Page Index Toggle Pages: 1 [2] 3 4  Send TopicPrint
Very Hot Topic (More than 25 Replies) Verschlüsselung mit TLS (Read 51869 times)
deti
Junior Member
**
Offline



Posts: 93
Location: Prien am Chiemsee
Joined: 16. Dec 2006
Gender: Male
Re: Verschlüsselung mit TLS
Reply #15 - 17. Feb 2010 at 22:38
Print Post  
Kann mir jemand schreiben wie ich die nötigen Zertifikate für eine verschlüsselte Verbindung erstelle (mit Windows XP oder auf einem Linux Server oder im Internet)? Leider ist in der Anleitung unter Konfiguration => Zertifikate dazu nichts näheres zu erfahren, auch nicht ob eins, zwei oder alle drei Felder der Seite Zertifikatdateien enthalten müssen.

Muss bei SRTP ein Häkchen drin sein wenn die Verbindungsart TLS gewählt ist und Zertifikatsdateien da sind?

Muss die Gegenseite die selben Dateien zum entschlüsseln besitzen oder nur eine? Welche?

Ich möchte ausprobieren ob TLS Verbindungen ohne zwischengeschalteten Proxy/Registrar funktionieren und wie das geht.
  
Back to top
WWW  
IP Logged
 
Phoner Admin
YaBB Administrator
*****
Offline



Posts: 11389
Location: Germany
Joined: 12. Oct 2003
Gender: Male
Re: Verschlüsselung mit TLS
Reply #16 - 18. Feb 2010 at 09:21
Print Post  
Quote:
Kann mir jemand schreiben wie ich die nötigen Zertifikate für eine verschlüsselte Verbindung erstelle (mit Windows XP oder auf einem Linux Server oder im Internet)? Leider ist in der Anleitung unter Konfiguration => Zertifikate dazu nichts näheres zu erfahren, auch nicht ob eins, zwei oder alle drei Felder der Seite Zertifikatdateien enthalten müssen.

Wenn du zwei PhonerLite-Instanzen laufen hast, benötigst du kein einziges konfiguriertes Zertifikat. Die dafür notwendigen Zertifikate sind schon eingebaut.
Wann brauchst du ein Server-Zertifikat? Eigentlich nie. Wenn sich ein Fremdprodukt (z.B. ein anderes SIP-Telefon) zu dir per TLS verbinden will, so benötigst du unter Umständen ein Serverzertifikat. Ein solches Zertifikat beinhaltet jedoch deinen Rechnernamen oder deine Domain. Wenn also dieses andere Gerät diesen Rechnernamen mit dem Zertifikat abgleichen will, dann brauchst du ein Serverzertifikat genau für deinen Rechner/Domain. Ich gehe mal davon aus, dass dies nie der Fall sein wird. Normalerweise baut PhonerLite eine TLS-Verbindung zu einem anderen Server auf und deshalb ist PhonerLite selbst kein Server und benötigt folglich auch kein Server-Zertifikat.
Wann brauchst du ein Client-Zertifikat?Wenn sich PhonerLite zu einem SIP-Server verbindet und dieser eine Client-Zertifizierung verlangt, dann benötigst du ein Client-Zertifikat. Für diesen Fall bekommst du aber von deinem Anbieter ein solches Client-Zertifikat. Wenn dein Anbieter dir also keines hat zukommen lassen, dann benötigst du das auch nicht.
Die Zertifikats-Felder (und das für den privaten Schlüssel) lässt du also einfach leer. Erst wenn du eine spezielle Gegenstelle hast, dann benötigst du dies. Aber das würde dir schon gesagt werden (z.B. von deinem Provider bzw. SIP-Server). Für die Verschlüsselte Verbindung zwischen zwei PhonerLite-Instanzen benötigst du ebenfalls keine Angaben.

Quote:
Muss bei SRTP ein Häkchen drin sein wenn die Verbindungsart TLS gewählt ist und Zertifikatsdateien da sind?

