VoIP Verschlüsselung

[Master1]

Ich weis ja net wo du lebst woprr aber in meinen Freundeskreis wird WPA genutzt das WEP nicht die sicherste Methode ist ist ja logisch sonst gäbe es ja kein WPA in den Verschiedenen Varianten. Bisher hatte ich noch keine Performance Probleme durch W-Lan und seine Verschlüsselungstypen.

Unter einem Standard stelle ich mir so etwas ähnliches vor wie die WEP oder WPA Verschlüsselung im W-Lan.

Mit diesem Satz meinte ich die art der Verschlüsselung. Den bei W-Lan ist es ja so das ein fester Schlüssel untereinander in einer bestimmten Zeitspanne sich immer wieder in seiner Zusammenstellung ändert.

 

[soso]

@ woprr, Master1
Hallo Leute, ihr diskutiert hier die ganze Zeit über WEP und WPA. Es geht doch aber eigentlich um VoIP-Verschlüsselung. Hierzu ein interessanter Artikel:

http://de.wikipedia.org/wiki/ZRTP

Ich verstehe nicht genug von Verschlüsselung und würde gerne wissen wie sicher dieses Verfahren ist. Merkwürdig ist das man gar keinen Schlüssel austauschen muss wie bei PGP. Wenn der Schlüssel mit übertragen wird kann das doch nicht richtig sicher sein oder? Wenn dieses Verfahren wirklich sicher sein sollte und auch schon geplant ist dieses in die gängige VoIP-Hardware zu integrieren währe das doch die Lösung oder?

 

[tscoreninja]

Nichts gegen die Open Source Programmierer aber wie heist es doch "Viele Köche verderben den Brei."

Kleiner Lesetipp zu einem Text, der dieser Aussage diametral entgegen steht (von Bruce Schneier, IMHO einer der einflussreichsten Figuren in der Computersicherheit): http://www.schneier.com/crypto-gram-9909.html

Open Source and Security

As a cryptography and computer security expert, I have never understood the current fuss about the open source software movement. In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It's true for cryptographic algorithms, security protocols, and security source code. For us, open source isn't just a business model; it's smart engineering practice.

Open Source Cryptography
Cryptography has been espousing open source ideals for decades, although we call it "using public algorithms and protocols." The idea is simple: cryptography is hard to do right, and the only way to know if something was done right is to be able to examine it.
...

Nützlicher Artikel zum eigentlichen Thema, der die hier aufgeworfenen Fragen beantwortet: http://www.teltarif.de/arch/2007/kw52/s28306.html

 

[45grisu]

Hallo
Solange die Calls über einen Provider laufen, sind diese beim Provider für die Sicherheitsbehörden abhörbar.
Dazu ist der Provider verpflichtet.
Wenn ein Provider eine Verschlüsselung anbietet wird zumindest im Voice- Gateway die Verschlüsselung aufgehoben, damit das Mithören funktioniert. Zur Gegenstelle wird dann die Verschlüsselung wieder aufgesetzt.
Das ist egal, ob das nun T- Home, ARCOR oder Hansenet ist.


Gruß

45grisu

 

[soso]

Solange die Calls über einen Provider laufen, sind diese beim Provider für die Sicherheitsbehörden abhörbar.

Ist das denn technisch möglich wenn man so etwas wie das "zfone" verwendet?

 

[45grisu]

Hallo soso
Mit zfone wirst du nicht über normales VoIP z. B. Fritzbox telefonieren können.
Dies wird nur mit sog. Softphones funktionieren, da ja die RTP- Pakete in ZRTP umgewandelt werden. Das kann nur im PC geschehen.
Außerdem funktionieren hierbei nur Direktverbindungen. D. H. du musst die IP- Adresse deines Gesprächspartners kennen und eine direkte SIP- Verbindung aufbauen.
Da sich diese IP- Adresse jeden Tag ändert finde ich das ganze unbequem. Man müsste seinen Gesprächspartner anrufen und diesen nach seinen IP- Adresse fragen um dann eine direkte verschlüsselte Verbindung aufzubauen.

