Skype mist voor nog altijd onbekende reden een belangrijke beveiligingsmaatregel die afluisteren door bijvoorbeeld inlichtingendiensten moet tegengaan. Skype beweert dat de VoIP-gesprekken die gebruikers voeren 'end-to-end' versleuteld zijn. Een probleem met de opstelling van Skype is dat de dienst de rol van certificate authority voor gebruikers speelt.
Net zoals bij andere certificate authorities zou Skype het afluisteren kunnen faciliteren door de verkeerde sleutels aan derde partijen af te staan. Dit probleem is al geruime tijd bekend. Vorig jaar stelde privacyonderzoeker Chris Soghoian dat Skype het ontwerp moest aanpassen, of anders het risico duidelijker naar gebruikers toe moest communiceren.
Verificatie
Een manier om man-in-the-middle-aanvallen te voorkomen is dat Skype gebruikers de mogelijkheid geeft om hun eigen encryptiesleutels te laten verifiëren, zonder van de Skype-dienst afhankelijk te zijn. Een beveiligingsmaatregel die veel andere versleutelde communicatietools toepassen.
Skype mist deze optie echter, ook al werd het in 2011 door de Amerikaanse digitale burgerrechtenbeweging EFF gevraagd om de feature toe te voegen. Inmiddels zijn er twee jaar verstreken en is er nog altijd geen sleutelverificatie aan Skype toegevoegd, zo laat de Electronic Frontier Foundation (EFF) weten.
Microsoft
Volgens de EFF is dit gezien recente uitspraken van Microsoft een probleem. "Gebruikers moeten precies weten hoe de communicatietechnologieën die ze gebruiken ze wel of niet beschermen. Als Microsoft redenen heeft om aan te nemen dat deze situatie zal veranderen, moeten we weten wat die redenen zijn."
Deze posting is gelocked. Reageren is niet meer mogelijk.