VoIP Verschlüsselung

[soso]

Hallo Allerseits,
Ich möchte mich mal informieren wie es mit der Verschlüsselung von VoIP-Gesprächen steht.
Skype macht das ja schon aber wie sieht es mit den diversen SIP-Phones aus?

Hier meine Fragen:
1. Wer ist für die Verschlüsselung zuständig (der VoIP-Provider oder das SIP-Phone)?
2. Müssen beide VoIP-Teilnehmer das gleiche SIP-Phone verwenden?
3. Können Gespräche über eine FBF verschlüsselt werden oder ist das in naher Zukunft geplant?
4. Ich habe mal einen Versuch mit dem EyeBeam von CounterPath gemacht. Wenn ich die Verschlüsselung einstelle erhalte ich aber die Fehlermeldung: "Registration error: 503 - Service Unavailable". Der Test lief mit dem Basic-Tarif von Sipgate. Was läuft falsch?
5. Ich habe auch mal gehöhrt das die Verschlüsselung von Telefonaten angeblich verboten ist da der Herr Schäuble dann nicht mehr mithören kann. Simmt das?

Grüsse soso

 

[Marsupilami]

1. beide, sonst gehts nicht
2. gemäß Design: nein
3. nein, es gab aber mal eine Labor-Firmware, in der man das einstellen konnte. Es wird also hoffentlich mal kommen.
4. keine Ahnung. Vielleicht von sipgate nicht unterstützt?
5. mir egal. Wenn Schäuble mir verbieten würde, meine Wohnungstür abzuschließen - ich würde sie trotzdem zuschließen. Schäubles Ideen interessieren mich nicht die Bohne.

 

[voodoobaby]

bei meinem eyebeam lässt sich verschlüsselung einschalten und registration bei sipgate-basic funktioniert

 

[soso]

bei meinem eyebeam lässt sich verschlüsselung einschalten und registration bei sipgate-basic funktioniert

Hallo voodoobaby,
Hast du bei Sipgate noch irgendwas konfiguriert damit das geht? Ich hab es mit den Security-Einstellungen "Encrypted" und "TLS" probiert aber immer kommt diese Fehlermeldung.

 

[voodoobaby]

nochmal getestet - encrypted registrierung ja , bei tls keine registrierung - bei sipgate nix geändert

eyebeam 1.5.16.1

 

[soso]

nochmal getestet - encrypted registrierung ja , bei tls keine registrierung - bei sipgate nix geändert

eyebeam 1.5.16.1

Hab eine Anfrage bei Sipgate gemacht. Hier die Antwort:

"vielen Dank für Ihre Email. Die Verschlüsselung der Gespräche wird von uns derzeit nicht angeboten. Aus diesem Grund haben Sie die entsprechende Fehlermeldung erhalten"

Komisch das das bei dir geht.

 

[woprr]

sowenig vertrauen ins internet und soviel vertrauen in die eigene bude/büro? besorgt euch lieber n wanzenscanner ( professionelle wanzen passen heute auf nen stecknadelkopf, mit video inne erbse ) und einen EVVA Magnetschliesszylinder, da kommt man nicht ohne zerstörungsspuren dran vorbei und das schloss oder schlüssel ist ohne schlüsselkarte nicht reproduzierbar.

und keiner weiss was für hintertüren die proprietären wlan-firmwares für eure fritzkaufboxen drinhaben könnten, dasselbe gilt für skype.

und kein sip provider mit landline-gateway wird sich die investitions- und betriebskosten für S/ZRTP aufhalsen, ganz einfach aus wirtschaftlichen gründen in diesem dumpingwettbewerbsmarkt.

 

[soso]

Ein Wanzenscanner kann aber nicht verhindern das der Herr Schäuble in der nächsten Vermittlungsstelle sitzt und alles mithört. Mal ganz zu schweigen von dem Echelonsystem der Ammis mit dem ganz legal Firmengeheimnisse ausspioniert werden können. Das Lauschen im Netz ist der einfachste Weg an Informationen zu kommen und das breit gestreut. Das installieren von Wanzen ist aufwendig und nur der letzte Schritt.