Das ganze ist für Freaks oder für Leute mit krimineller Energie sicher machbar aber für Ottonormalverbraucher sicher nicht realistisch.

Von den Netzbetreibern ist in dieser Richtung auch nichts zu erwarten, da diese verpflichtet sind eine Abhörmöglichkeit zu schaffen.

Außerdem ist das abhören von Gesprächen heute und in Zukunft genauso aufwendig oder auch nicht. Ich muss mir Zugang zu der entsprechenden Leitung des Abzuhörenden schaffen.

Und da ich nichts zu verbergen habe, ist mir das ganze Thema ziemlich egal.
Ich wollte hier nur den technischen Hintergrund erläutern.

Meine Infos über zfone habe ich übrigens von Wikipedia.

Sollte es jemand besser wissen, lasse ich mich gerne belehren.


Gruß

Klaus

 

[soso]

Hallo 45grisu,
Das "zfone" funktioniert nicht nur mit direkten IP-Verbindungen. Ich hab es mit dem EyeBeam und Sipgate probiert. Man kann sogar das zfone nach dem EyBeam starten wenn man es braucht. Mit der FBF hast du allerdings recht. Das muss da erst noch integriert werden.
Das das Ganze nur für Freaks oder für Leute mit krimineller Energie was ist sehe ich nicht so. Auch wenn ich nichts zu verbergen habe gehen meine Telefonate sonst niemanden etwas an. Mal abgesehen davon das VoIP inzwischen massiv von Firmen genutzt wird und dadurch auch Industriespionage ein wichtiges Thema ist.

 

[NanoBot]

Hi soso,

bezüglich deiner Frage wieso man bei ZRTP vorher keine Schlüssel austauschen muß:

http://de.wikipedia.org/wiki/Diffie_Hellman

Auf die Schwachstelle dieses Verfahrens, nämlich den man-in-the-middle Angriff und wie man ihn abwehren kann wird dort auch eingegangen. Hierzu müßte man im Idealfall dann allerdings doch noch vorher einen Schlüssel zur Authentisierung austauschen.

Ansonsten möchte ich noch darauf hinweisen, daß man verschlüsselte VoIP Telefonie am besten über registrarlose Verbindungen und nicht über die standardisierten SIP-Ports einsetzen sollte, denn damit kann man die Speicherung der Verbindungsdaten im Rahmen der VDS auch gleich noch umgehen und somit jeglicher Datenschnüffelei einen Riegel vorschieben.

C.U. NanoBot

 

[45grisu]

Hallo soso
Warum verschlüsselst du dann deine jetzigen Telefonate über das Festnetz nicht?
Dort ist der Zugriff viel einfacher.
Ich muss nur an einen Verteilerkasten und kann mich dort aufschalten.

Gruß

Klaus

 

[soso]

Ich telefoniere kaum noch über das Festnetz. Aber wenn es einen einheitlichen Standard zum Verschlüsseln von Festnetztelefonaten gäbe würde ich das auch machen.

 

[powerbee]

@soso

Mich würde einmal interessieren, wie Du es zum laufen gebracht hast mit 2 Eyebeam und zfone.

Bei mir funktioniert das irgendwie nicht, was aber daran liegen könnte, daß die beiden Eyebeam im gleichen IP-Netz sind und daher möglicherweise irgendwelche Ports bei den zfonen nicht richtig angesprochen wurden bzw. vielleicht immer das gleiche angesprochen wurde. Über Internet auf einem entfernten PC konnte ich das leider noch nicht testen.

Vielleicht kannst Du Deine Vorgehensweise kurz beschreiben.


