image

'Skype mist belangrijke bescherming tegen afluisteren'

vrijdag 19 juli 2013, 06:42 door Redactie, 13 reacties

Skype mist voor nog altijd onbekende reden een belangrijke beveiligingsmaatregel die afluisteren door bijvoorbeeld inlichtingendiensten moet tegengaan. Skype beweert dat de VoIP-gesprekken die gebruikers voeren 'end-to-end' versleuteld zijn. Een probleem met de opstelling van Skype is dat de dienst de rol van certificate authority voor gebruikers speelt.

Net zoals bij andere certificate authorities zou Skype het afluisteren kunnen faciliteren door de verkeerde sleutels aan derde partijen af te staan. Dit probleem is al geruime tijd bekend. Vorig jaar stelde privacyonderzoeker Chris Soghoian dat Skype het ontwerp moest aanpassen, of anders het risico duidelijker naar gebruikers toe moest communiceren.

Verificatie
Een manier om man-in-the-middle-aanvallen te voorkomen is dat Skype gebruikers de mogelijkheid geeft om hun eigen encryptiesleutels te laten verifiëren, zonder van de Skype-dienst afhankelijk te zijn. Een beveiligingsmaatregel die veel andere versleutelde communicatietools toepassen.

Skype mist deze optie echter, ook al werd het in 2011 door de Amerikaanse digitale burgerrechtenbeweging EFF gevraagd om de feature toe te voegen. Inmiddels zijn er twee jaar verstreken en is er nog altijd geen sleutelverificatie aan Skype toegevoegd, zo laat de Electronic Frontier Foundation (EFF) weten.

Microsoft
Volgens de EFF is dit gezien recente uitspraken van Microsoft een probleem. "Gebruikers moeten precies weten hoe de communicatietechnologieën die ze gebruiken ze wel of niet beschermen. Als Microsoft redenen heeft om aan te nemen dat deze situatie zal veranderen, moeten we weten wat die redenen zijn."

Reacties (13)
19-07-2013, 07:53 door Anoniem
'Skype mist belangrijke bescherming tegen afluisteren'

Is er geen wettelijke verplichting voor Microsoft om te zorgen dat Skype gesprekken aftapbaar zijn in het kader van lawful interception, m.a.w. heeft Microsoft een keuze ?
19-07-2013, 10:40 door spatieman
onbekende reden ??
het mag gewoon niet van de NSA, mede omdat ook microsoft met de broek naar onder gaat richting de NSA.
19-07-2013, 11:10 door [Account Verwijderd]
[Verwijderd]
19-07-2013, 11:15 door Anoniem
Door Stoeprand:
Ja leuk, maar nu hebben ze dat verhaal van jou in hun systeem, dus ze weten dat je niet in klare taal gaat
praten maar in codes. En als je een beetje dom geweest bent en die codes meteen hebt afgesproken via
dezelfde sessie, dan hebben ze meteen ook al je woordenboek van codes.

Deze methode is al zo oud als de misdaad, en natuurlijk kennen ze die bij inlichtingendiensten.
Dus daar ga je echt niks mee beveiligen. Hooguit wat gegrinnik veroorzaken.
19-07-2013, 11:31 door Fwiffo
Fingerprints verifiëren is niet triviaal. Zeker niet voor de gemiddelde Skype gebruiker.
En als dit lukt, dan weet je nog niet wie aan de andere kant van de lijn zit. Daarvoor zul je echt iemand in persoon moeten ontmoeten en om zijn paspoort vragen zodat je weet wie het is. Dit probleem speelt ook bij PGP. Daarom heb je daar ook keysigning parties.

Met anonieme technieken als TOR is het probleem nog een orde van grootte erger. Als je iemand je MITM key weet te slijten immers, en die gebruikt die, dan weet je door de gelaagde TOR encryptie heen wie het was.
Het enige wat hiervoor nodig is is de geheime sleutel van de directory servers van TOR (of een aangepaste executable).

Verder wordt nog 1024 bit RSA/DH encryptie gebruikt op veel plaatsen. Die sleutels heeft de NSA zo gekraakt. Zelfs zonder wiskundige technieken die alleen zij weten en de publieke wetenschap niet. Vroeger had je de RSA challenges, maar daar zijn ze al een tijdje mee gestopt nadat 768 bits RSA gekraakt was (heel lang geleden al). 1024 bit is niet veilig.
19-07-2013, 13:10 door [Account Verwijderd]
[Verwijderd]
19-07-2013, 13:48 door freediver
Wou dat ik programmeren kon en mijn eigen Skype variant in een open source project met eigen sleutels kon ontwerpen. Je weet pas wat je hebt, als je het zelf gemaakt hebt.