SRTP und TLS sind zwei verschiedene Dinge. Per TLS wird der eigentliche Nachrichtenaufbau verschlüsselt. Per SRTP werden die Sprachdaten verschlüsselt. Beide Dinge stehen in keinem Zusammenhang - man kann sie also unabhängig voneinander nutzen. Der Schlüssel für SRTP wird nicht per Zertifikaten ausgehandelt, sondern steht mehr oder weniger im Klartext in den SIP-Nachrichten. Aus diesem Grund macht SRTP erst richtig sinn, wenn der Nachrichtenaustausch (SIP) per TLS verschlüsselt ist. SRTP ohne TLS wäre wie das Zuschließen der Haustür und den Schlüssel dann unter die Fußmatte zu legen. Immerhin abgeschlossen ist ja Smiley

Quote:
Muss die Gegenseite die selben Dateien zum entschlüsseln besitzen oder nur eine? Welche?

Wie gesagt, wenn du einen Anbieter mit TLS-Unterstützung hast UND dieser ein Client-Zertifikat verlangt, so hat er dir dieses auch auf einem anderen Wege hat zukommen lassen. Wenn  nicht, dann brauchst du da auch nichts angeben.
Das hängt also immer von der Gegenstelle ab. Wenn beide Teilnehmer PhonerLite verwenden, dann brauchst du gar nichts konfigurieren.
  
Back to top
WWW  
IP Logged
 
deti
Junior Member
**
Offline



Posts: 93
Location: Prien am Chiemsee
Joined: 16. Dec 2006
Gender: Male
Re: Verschlüsselung mit TLS
Reply #17 - 19. Feb 2010 at 00:06
Print Post  
Danke für die ausführliche Antwort!

Phoner Admin wrote on 18. Feb 2010 at 09:21:
SRTP und TLS sind zwei verschiedene Dinge. ....  Aus diesem Grund macht SRTP erst richtig sinn, wenn der Nachrichtenaustausch (SIP) per TLS verschlüsselt ist. ....

Verstehe ich das richtig:
Wenn nur TLS an ist, dann wird der Nachrichtenaufbau zwar veschlüsselt, die gesendeten Sprachdaten aber nicht, das heißt, dann brauche ich noch den Haken bei SRTP um ganz verschlüsselt zu sein?
Oder reicht TLS um alles zu verschlüsseln?

Phoner Admin wrote on 18. Feb 2010 at 09:21:
Die Zertifikats-Felder (und das für den privaten Schlüssel) lässt du also einfach leer. ... . Für die Verschlüsselte Verbindung zwischen zwei PhonerLite-Instanzen benötigst du ebenfalls keine Angaben.

Hmmm, ich verstehe nicht viel von den Verschlüsselungstechniken, aber nach meinem Verständnis hat dann wohl jeder der PhonerLite hat auch die öffentlichen und privaten Schlüssel um Nachrichten zu ver- und entschlüsseln. Könnte dann nicht jemand der irgendwo zwischen den zwei miteinander redenden Instanzen von PhonerLite sitzt die Daten abhören und mit seinen PhonerLite-Schlüsseln entschlüsseln? Wäre da nicht ein privater Schlüssel sinnvoll, der z. B. auch mit einem Passwort gesichert ist, und ein zugehöriger öffentlicher Schlüssel wie sie z. B. mit PuTTYgen erzeugt werden können? Oder werden diese Schlüssel bei jedem PhonerLite neu generiert?

Und nun noch ne Frage:
Was ist/Wofür ist SAVP das erst anklickbar ist nachdem SRTP checked ist?
  
Back to top
WWW  
IP Logged
 
Phoner Admin
YaBB Administrator
*****
Offline



Posts: 11389
Location: Germany
Joined: 12. Oct 2003
Gender: Male
Re: Verschlüsselung mit TLS
Reply #18 - 19. Feb 2010 at 08:42
Print Post  
Quote:
Verstehe ich das richtig:
Wenn nur TLS an ist, dann wird der Nachrichtenaufbau zwar veschlüsselt, die gesendeten Sprachdaten aber nicht, das heißt, dann brauche ich noch den Haken bei SRTP um ganz verschlüsselt zu sein?

Genau!
Quote:
Oder reicht TLS um alles zu verschlüsseln?

Eben nicht. Bei VoIP (SIP) hast du 2 Kommunikationskanäle pro Gespräch: Einmal der Verbindungsaufbau und die Aushandlung der Sprachparameter und dann eben die Sprachpakete selbst. Um komplett verschlüsselt zu arbeiten, brauchst du TLS und SRTP.