 

[woprr]

aja? fragste mal G8-gegner was da der erste schritt war...

aber dann auf microsoft und counterpath und andere closed source software vertrauen wo keiner weiss was da drin ist.

 

[Master1]

Das Problem der Firmware Verschlüsselung wird vermutlich sein das es keinen einheitlichen Standard gibt. Eine wirkliche Sichherheit im I-net gibt es meiner Meinung nach nicht egal mit welcher Verschlüsselung oder Methode sobald die falschen Leute an den richtigen Stellen sitzen is es vorbei mit der Datensicherrei. Egal wo egal wann. Zwar kann man es den Herren erschweren aber leider nicht gänzlich Verhindern.

 

[config74]

Lösung kann nur eine Ende-zu-Ende-Verschlüsselung sein ohne Beteiligung der diensterbringenden und routenden Instanzen. Diese wäre technisch sicher und nur über Wanzen im Telefon oder Richtmikrophone auf die Fenster auszuhebeln.

Mal ganz naiv gefragt, warum kann man die Inhalte der VOIP-Pakete am Aus- und Eingang nicht ver- bzw. entschlüsseln? Wieso brauche ich einen "Provider" oder ein spezielles Protokoll dazu?

 

[woprr]

Das Problem der Firmware Verschlüsselung wird vermutlich sein das es keinen einheitlichen Standard gibt.

du hast oben nichts verstanden. bei (meist closed source) firmware und windos fängts schon an. nur der hersteller weiss was da drin ist, und den können behörden oder private/staatliche wirtschaftsspionagedienste von internationalen wettbewerbern unter druck setzen/unterwandern. wenn du dich auf closed source software verlässt bist du verlassen. nur opensource biste sicher. lass dir da von klassischen "security by obscurity"-predigern nix erzähln, die stehen meist nur bei einer seite in lohn+brot und das kann durchaus mal der hauptwettbewerber deiner firma sein.

Mal ganz naiv gefragt, warum kann man die Inhalte der VOIP-Pakete am Aus- und Eingang nicht ver- bzw. entschlüsseln? Wieso brauche ich einen "Provider" oder ein spezielles Protokoll dazu?

siehe www.faqs.org , S/ZRTP und SIP (RFC/draft) standards. ich glaub twinkle verhandelt das sogar providerunabhängig mit dem peer. mangels peers hier nicht getestet. wenn du aber vom internet ins telefonnetz willst muss das gateway des SIP-PSTN-providers das unterstützen und das wird aus kostengründen keiner machen.

 

[mfehleisen]

Die Frage ist doch, was es bringt zu verschlüsseln? Wenn man nun z.B. über Sipgate einen Arcor-Anschluss anruft, dann ist es schön, wenn ich den Weg über IP verschlüssele, aber dann zwischen dem Übergabepunkt von Sipgate zu Arcor der BND/... whatever mithören darf ;-) - ergo: Verschlüsselung bringt in dem Zusammenhang nur etwas bei Direktverbindungen über IP.

-Matthias

 

[Master1]

du hast oben nichts verstanden. bei (meist closed source) firmware und windos fängts schon an. nur der hersteller weiss was da drin ist, und den können behörden oder private/staatliche wirtschaftsspionagedienste von internationalen wettbewerbern unter druck setzen/unterwandern. wenn du dich auf closed source software verlässt bist du verlassen. nur opensource biste sicher. lass dir da von klassischen "security by obscurity"-predigern nix erzähln, die stehen meist nur bei einer seite in lohn+brot und das kann durchaus mal der hauptwettbewerber deiner firma sein.

woprr Verstanden habe ich das schon nur bringt eine Verschlüsselung mit Open Source Methoden relativ wenig da es nicht möglich ist damit jedes Gespräch zu verschlüsseln mit einem Standardtisierten Verfahren ähnlich SSL. Den allein schon bei 4 Verschiedenen Schlüsselcodes gibt es 6 Verschiedene Kombinationsvarianten. Von daher Open Source schön und gut aber in bestimmten bereichen sind Standards und Professionelle Methoden schon ganz angebracht. Nichts gegen die Open Source Programmierer aber wie heist es doch "Viele Köche verderben den Brei."

