Sure, "miljarden" betalen om Skype te kraken. Voor miljarden verkoopt skype die encryptie echt wel aan de NSA.

Het gaat niet om het verkopen van "encryptie". Skype maakt gebruik van public key authentication, waardoor het technisch niet mogelijk is de encryptie te ontsleutelen zonder de private key van de ontvanger te bezitten. Ze zullen dus voor zo'n samenwerking met de NSA het encryptie schema moeten aanpassen, en de vraag is of skype dan nog aantrekkelijk gevonden zal worden door de mensen die ze willen afluisteren...

Lijkt me juist een offensief om Skype te laten gebruiken door boven. Zij wanen zich veilig en de encryptie is allang gekraakt of Skype heeft een achterduertje...

Ik dacht dat het protocol van Skype al door Chinezen was gereverse-engineerd?

Nu is het nog een kwestie van DNS poisening.

binnenkort te downloaden....
buiten dat je je CPU terbeschikking voor het zoeken naar ET stelt.

de NSA skype de'encryption tool, voor het wereldwijd mee laten rekenen voor het te kraken encryptie

Ach, wat een wazig verhaal. NSA blijft natuurlijk obscuur met dit soort dingen. Waarschijnlijk willen ze criminelen onterecht laten geloven dat Skype volkomen onafluisterbaar is. Vervolgens gaan de criminelen dit gebruiken en beschikt NSA toch over een mooie afluistermogelijkheid...

Alles is afluisterbaar.
Hoe sterker de illusie, des te meer er te halen valt.

Hier geloof ik niet veel van, zoals de blackberry mythe, de Indische regering heeft die encryptie toch ook al gekraakt gekregen:).

mietjes.

Uiteindelijk is alles af te luisteren of te bekijken,ik ben wat dat betreft erg argwanend.

@Rookie:
SIP heeft op zich niets met voip te maken, maar wordt er natuurlijk wel voor gebruikt. Het is een protocol om elkaar te vinden kort samengevat, en uit te wisselen wat elke partij aankan (in geval van voip dus verschillende codecs). SIP is zo populair wegens zijn eenvoud (trekt op http, ook wat op mail omwille van headers).

Skype is een kant en klaar protocol/programma om met elkaar te praten, het is een closed protocol. Als Skype ook SIP had gebruikt waren ze waarschijnlijk veel groter geweest. Maar soms maak je een beslissing die je niet meer terug kunt draaien.

Afluisteren kan altijd. Als je zelf ALLES gedaan hebt om niet afgeluisterd te worden moet de andere kant van de lijn dit ook doen. Anders is er toch nog af te luisteren. Beide een 3DES/AES key en/of Certificaten en dan End-To-End encryptie is een optie. Maar als er een achterdeurtje in de software zit kun je dat net zo goed achterwege laten.

Grappig dat je nooit wat hoort over IPSEC (3DES / AES) verbindingen, die zijn dan al duidelijk gekraakt ;-)

Dat is het punt juist, Skype gebruikt certificaten voor end-to-end encryptie. Lees http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf om te leren hoe skype encryptie in elkaar zit. En natuurlijk kan je dan de conversatie aftappen, maar dan heb je een berg data die je moet zien te decrypten... succes. Als het skype protocol aftapbaar is, zijn SSL en PGP dat ook.

If it looks like a duck, and quacks like a duck, we have at least to consider the possibility that we have a small aquatic bird of the family anatidae on our hands.... Spin, quite obviously.... spin !

De backdoor in Skype is er al langer en wellicht langer dan wij allen vermoeden:

http://blog.tmcnet.com/blog/tom-keating/skype/skype-backdoor.asp

http://www.h-online.com/security/Speculation-over-back-door-in-Skype--/news/111170

De enige grond waarom berichten als het onderhavige bericht in de wereld worden gezet, is om criminelen te verleiden om vooral Skype voor hun duistere activiteiten te gebruiken. En 'guess what' ? Zware jongens weten dit al lang en vermaken zich kostelijk.

"Het gaat niet om het verkopen van "encryptie". Skype maakt gebruik van public key authentication, waardoor het technisch niet mogelijk is de encryptie te ontsleutelen zonder de private key van de ontvanger te bezitten. "

Tenzij je in samenwerking met Skype een functionaliteit regelt waarmee je kan forceren dat bepaalde gebruikers unencrypted kunnen communiceren...

Sommige diensten hebben al eens aangegeven helemaal niet zo'n probleem te zien in het afluisteren van Skype, zie bijvoorbeeld onderstaande :

Austrian official fuels Skype backdoor rumours
http://www.theregister.co.uk/2008/07/25/skype_backdoor_rumours/

"En natuurlijk kan je dan de conversatie aftappen, maar dan heb je een berg data die je moet zien te decrypten... succes."

Klopt, en dat is nou juist de specialiteit van de NSA. Die daarvoor ook apparatuur heeft die 'ietsje' krachtiger is dan waar de gemiddelde gebruiker over beschikt (supercomputers, eventueel in clusters).

"Als het skype protocol aftapbaar is, zijn SSL en PGP dat ook."

En je denkt dat de NSA geen PGP encryptie kan kraken om maar een voorbeeld te noemen ?

De enige vraag is hoeveel moeite ze hiervoor willen doen.

Ik denk inderdaad dat ze dat niet kunnen. De keysizes zijn expres zo gekozen dat decryptie zonder hulp van quantumcomputers (die nog zuiver theoretisch zijn) niet feasible is.

