Page Index Toggle Pages: 1 Send TopicPrint
Sticky Topic Verschlüsselung: TLS, SRTP & ZRTP (Read 17886 times)
Phoner Admin
YaBB Administrator
*****
Offline



Posts: 9273
Location: Germany
Joined: 12. Oct 2003
Gender: Male
Verschlüsselung: TLS, SRTP & ZRTP
08. Oct 2010 at 11:06
Print Post  
PhonerLite (und teilweise Phoner) unterstützt folgende Verschlüsselungsmethoden:

TLS:
  • Verschlüsselung der SIP-Verbindung
  • Es handelt sich dabei nicht um eine Ende-zu-Ende-Verschlüsselung. Wenn man also einen SIP-Server (Provider oder PBX) mit TLS-Unterstützung "dazwischen" hat, dann ist der SIP-Server selbstverständlich in der Lage die SIP-Nachrichten zu entschlüsseln - muss er ja auch, sonst könnte der Ruf ja nicht weitervermittelt werden
  • Nutzung von Zertifikaten

SRTP:
  • Verschlüsselung der Audiodaten (Sprache)
  • Normalerweise erfolgt der Austausch der Schlüssel dabei unverschlüsselt über die SIP-Verbindung. Deshalb macht SRTP auch nur im Zusammenspiel mit TLS Sinn, da man sonst die Schlüssel zum Dekodieren "erschnüffeln" kann.
  • Bei SIP-zu-SIP Gesprächen über einen SIP-Server ist keine Ende-zu-Ende Verschlüsselung gewährleistet, da der SIP-Server die Schlüssel ja kennt.

ZRTP:
  • ZRTP ist ein Protokoll, welches den gleichen Kommunikationsweg wie die Sprachdaten nimmt. Es erfolgt ein Schlüsselaustausch direkt zwischen den Gesprächspartnern.
  • Eine Ende-zu-Ende Verschlüsselung ist dabei gewährleistet, funktioniert jedoch nur bei SIP-zu-SIP Gesprächen.
  • ZRTP ist lediglich ein Protokoll zum Schlüsselaustausch. Danach werden die Audiodaten per SRTP mittels diese Schlüssel verschlüsselt.
« Last Edit: 29. Dec 2010 at 07:23 by Phoner Admin »  
Back to top
WWW  
IP Logged
 
brahman
YaBB Newbies
*
Offline


Phoner ist großartig!

Posts: 24
Joined: 16. Jul 2006
Re: Verschlüsselung: TLS, SRTP & ZRTP
Reply #1 - 28. May 2011 at 16:37
Print Post  
Danke für die wunderbaren Verschlüsselungsoptionen.

Ich hätte noch ein paar Fragen dazu:

1.) Ich habe bemerkt, daß man alle drei aktivieren kann: ZRTP, TLS & SRTP. 

Aber sind ZRTP und TLS gleichzeitig nicht doppelt gemoppelt?

2.) Wenn nur ZRTP aktiviert ist, wird dann auch immer gleichzeitig SRTP dazu geschaltet, oder könnte man dann fälschlicherweise das Schlosszeichen sehen, und denken daß der Anruf verschlüsselt ist aber tatsächlich nur ein Schlüsselaustausch ohne Verschlüsselung der Sprache stattfindet?

Danke.

Ich wünsche ein schönes Wochenende. Smiley

B.
  
Back to top
 
IP Logged
 
Phoner Admin
YaBB Administrator
*****
Offline



Posts: 9273
Location: Germany
Joined: 12. Oct 2003
Gender: Male
Re: Verschlüsselung: TLS, SRTP & ZRTP
Reply #2 - 28. May 2011 at 18:25
Print Post  
Quote:
1.) Ich habe bemerkt, daß man alle drei aktivieren kann: ZRTP, TLS & SRTP.
Aber sind ZRTP und TLS gleichzeitig nicht doppelt gemoppelt?

Bei TLS+SRTP werden die Schlüssel für SRTP innerhalb der SIP-Nachricht übertragen, deshalb ist ja TLS notwendig, damit nicht jeder die Schlüssel in Klartext sieht. ZRTP ist nur eine andere Variante die Schlüssel auszutauschen - eben für SRTP.

Wenn jemand mit PhonerLite direkt einen anderen mit PhonerLite anruft (also ohne SIP-Server oder IP-PBX dazwischen), dann genügt TLS+SRTP vollkommen. Wenn ein vermittelnder Server dazwischen ist, muss dieser ja die SIP-Nachrichten entschlüsseln (TLS) um zu sehen, an wen der Ruf überhaupt erreichen soll. Dabei liest der Server zwangsläufig auch die Keys für SRTP mit. Wenn du also dem SIP-Server nicht vertraust, solltest du zusätzlich ZRTP aktivieren, da dann die Keys direkt zwischen den Endstellen ausgetauscht werden.

Quote:
2.) Wenn nur ZRTP aktiviert ist, wird dann auch immer gleichzeitig SRTP dazu geschaltet, oder könnte man dann fälschlicherweise das Schlosszeichen sehen, und denken daß der Anruf verschlüsselt ist aber tatsächlich nur ein Schlüsselaustausch ohne Verschlüsselung der Sprache stattfindet?

ZRTP ohne SRTP bringt nichts. ZRTP tauscht nur die Schlüssel (Keys) aus - SRTP ver- und entschlüsselt dann die Sprachpakete damit.
  