Im übrigen:
Die Diskussion ob es verschlüsselt sein muß oder nicht, könnte man lieber in einem anderen Beitrag führen, als diesem eher technischen hier, denn das ist doch letztlich genauso wie beim FKK. Der eine mag sich gern anderen zeigen (mal abgesehen davon, ob die es sehen wollen oder nicht), ein anderer geht lieber mit Höschen baden und wieder andere mit sogenannten "Badepants", die bis zu kopfkissengroß sind, damit die übrigen Badegäste nicht einmal erahnen können, was drunter stecken könnte.

Es soll doch jeder selbst entscheiden, ob er etwas verbergen möchte oder nicht. Gerade das ist doch ein wesentliches Grundprinzip einer freiheitlichen Gesellschaft.

 

[soso]

@soso

Mich würde einmal interessieren, wie Du es zum laufen gebracht hast mit 2 Eyebeam und zfone.

Ich hab das nur zwischen zwei entfernten Rechnern probiert. Im LAN müsste das aber auch gehen. Kannst du denn zwischen zwei Rechnern im LAN ohne zfone telefonieren? Möglicherweise eine Konfigurationsproblem beim EyeBeam.

 

[powerbee]

Ohne zfone funktioniert es im eigenen Netz, mit zfone die Verbindung an sich auch, nur die Verschlüsselung schaltet sich dann nicht ein.

 

[soso]

@powerbee
ich bekomme leider auch ohne zfone keine Verbindung im LAN hin. Muss man die Rechner erst bei einer Domain anmelden? Wenn du die Konfiguration deiner EyeBeam's postest kann ich es mal bei mir im Netz probieren.

 

[powerbee]

Durch den Beitrag inspieriert habe ich das noch einmal probiert, der letzte Versuch war schon einige Monate her und es gab inzwischen wohl mehrere Updates von zfone.

Die beiden eyebeame sind ganz normal zB bei sipgate registriert und mit dem neuen zfone zeigt es mir auch verschlüsselte Verbindung an. Die jedenfalls hat manchmal einige Aussetzer, wo es dann zwischen verschlüsselt und unverschlüsselt wechselt.

Die Sprache konnte ich noch nicht testen, da ich hier gerade keine Sprechgarnitur dahabe.

 

[soso]

@powerbee
Welche Nummer wählst du denn am eyebeame? Die internen IP des Rechners im LAN oder die externen IP deines Routers? Mit der intenen geht es bei mir nämlich nicht (auch ohne Verschlüsselung).

 

[powerbee]

Ich wähle natürlich die Sipgate-Nummer.

 

[soso]

@powerbee
Ich dachte du meinst eine Verbindung im LAN. Über sipgate geht das bei mir natürlich auch. Aber im LAN müsste das doch eigentlich auch funktionieren (direkt von PC zu PC ohne VoIP-Provider). Aber das weicht warscheinlich zu sehr vom eigentlichen Thema ab. Ich mache vieleicht einen neuen Thread zu diesem Thema auf.
gruss soso

 

[nilsja]

Mit zfone wirst du nicht über normales VoIP z. B. Fritzbox telefonieren können.
Dies wird nur mit sog. Softphones funktionieren, da ja die RTP- Pakete in ZRTP umgewandelt werden. Das kann nur im PC geschehen.

nur wandern die pc's inzwischen in die handys! mein nokia e51 kann bald zrtp. am schnellsten wird wohl tivi bei der umsetzung sein. für windows mobile klappts es wohl schon. bin mir sicher das auch zumindest irgendein deutscher voip anbieter nachziehen wird.

und srtp, unterstütz auch schon manche hardware, gibts auch schon bei dus.net.

 

[W48]

Mit zfone wirst du nicht über normales VoIP z. B. Fritzbox telefonieren können.
Dies wird nur mit sog. Softphones funktionieren, da ja die RTP- Pakete in ZRTP umgewandelt werden. Das kann nur im PC geschehen.

Das ist aber ein lösbares Problem, es gibt ein SDK:

http://zfoneproject.com/prod_sdk.html

Ein entsprechendes OpenSource-Projekt für eine Implementierung auf der fritz.box würde von Phil Z. sicher auch eine kostenlose Lizenz dazubekommen.