Noem me eens één stukje software dat niet minstens één 'backdoor' bevat ?!

Prima. Ik noem je een mateloos populair stukje software, dat op alle linux boxes geïnstalleerd is: "ls"
Het is open source, dus wijs de backdoor maar aan.

Hetzelfde geldt voor grotere pakketten als apache, de linux kernel zelf, bind, noem maar op. Als het open source en populair is, heeft er een community naar gekeken en kan je er vanuit gaan dat er geen backdoors in zitten. Weer een reden om alleen open source te gebruiken voor security kritische toepassingen als dit.

Overigens moet je een backdoor niet verwarren met een vulnerability of lek, een backdoor is met opzet aangebracht.

Skype maakt gebruik van encryptie software die al in Windows aanwezig is. De zogenaamde: ADVAPI32.DLL en CRYPT32.DLL Maar wist men ook dat deze dynamic link libraries deels zijn geschreven door de NSA? Natuurlijk, denk maar niet dat de NSA het toestaat dat er een sleutel grootte van boven de 128 bits wordt geëxporteerd in software uit eigen land, omdat 128 Bits al flink wat jaren voor de NSA nog te kraken is. Sommigen zeggen dat de NSA hier al jaren de middelen voor had, en ik sluit me daar bij aan. Het is niet voor niets dat er een maximale grootte zit aan de encryptie sleutel grootte.

Pikant detail is dat Andrew Fernandez een aantal jaar geleden had ontdekt dat er in de ADVAPI32.DLL twee sleutels aanwezig waren, de naam van die variabel kon hij achterhalen door reverse-engineering. En wat bleek? een van die sleutels had als naam: "NSAKEY". Later is dit door Microsoft verwijderd of heeft de sleutel variabele een andere naam gegeven. Ben er zelf ook eens mee bezig geweest en ik zie in de API spy dat ze constant Microsoft DLL inladen, waaronder het gebruik van MD4 (allemachtig ik hoop voor RSA) en DES. Ik las dat ze SHA1 gebruiken, maar ik heb daar zelf (tot heden) niets van gezien.

Ik denk dat je er van op aan kunt dat je Skype verkeer niet veilig is. Het zou tamelijk naïef zijn om te suggereren dat men niet de mogelijkheden heeft terwijl de NSA zelf broncode toevoegt en wijzigt. Misschien dat de politie geen toegang heeft, maar die heeft ook een totaal andere "level of clearance" dan de NSA. Ik geloof het artikel dus ook niet, en ga ervan uit dat iemand gewoon interessant wilde doen, of gewoon bij justitie werkt. De NSA gaat natuurlijk niet al hun bronnen inzetten voor een of andere kruimeldief.

Maar uiteraard, je moet zelf bepalen wat je met deze informatie doet.

Groet,

Ronald van den Heetkamp

Skype maakt gebruik van encryptie software die al in Windows aanwezig is. De zogenaamde: ADVAPI32.DLL en CRYPT32.DLL Maar wist men ook dat deze dynamic link libraries deels zijn geschreven door de NSA? Natuurlijk, denk maar niet dat de NSA het toestaat dat er een sleutel grootte van boven de 128 bits wordt geëxporteerd in software uit eigen land, omdat 128 Bits al flink wat jaren voor de NSA nog te kraken is. Sommigen zeggen dat de NSA hier al jaren de middelen voor had, en ik sluit me daar bij aan. Het is niet voor niets dat er een maximale grootte zit aan de encryptie sleutel grootte.

Pikant detail is dat Andrew Fernandez een aantal jaar geleden had ontdekt dat er in de ADVAPI32.DLL twee sleutels aanwezig waren, de naam van die variabel kon hij achterhalen door reverse-engineering. En wat bleek? een van die sleutels had als naam: "NSAKEY". Later is dit door Microsoft verwijderd of heeft de sleutel variabele een andere naam gegeven. Ben er zelf ook eens mee bezig geweest en ik zie in de API spy dat ze constant Microsoft DLL inladen, waaronder het gebruik van MD4 (allemachtig ik hoop voor RSA) en DES. Ik las dat ze SHA1 gebruiken, maar ik heb daar zelf (tot heden) niets van gezien.

Ik denk dat je er van op aan kunt dat je Skype verkeer niet veilig is. Het zou tamelijk naïef zijn om te suggereren dat men niet de mogelijkheden heeft terwijl de NSA zelf broncode toevoegt en wijzigt. Misschien dat de politie geen toegang heeft, maar die heeft ook een totaal andere "level of clearance" dan de NSA. Ik geloof het artikel dus ook niet, en ga ervan uit dat iemand gewoon interessant wilde doen, of gewoon bij justitie werkt. De NSA gaat natuurlijk niet al hun bronnen inzetten voor een of andere kruimeldief.

Maar uiteraard, je moet zelf bepalen wat je met deze informatie doet.

Gelukkig gebruik ik Skype op Mac OS X, dat geleverd wordt met OpenSSL...

Waarom roept bijna iedereen maar zonder na te denken?
Je kan het allemaal kraken. Het stelt niet veel voor als je een FPGA Box hebt en een hele ( Pre-Auth ) PCAP hebt.
Het kost alleen tijd.

Het lijkt hier wel tweakers.

Herstel; je hebt gelijk, ik was vergeten te vermelden dat ik hier commerciële software (closed source) bedoel.