Back to top
WWW  
IP Logged
 
brahman
YaBB Newbies
*
Offline


Phoner ist großartig!

Posts: 24
Joined: 16. Jul 2006
Re: Verschlüsselung: TLS, SRTP & ZRTP
Reply #3 - 28. May 2011 at 19:04
Print Post  
Danke für die gute Erklärung, und ich dachte bis jetzt immer TLS sei sinnlos in Zusammenspiel mit ZRTP und SRTP, aber jetzt ist mir durch Deine Antwort klar geworden, daß TLS durchaus in diesem Zusammenhang den Sinn hat, nicht die Addresse des Anzurufenden im Klartext anzugeben. 

Das wirft jetzt noch ein paar Fragen auf:

Phoner Admin wrote on 28. May 2011 at 18:25:

ZRTP ohne SRTP bringt nichts. ZRTP tauscht nur die Schlüssel (Keys) aus - SRTP ver- und entschlüsselt dann die Sprachpakete damit.


Ja, genau das ist auch mein Wissensstand. Deswegen meine ich, daß  es gut und sicher und für Normalnutzer transparent und leicht zu bedienen wäre, wenn Phonerlite *automatisch* SRTP aktiviert, wenn ZRTP gewählt wird.

Würde das Schloss auch angezeigt, wenn kein SRTP dazugeschaltet ist?

Im Debug Log kann ich sehen, daß ZRTP benutzt wird durch z.B.:
"17:51:21,406: R: ZRTP: encrypted
fupo"

Wie kann man im Log erkennen, ob auch SRTP verwendet wird?

Ist es möglich daß die Gegenstelle nur ZRTP (ohne SRTP) verwendet, und man glaubt eine verschlüsselte Verbindung zu haben, weil das Schlosssymbol zu sehen ist, aber dennoch die Verbindung kein SRTP benutzt und somit nicht verschlüsselt ist?

Vielen Dank für Deinen Einsatz.
  
Back to top
 
IP Logged
 
Phoner Admin
YaBB Administrator
*****
Offline



Posts: 9273
Location: Germany
Joined: 12. Oct 2003
Gender: Male
Re: Verschlüsselung: TLS, SRTP & ZRTP
Reply #4 - 28. May 2011 at 19:26
Print Post  
Wenn keine Verschlüsselung aktiv ist, dann gibt es auch kein entsprechendes Symbol. Für SRTP und TLS gibt es zwei separate Symbole. Wenn SRTP über ZRTP zustande kam, dann sieht man das auch über den entsprechenden Tooltip - siehe dazu auch hier.
  
Back to top
WWW  
IP Logged
 
Roland Schweiger
YaBB Newbies
*
Offline


Phoner is great!

Posts: 5
Joined: 24. Jun 2012
Re: Verschlüsselung: TLS, SRTP & ZRTP
Reply #5 - 24. Jun 2012 at 15:10
Print Post  
PhonerLite zu PhonerLite Gespräche: gibt es da eine einfache Verschlüsselung mit Kennwort?

Die Frage ist mehr aus Kuriosität / Neugier. Folgende Idee.
Die "peer-to-peer" Direktgespräche nutze ich öfter, auch über ipv6, also bei registrarlosem SIP Anrufe in der Form
123456@[ipv6-Adresse des Computers]

Nun würde mich mal interessieren ob man tatsächlich die Audiodaten einfach verschlüsseln könnte, zB durch Eingabe eines Passwords auf beiden Seiten, welches dann nach dem AES Standard oder einfaches XOR o.ä. funktioniert.
Bzw. welche sinnvolle Art gibt es die Audiodaten bei "Direktgesprächen" zu verschlüsseln ohne dass man auf Zertifikate angewiesen ist?
Wie gesagt es ist hier miehr das Interesse als die Notwenidgkeit.

Bin insgesamt von Phoner sehr begeistert - bitte weiter machen!
lg aus Wien

Roland Schweiger
  
Back to top
 
IP Logged
 
Phoner Admin
YaBB Administrator
*****
Offline



Posts: 9273
Location: Germany
Joined: 12. Oct 2003
Gender: Male
Re: Verschlüsselung: TLS, SRTP & ZRTP
Reply #6 - 25. Jun 2012 at 08:22
Print Post  
Zertifikate benötigt man lediglich bei TLS-Verbindungen, wenn also die Rufsignalisierung verschlüsselt ablaufen soll. Aber auch das sollte ohne Zertifikats-Konfiguration funktionieren. In diesem Fall wird ein eingebautes Default-Zertifikat benutzt. Die Authentifizierung ist damit zwar nicht gewährleistet, aber die Verschlüsselung sehr wohl!
Um die Audio-Daten zu verschlüsseln, nutzt PhonerLite SRTP. Dabei wird automatisch ein AES-Key (pro Ruf jeweils neu) erzeugt - den kann man leider nicht manuell vorgeben. Auch bei Nutzung von ZRTP erfolgt eine Verschlüsselung der Audio-Daten - dabei kommt ebenfalls ein automatischer Schlüsselaustausch (Diffie-Hellman-Schlüsselaustausch) zum Zuge.
Ob man dabei nun IPv4 oder IPv6 nutzt - sollte keinerlei Unterschied darstellen.
  
Back to top
WWW  
IP Logged
 
Page Index Toggle Pages: 1
Send TopicPrint