Nieuws
image

Skype encryptie deels onthuld

donderdag 8 juli 2010, 14:59 door Redactie, 15 reacties

Een bekende ontwikkelaar heeft een opensource Skype library beschikbaar gesteld die het encryptie algoritme van Skype emuleert. Skype gebruikt een aangepaste versie van het RC4 encryptie algoritme. De VoIP-aanbieder koos bewust voor aanpassingen van het genereren van de sleutels, om zo het product incompatibel met andere Instant Messaging clients te maken en ervoor te zorgen dat het een gesloten systeem bleef.

Details
De bevindingen van Sean O'Neil, bekend van het EnRUPT hash algoritme, betekenen niet dat het Skype encryptie algoritme gekraakt is. Onderzoekers proberen al jaren de versleuteling van de VoIP-client te reverse engineeren.

Veel details zijn niet bekend, maar O'Neil zal tijdens het Chaos Communication Congress in Berlijn (27C3) meer informatie prijsgeven. De website van O'Neil is op dit moment offline, zo meldt het Duitse Heise. Op verschillende dumpsites is Skype Library RC4 v1.108 nog wel te vinden.

Reacties (15)
08-07-2010, 15:22 door Sokolum
Security by obscurity werpt voor Skyp wel zijn vruchten af.
Normaal zou dit geen juiste methode zijn voor security. Wel blijkt deze methode lastig te zijn om de encryptie technieken te achterhalen. Dan vraag ik mij af waarom dit geen methode zou zijn voor toekomstige encryptie projecten? Dus toch terug naar obscurity?
08-07-2010, 15:23 door Anoniem
betekent dit dat skype encryptie niet afluisterbaar was tot nu toe?
08-07-2010, 15:32 door Anoniem
Met uitzondering van de Chinese Skype versies was/is dit inderdaad het geval zover ik weet.
08-07-2010, 15:59 door Anoniem
"betekent dit dat skype encryptie niet afluisterbaar was tot nu toe?"

Dat hangt niet alleen af van de vraag of de encryptie te kraken is, maar eveneens van de vraag of de encryptie uit te schakelen is ? Bedoel je overigens afluisterbaar met danwel zonder hulp van Skype ? Wat dat betreft zou je je vraag beter verder kunnen specificeren ;)
08-07-2010, 16:01 door Anoniem
Ook al weet je in het geval van open encryptie algoritmes precies hoe het werkt en hoe we het kunnen kraken, dan wil dat nog niet zeggen dat dat binnen afzienbare tijd mogelijk is. De bekende open algoritmes zijn juist zo sterk, omdat we precies weten hoe het werkt en omdat veel geleerden het erover eens zijn dat het niet sneller dan x te kraken is. Zo kan men beter afwegen hoe veilig iets is en of het veilig genoeg is voor een bepaalde taak.
08-07-2010, 16:06 door Anoniem
Jup het is het geval, alle verkeer van en naar skype server/clients is encrypted. VoIP/IM/Data Streaming
08-07-2010, 16:07 door Anoniem
Door Sokolum: Security by obscurity werpt voor Skyp wel zijn vruchten af.
Volgens mij niet. Ze hebben het goed geheim weten te houden, maar weet je nu of het daadwerkelijk veilig is ? Volgens mij was het zelfde bereikt als het een open encryptie was geweest met als bonus dat je dan ook zelf kan controleren of hij echt veilig is.
08-07-2010, 16:36 door Necrowizard
Door Anoniem: betekent dit dat skype encryptie niet afluisterbaar was tot nu toe?

Of overheids instanties hadden het al lang al gekraakt, maar niet bekend gemaakt. Best slim om het niet bekend te maken, zo kunnen ze criminelen (lees: iedereen) afluisteren, terwijl mensen denken dat ze vrij kunnen praten
08-07-2010, 17:58 door rob
Door Sokolum: Security by obscurity werpt voor Skyp wel zijn vruchten af.

Ik denk juist dat dit artikel aangeeft dat dit het enkel vertraagt. De insteek van Skype is in deze trouwens niet om obscurity te gebruiken om security te verbeteren, maar om de concurrentie af te slaan.

Normaal zou dit geen juiste methode zijn voor security. Wel blijkt deze methode lastig te zijn om de encryptie technieken te achterhalen. Dan vraag ik mij af waarom dit geen methode zou zijn voor toekomstige encryptie projecten? Dus toch terug naar obscurity?

Vooral bij encryptie is het geen goed idee. Hoewel de encryptie methode moeilijker te achterhalen is, is het niet onmogelijk. Er zijn genoeg encryptie methoden (ciphers, protocollen) e.d. die publiek zijn, en nog nooit gekraakt. Even buiten specifieke implementaties om, zijn die dus al jaren ongekraakt.

Er zijn echter heel veel voorbeelden van encryptiemethoden die in gesloten omgeving zijn ontwikkeld, die wel gekraakt zijn. Ik denk dat ook in het geval van Skype opgepast moet worden. Zodra het model van Skype reversed is, zullen cryptanalysis-experts de kans krijgen het te analyseren. Ik vrees dat hoe meer Skype is afgeweken van het RC4 algoritme, hoe waarschijnlijker dat het gekraakt kan worden.
08-07-2010, 18:51 door KwukDuck
Mensen, er is alleen deels bekend hoe de encryptie werkt, dit betekend niet dat het nu opeens afluisterbaar of kraakbaar is binnen op dit moment redelijke tijd.
08-07-2010, 19:14 door rob
De code is nu wel te downloaden: http://cryptolib.com/ciphers/skype/
08-07-2010, 19:19 door rob
btw het is niet opensource:

"All rights reserved.
Not for commercial use.
For academic research and educational purposes only."

Open source heeft niet dergelijke restricties..
09-07-2010, 09:40 door Skizmo
Who cares... Skype is crap. Als je security by obecurity gebruikt en als je bewust incompatible probeert te zijn mag je van mij wel oprotten.
09-07-2010, 11:25 door Anoniem
Who cares... Skype is crap. Als je security by obecurity gebruikt en als je bewust incompatible probeert te zijn mag je van mij wel oprotten.
Don't care, Skype is gratis en de defacto standaard geworden voor mensen in het buitenland. De rest boeit me weinig, behalve dat ze hele goede cryptie gebuiken, ook voor client-client verbindingen. Dat is wel heel goed.
29-07-2010, 01:00 door Anoniem
Het is helaas niet echt iets nieuws. Het algoritme en de werkwijze van de Skype encryptie is al jaren publieke informatie. Ik heb persoonlijk lang geleden een deel van de dll's geïnspecteerd en een API monitor erop gezet, daaruit bleek dat ze gewoon RC4 & AES gebruiken welke ze aanroepen op een Windows platform middels de Windows Crypto library. Precies wat we nu dus lezen. Ze gebruiken dus een native crypto library (Oftwel Skype doet helemaal niets met encryptie) buitenom genereren van een unieke sleutel middels Skype server. Stelt niets voor, ik begrijp de ophef hierom niet want zolang er geen notoire kwetsbaarheden zij in AES slaat het kant noch wal.

Vriendelijke groet,

Sasha van den Heetkamp
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure