfone jedenfalls nicht behagen. Aber wenigstens bekommen sie über die Verkehrsdatenvorratsspeicherung mit, wer mit wem telefoniert.
Noch schöner oder auch gut wäre es, wenn man ähnliches bei der Implementierung von Jingle in Jabber für alle Jabber Clients hinbekommt. Und was kommt demnächst? Verschlüsseltes Videoconferencing? :)
Siehe auch:
de.internet.com: Berater: Finger weg von Skype für Firmen
silicon.com: Skype - is your version secure?
Zfone gesichertes VoIP Gespräch mit Gizmo.
Visuell sieht das dann so aus:
Wenn man in Gizmo einen Partner anruft, der ebenfalls Zfone installiert hat, wechselt die Angabe zu "Secure" als Zeichen, dass die Schlüsselvereinbarung stattgefunden hat – ich muss das Ganze mal mit Ethereal / WinPcap beobachten, denke aber, das geht schon in Ordnung. Auf die Stärken und Schwächen des ZRTP Protokolls müssen eh ausgewiesene Kryptologen mal einen Blick werfen.
Anschließend sollten sich beide Partner den kurzen Authentifizierungsstring (j"s8o") vorlesen, der bei jedem Anruf wechselt. Bei beiden Partnern muss der gleiche String erscheinen, ansonsten stimmt etwas nicht bzw. könnte ein Man-in-The-Middle (MiTM) Angriff vorliegen. Außerdem soll die bekannte Stimme des Partners ebenfalls zur Authentifizierung beitragen.
Ein Punkt, woran sich Kritik entzündet, die sich auf die Kapazitäten von Angreifern bezieht, die per Sprachsynthese einem Zielobjekt vortäuschen könnten, er würde mit der richtigen Person sprechen. Bei Erstkontakten fällt natürlich die Sprache als Mittel der Authentifizierung ebenfalls flach.
Danach kann das Gespräch beginnen, zu dem ich sagen muss, dass die Herstellung der Verbindung ziemlich zügig vonstatten geht und sowohl Qualität, als auch Übertragung der Sprache sehr gut ist – natürlich abhängig von der eingesetzten Hardware und dem Internetzugang.
Zu der "Verified" Option kann ich nichts sagen, könnte mir aber vorstellen, dass nach Aktivierung der Option "Key Continuity" verwendet wird, von der bei Zimmermann die Rede ist. Sprich, beim nächsten Anruf wird ein Teil des alten, zwischengespeicherten Schlüsselmaterials für den neuen Sitzungsschlüssel verwendet, was auch der Abwehr von MiTM Angriffen dient. Müsste man mal Zimmermann fragen.
Zur Frage, wie es mit SIP Accounts bei anderen Providern und Gizmo ausschaut: In Gizmo kann man in den Loginoptionen einen "secondary Login" aktivieren, in den man die SIP Accountdaten einträgt und auch darüber mit Gizmo telefonieren. Das funktionierte bei mir mit und ohne Zfone noch nicht und bedarf weiterer Tests, auch mit anderen SIP Softphones.
Eine Alternative zu Skype dürfte die SIP Softphone/Zfone Kombi auf jeden Fall darstellen, wem es auf verschlüsseltes VoIP ankommt, deren Verschlüsselung nicht propietär und closed source ist und im Zweifelsfall vielleicht nach Überwachungsanordnungen ausgehebelt werden könnte. Mit der Voraussetzung, dass die Zfone Methode wirklich sicher ist.
Dem BND, der NSA oder der U. S. Federal Communications Commission dürfte etwas wie Zfone jedenfalls nicht behagen. Aber wenigstens bekommen sie über die Verkehrsdatenvorratsspeicherung mit, wer mit wem telefoniert.
Noch schöner oder auch gut wäre es, wenn man ähnliches bei der Implementierung von Jingle in Jabber für alle Jabber Clients hinbekommt. Und was kommt demnächst? Verschlüsseltes Videoconferencing? :)
Siehe auch:
de.internet.com: Berater: Finger weg von Skype für Firmen
silicon.com: Skype - is your version secure?
von rabenhorst - Owl,
gepostet am Dienstag, 30. Mai 2006 um 21:52