Quote:
Hmmm, ich verstehe nicht viel von den Verschlüsselungstechniken, aber nach meinem Verständnis hat dann wohl jeder der PhonerLite hat auch die öffentlichen und privaten Schlüssel um Nachrichten zu ver- und entschlüsseln. Könnte dann nicht jemand der irgendwo zwischen den zwei miteinander redenden Instanzen von PhonerLite sitzt die Daten abhören und mit seinen PhonerLite-Schlüsseln entschlüsseln? Wäre da nicht ein privater Schlüssel sinnvoll, der z. B. auch mit einem Passwort gesichert ist, und ein zugehöriger öffentlicher Schlüssel wie sie z. B. mit PuTTYgen erzeugt werden können? Oder werden diese Schlüssel bei jedem PhonerLite neu generiert?

Nein! Der Normalfall ist der, dass sich PhonerLite zu einem SIP-Server verbindet - PhonerLite ist also nie der Server. Lediglich für den Sonderfall, dass sich ein anderes Endgerät direkt zu PhonerLite verbindet - dann wäre PhonerLite der Server. Aber selbst dann kommst du nie an den privaten Schlüssel des Zertifikats heran. Du kannst dich nicht mit PhonerLite ein eine fremde Verbindung einklinken.
Ich verstehe also deine Bedenken an dieser Stelle nicht. Solltest du (warum auch immer) trotzdem bedenken haben, so erstelle dir einfach selbst ein Server-Zertifikat. Dazu gibt es tausende von Anleitungen im Netz. Ein HTTPS-Server benötigt auch exakt solch ein Server-Zertifikat.

Quote:
Und nun noch ne Frage:
Was ist/Wofür ist SAVP das erst anklickbar ist nachdem SRTP checked ist?

Nicht alle Gegenstellen unterstützen SRTP. Deshalb kann es zu Kompatibilitätsproblemen kommen, wenn man bei der Aushandlung SAVP (statt AVP) als Protokoll angibt. Andere Gegenstellen erwarten aber genau diese Angabe. Deshalb kann man bei aktiviertem SRTP über diesen Schalter das steuern.
Bei einer PhonerLite-zu-PhonerLite Verbindung ist das egal - PhonerLite versteht beide Varianten.
  
Back to top
WWW  
IP Logged
 
deti
Junior Member
**
Offline



Posts: 93
Location: Prien am Chiemsee
Joined: 16. Dec 2006
Gender: Male
Re: Verschlüsselung mit TLS
Reply #19 - 19. Feb 2010 at 21:14
Print Post  
Phoner Admin wrote on 19. Feb 2010 at 08:42:
Ich verstehe also deine Bedenken an dieser Stelle nicht.

Ich hab eigentlich keine Bedenken, war nur ne Frage. Danke für die Antworten!



Phoner Admin wrote on 19. Feb 2010 at 08:42:
Solltest du (warum auch immer) trotzdem bedenken haben, so erstelle dir einfach selbst ein Server-Zertifikat. Dazu gibt es tausende von Anleitungen im Netz. Ein HTTPS-Server benötigt auch exakt solch ein Server-Zertifikat.

- Dann wird eine Server-Zertifikat-Datei mit privater Schlüssel-Datei dem in PhonerLite eingebauten Zertifikat/privaten Schlüssel vorgezogen?

- Bei einem Server-Zertifikat muss immer der Server-Name angegeben werden, kann dieser Name für die Kommunikation von PhonerLite zu PhonerLite beliebig sein, oder sollte ein bestimmter verwendet werden?
- Da PhonerLite, in meinem Fall, zwar als Server agiert aber keine TopLevelDomain hat und die IP auch wechseln kann, trifft wohl zu was Du weiter oben geschrieben hast:
Quote:
Ein solches Zertifikat beinhaltet jedoch deinen Rechnernamen oder deine Domain. Wenn also dieses andere Gerät diesen Rechnernamen mit dem Zertifikat abgleichen will, dann brauchst du ein Serverzertifikat genau für deinen Rechner/Domain.
Gleicht PhonerLite immer die Adresse im Zertifikat mit der ab von wo das Zertifikat kommt? Oder nur wenn ein Haken bei "überprüfe Zertifikat der Gegenstelle" gesetzt ist?

- Wofür ist "Lade Windows CA"?

- Werden selbst signierte Zertifikate akzeptiert?

Danke für Deine Zeit!
  
Back to top
WWW  
IP Logged
 
Phoner Admin
YaBB Administrator
*****
Offline



Posts: 11389
Location: Germany
Joined: 12. Oct 2003
Gender: Male
Re: Verschlüsselung mit TLS
Reply #20 - 24. Feb 2010 at 09:04
Print Post  
Quote:
Dann wird eine Server-Zertifikat-Datei mit privater Schlüssel-Datei dem in PhonerLite eingebauten Zertifikat/privaten Schlüssel vorgezogen?

Wenn du ein Zertifikat konfigurierst, dann wird auch dieses verwendet.

Quote:
Bei einem Server-Zertifikat muss immer der Server-Name angegeben werden, kann dieser Name für die Kommunikation von PhonerLite zu PhonerLite beliebig sein, oder sollte ein bestimmter verwendet werden?

Das ist das Problem. Das hängt von der Gegenstelle (dem Client) ab, ob dieser die Domains verifiziert. PhonerLite tut dies nicht.
PhonerLite überprüft lediglich die Gültigkeit des Zertifikats gegenüber dem Aussteller (CA - Certificate Authority, also dem Aussteller des Zertifikats). Ob der kontaktierte Server und der Name im Zertifikat übereinstimmen, das überprüft PhonerLite nicht.

Quote:
Da PhonerLite, in meinem Fall, zwar als Server agiert aber keine TopLevelDomain hat und die IP auch wechseln kann, trifft wohl zu was Du weiter oben geschrieben hast:
Gleicht PhonerLite immer die Adresse im Zertifikat mit der ab von wo das Zertifikat kommt? Oder nur wenn ein Haken bei "überprüfe Zertifikat der Gegenstelle" gesetzt ist?

Wie oben beschrieben, überprüft PhonerLite die Domain (bzw. den Rechnernamen) nicht. Erst wenn die Option "überprüfe Zertifikat der Gegenstelle" aktiv ist, überprüft PhonerLite die Gültigkeits des Zertifikats gegenüber der dem CA (siehe oben).

Quote:
Wofür ist "Lade Windows CA"?

Um die Zertifikate überprüfen zu können, benötigt PhonerLite die Zertifikate der Zertifizierungsstellen (CA - Certificate Authority). PhonerLite hat das Root-Zertifikat von "CACert" (siehe www.cacert.org) eingebaut. Zertifikate von dieser Zertifizierungsstelle können also selbständig überprüft werden. Mit der oben genannten Option importiert PhonerLite die Zertifizierungsstellen, welche in Windows konfiguriert sind.
Nur mal so am Rande. Browser wie Mozilla Firefox verwalten selbständig auch Listen von Zertifizierungsstellen - die selbstverständlich von denen in Windows konfigurierten (und vom Internet-Explorer verwendeten) abweichen. In PhonerLite wollte ich keine solche Konfiguration nochmal einbauen, weshalb eben die von Windows verwendet wird. Das Importieren kann etwas dauern, weshalb man diese Option eben auch abschalten kann.

Wenn du PhonerLite zu PhonerLite rufst, brauchst du all diese Optionen nicht beachten.


Quote:
Werden selbst signierte Zertifikate akzeptiert?

Selbst signierte Zertifikate sind ganz normale Zertifikate, die du selber erzeugt hast, also du auch der Aussteller bist. Das dazugehörige Aussteller-Zertifikat (CA) kannst du ganz normal in Windows als "vertrauenswürdig" einstufen und dann wird auch dieses akzeptiert. Wenn du auf PC A ein solches Zertifikat erzeugst, dann musst du dieses auch auf PC B das Aussteller-Zertifikat importieren und als "vertrauenswürdig" einstufen. Das hat aber nichts mit PhonerLite zu tun, sondern ist normale Windows-Konfiguration.
  
Back to top
WWW  
IP Logged
 
deti
Junior Member
**
Offline



Posts: 93
Location: Prien am Chiemsee
Joined: 16. Dec 2006
Gender: Male
Re: Verschlüsselung mit TLS
Reply #21 - 24. Feb 2010 at 09:56
Print Post  
Vielen, vielen Dank für Deine ausführlichen Informationen!!! Vorerst sind damit all meine Fragen zur Verschlüsselten Kommunikation beantwortet!
Smiley
  
Back to top
WWW  
IP Logged
 
deti
Junior Member
**
Offline



Posts: 93
Location: Prien am Chiemsee
Joined: 16. Dec 2006
Gender: Male
Re: Verschlüsselung mit TLS
Reply #22 - 02. Mar 2010 at 14:01
Print Post  
Noch eine Nachfrage, werden "Nachrichten" auch verschlüsselt übertragen? Mit TLS oder muss auch SRTP an sein?
  
Back to top
WWW  
IP Logged
 
Phoner Admin
YaBB Administrator
*****
Offline



Posts: 11389
Location: Germany
Joined: 12. Oct 2003
Gender: Male
Re: Verschlüsselung mit TLS
Reply #23 - 02. Mar 2010 at 15:18
Print Post  
Du meinst mit "Nachrichten" diese Kurzmitteilungen, also den Pseudo-Chat? Ja, der würde bei TLS ebenfalls verschlüsselt übertragen.
SRTP dient nur zur Verschlüsselung der Sprachpakete.
  
Back to top
WWW  
IP Logged
 
deti
Junior Member
**
Offline



Posts: 93
Location: Prien am Chiemsee
Joined: 16. Dec 2006
Gender: Male
Re: Verschlüsselung mit TLS
Reply #24 - 02. Mar 2010 at 17:36
Print Post  
Phoner Admin wrote on 02. Mar 2010 at 15:18:
Du meinst mit "Nachrichten" diese Kurzmitteilungen, also den Pseudo-Chat?

Ja.

Danke!
  
Back to top
WWW  
IP Logged
 
deti
Junior Member
**
Offline



Posts: 93
Location: Prien am Chiemsee
Joined: 16. Dec 2006
Gender: Male
Re: Verschlüsselung mit TLS
Reply #25 - 20. Mar 2010 at 00:22
Print Post  
Phoner Admin wrote on 12. May 2007 at 21:20:
Mich wundert immer wieder, dass beim Thema Sicherheit/Verschlüsselung überall die Schlagworte TLS und SRTP fallen, aber es scheinbar niemand unterstützt.

Gibt es inzwischen Provider die TLS unterstützen?
  
Back to top
WWW  
IP Logged
 
Phoner Admin
YaBB Administrator
*****
Offline



Posts: 11389
Location: Germany
Joined: 12. Oct 2003
Gender: Male
Re: Verschlüsselung mit TLS
Reply #26 - 20. Mar 2010 at 07:56
Print Post  
  
Back to top
WWW  
IP Logged
 
deti
Junior Member
**
Offline



Posts: 93
Location: Prien am Chiemsee
Joined: 16. Dec 2006
Gender: Male
Re: Verschlüsselung mit TLS
Reply #27 - 22. Mar 2010 at 00:36
Print Post  
Wenn der eine TLS für die Verbindung zum SIP-Server benutzt und der andere nicht, dann wäre die Übertragung des Schlüssels für SRTP ja nur scheinbar sicher, ich Wirklichkeit aber nicht oder?
Gibt es eine Möglichkeit zu überprüfen ob der angerufene auch TLS benutzt um ggf. den Ruf abzubrechen oder zumindest darauf hingewiesen zu werden, dass der Ruf nicht wirklich sicher ist?
  
Back to top
WWW  
IP Logged
 
Phoner Admin
YaBB Administrator
*****
Offline



Posts: 11389
Location: Germany
Joined: 12. Oct 2003
Gender: Male
Re: Verschlüsselung mit TLS
Reply #28 - 22. Mar 2010 at 19:53
Print Post  
Nein, das siehst du nicht. Dafür bräuchtest du sowas wie ZRTP, was ich aber aus Lizenzgründen nicht einbauen kann.
  
Back to top
WWW  
IP Logged
 
deti
Junior Member
**
Offline



Posts: 93
Location: Prien am Chiemsee
Joined: 16. Dec 2006
Gender: Male
Re: Verschlüsselung mit TLS
Reply #29 - 22. Mar 2010 at 23:34
Print Post  
Phoner Admin wrote on 22. Mar 2010 at 19:53:
Dafür bräuchtest du sowas wie ZRTP, was ich aber aus Lizenzgründen nicht einbauen kann.

ZRTP hört sich interessant an und für den Anwender einfach und sicher! Hab mir mal die Seiten von Zfone gründlich durchgelesen. Werd bei Gelegenheit deren Produkt mal mit PhonerLite testen.

Phoner Admin wrote on 22. Mar 2010 at 19:53:
... , was ich aber aus Lizenzgründen nicht einbauen kann.

Tja, PhonerLite ist halt kein OpenSource Projekt...
  
Back to top
WWW  
IP Logged
 
Page Index Toggle Pages: 1 [2] 3 4 
Send TopicPrint