Skype 3.8.0.188 was de laatste goed werkende versie op de computer. Klein en Fijn. Maak er nog steeds gebruik van ondanks de aggresieve automatische updates die willen updaten, maar die schakel je uit in de eigenschappen zeer kort na het installeren.

Ik zou het toch fijn vinden nu met al die laatste onthullingen om over een "europees" o.s. project te vernemen die de Skype wereld gaat veroveren. Dus een softwareboer die zijn hoofdzit in de EU heeft.
19-07-2013, 13:59 door [Account Verwijderd]
[Verwijderd]
19-07-2013, 15:14 door Anoniem
"Aangezien iedereen zijn eigen methode van codering kan opstellen (die ook niet bij cryptoanalisten bekend is) is de code vrijwel onkraakbaar. Ik zeg vrijwel, omdat honderd procent secure niet bestaat."

Hoe kraakbaar encryptie is hangt meer af van de sterkte van de encryptie dan van de vraag hoe obscuur de encryptie methode is. Een zwakke eigen methode van codering is bijvoorbeeld zeer kraakbaar.
19-07-2013, 15:17 door Anoniem
"Ja leuk, maar nu hebben ze dat verhaal van jou in hun systeem, dus ze weten dat je niet in klare taal gaat praten maar in codes. En als je een beetje dom geweest bent en die codes meteen hebt afgesproken via dezelfde sessie, dan hebben ze meteen ook al je woordenboek van codes."

Tja, als je een encrypted bestand stuurt in combinatie met de decryptie key, dan werkt encryptie niet. Als je een slot op je huisdeur hebt zitten, en buiten de sleutel naast het slot ophangt, dan werkt access control niet.

"Deze methode is al zo oud als de misdaad, en natuurlijk kennen ze die bij inlichtingendiensten. Dus daar ga je echt niks mee beveiligen. Hooguit wat gegrinnik veroorzaken."

Indien je de codes deelt via hetzelfde kanaal dan heb je natuurlijk volledig gelijk. Verder is er vaak uit de context meer op te maken bij codes. Drugsdealers gebruiken vaak code woorden voor hun troep, en de recherche weet meestal vrij goed waar zij het dan over hebben ;)
20-07-2013, 17:19 door Anoniem
Door Anoniem: Indien je de codes deelt via hetzelfde kanaal dan heb je natuurlijk volledig gelijk. Verder is er vaak uit de context meer op te maken bij codes. Drugsdealers gebruiken vaak code woorden voor hun troep, en de recherche weet meestal vrij goed waar zij het dan over hebben ;)

Het feit dat je codes gebruikt wordt in ieder geval bij bepaalde rechtzaken als extra bezwarend gezien. Als de politie van een aantal zaken harde bewijzen hebben en ook nog een aantal telefoongesprekken met codes, wordt er vanuit gegaan dat die gesprekken ook over hetzelfde soort misdrijven gaat.

Peter
21-07-2013, 11:39 door Anoniem
Door freediver:
Ik zou het toch fijn vinden nu met al die laatste onthullingen om over een "europees" o.s. project te vernemen die de Skype wereld gaat veroveren. Dus een softwareboer die zijn hoofdzit in de EU heeft.
Maar dat zegt helemaal niks, zeker op de lange termijn.
Skype was immers op en top een Europees product, en het is in het begin ook heel innovatief gebouwd met puur
peer-to-peer verbindingen.
Maar de commercie heeft gewonnen en het is verkocht aan Microsoft die er meteen in is gaan spitten om alles via
hun eigen servers te leiden zodat ze alles ook kunnen loggen en tracen.

Ik vind ook dat er een nieuw (open?) project zou moeten komen om weer te realiseren wat Skype in het begin was,
maar ik maak me geen illusies over hoe het daarmee zou aflopen.
Als het echt niet af te luisteren is dan komt er natuurlijk gezeur.

Je zult om te beginnen al moeten zorgen dat er echt geen bedrijf of andere aan te pakken entiteit in voorkomt.
Skype was wel peer-to-peer voor de communicatie, maar er was wel een centrale server die de informatie over waar
een bepaalde gebruiker zich bevindt (en zijn password) bijhield. Daar moeten we dus vanaf, want als er zo'n server
is dan is daar een eigenaar van en die is dan weer aan te pakken cq te sommeren om dingen anders te gaan doen.

Als je alleen maar een blob software hebt die open-source ontwikkeld wordt en die draait op miljoenen computers
die samen het gebruikersnetwerk vormen, dan is dat natuurlijk lastiger. Iedereen kan de source inzien maar niemand
is er aan te spreken om een tap te maken of gebruikersgegevens te overhandigen.

Of zo iets te realiseren is, en of het overeind blijft in deze tijden van staats inlichtingendiensten die alles willen weten
dat is de vraag.
21-07-2013, 12:34 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.