 

[RalfFriedl]

"Open Source" ist doch nicht der Gegensatz zu "Standard"! "Open Source" kann genauso gut "Standard" oder "Nicht Standard" sein, das hat zunächst nichts miteinander zu tun. Auch "Closed Source" kann genauso gut "Standard" oder "Nicht Standard" sein.

In der Praxis ist es aber so, daß häufiger "Closed Source" und "Nicht Standard" zusammen kommen, und daß bei "Open Source" eher auf "Standard" gesetzt wird.

 

[woprr]

Nichts gegen die Open Source Programmierer aber wie heist es doch "Viele Köche verderben den Brei."

nun, teamarbeit und concurrent engineering gehört zu modernen arbeitsprozessen nach bester moderner wirtschaftspraxis, aber anscheinend nicht in deiner gehaltsgruppe

natürlich weichen gerade proprietäre anbieter gerne von standards ab um die kunden eben an ihre eigenen lösungen zu binden zwecks maximierung des marktanteils, siehe skype.

 

[hackboy]

Schau Dir mal zfone von Zimmermann an.

 

[Master1]

woprr ist ja soweit richtig aber nun spinnen wir mal ein bissel in der Zukunft rum wie es sein könnte. Nehmen wir mal nur Arcor und die T-com jeder Verschlüsselt seine Gespräche mit einer eigenen Methode die nicht miteinander Kompatibel sind. Alternativ würde den Nutzern noch die Möglichkeit einer ungesicherten Telefonverbindung offen stehen. Desto mehr es Publik wird das man seine Gespräche auch Verschlüsselt führen kann wird es ähnlich wie bei der W-Lan Verschlüsselung ablaufen und alle möglichen Zeitschriften stürzen sich auf das Thema und schüren damit eine art "Panik". Folge viele mehr oder weniger Seriöse Computerspezialisten verdienen sich ne goldene Nase damit das sie diese Option bei den Kunden einrichten. Um diese dann in Sicherheit zu wiegen damit nicht jeder ihre Gespräche mithören kann. Diese Nutzer werden es versuchen zu vermeiden in andere Netze zu Telefonieren. Ähnlich läuft es doch heute schon im W-Lan bereich es gibt ein haufen Anbieter die immer mehr Speed im Netzwerk Suggerieren mit dem kleinen netten hinweis der N-Draft Technik nur wird nicht dazu gesagt das diese Speed nur bei Geräten des gleichen Herstellers nutzbar ist weil noch kein N Standard beschlossen wurde. Ergo unerfahrene Nutzer greifen zu der Hardware mit der Vermeindlich größten Speed und fallen nicht selten gehörig auf die Nase. Unter einem Standard stelle ich mir so etwas ähnliches vor wie die WEP oder WPA Verschlüsselung im W-Lan.

 

[soso]

Schau Dir mal zfone von Zimmermann an.

Hallo hackboy,
ich hab das zfone inzwischen getestet. Das Telefonieren funktioniert (getestet mit zwei eyeBeam über Sipgate). Weitere Tests folgen (Dreierkonferenz, andere Provider, verschiedene SoftPhons).
Aber welche Garantie hat man denn das die von "zfone" verwendete Verschlüsselung auch wirklich sicher ist?

 

[woprr]

Unter einem Standard stelle ich mir so etwas ähnliches vor wie die WEP oder WPA Verschlüsselung im W-Lan.

ach ja? :mrgreen: geht das inzwischen? und WEP ist seit jahren in 10 minuten knackbar.

ich hab den nachbarn vor ~ jahren lieber openvpn installiert und das trägerwlan am AP offen gelassen, weil windows xp dafür n KBxxxxx update gebraucht hätte, einen von belkin nicht gelieferten RSN-AES/EAP-TLS fähigen treiber und macos n upgrade von panther auf tiger
und das wär dann nur 128bit AES gewesen, wir haben mit openvpn 256bit und ne freie auswahl aus allen verfahren, die openssl hat.

sowas nennst du standard? gugg dir mal das kompatibilitätsgeschimpfe auf den mailinglisten vom (100% standardkonformen) hostapd projekt der letzten jahre an...