Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties
Bron: TG Daily

Pgp-ontwikkelaar Phil Zimmermann wil zijn cryptografie-kennis gaan richten op het veiliger maken van voip-toepassingen. Tijdens de Black Hat-bijeenkomst in Las Vegas toonde hij zijn oplossing: Zfone.

Phil ZimmermannZfone gebruikt het door Zimmermann ontwikkelde zrtp-protocol en nestelt zich in de tcp/ip-stack. De tool codeert al het voip-verkeer dat gebruikmaakt van het sip- en rtp-protocol naar de zrtp-standaard. De techniek gebruikt een tunnelverbinding tussen de communicerende partijen die vergelijkbaar is met een vpn. Aan elk datapakketje worden vier authenticatiebytes toegevoegd, terwijl de inhoud met Aes 128-bit of een sterker encryptie-algoritme wordt gecodeerd. Zimmermann heeft zrtp vorig jaar in een draftversie als een standaardprotocol voorgesteld bij het IETF ingediend. Zfone is beschikbaar als opensource. Zimmermann stelde tijdens zijn presentatie dat de techniek vrijwel alle huidige telefonietoepassingen over datanetwerken kan beveiligen. Ook zal de Zfone-software in de toekomst toegepast gaan worden in hardwarematige voip-telefoons; een aantal bedrijven heeft volgens de wereldberoemde cryptograaf al belangstelling getoond voor zijn werk.

Beveiligingsexperts menen vrijwel unaniem dat een solide en open encryptieprotocol voor het alsmaar toenemende voip-verkeer hard nodig is; Zimmermann's oplossing komt dan ook als geroepen. Het zou voor criminelen, en overheidsinstanties die zich weinig aantrekken van de privacywetten, steeds aantrekkelijker en eenvoudiger worden om onbeveiligde gesprekken af te tappen. Daarnaast gebruiken bedrijven als Skype zelfontwikkelde, gesloten encryptiemethoden. Hierdoor is het onmogelijk om vast te stellen of deze veilig genoeg zijn en geen geheime achterdeurtjes bevatten. Zimmermann zei tijdens zijn Black Hat-bijdrage dat er al genoeg software bestaat om gesprekken heimelijk op te nemen, om deze later in de vorm van een wav-bestand op afstand binnen te halen of te beluisteren.

Zimmermann zal ondanks het opensourcemodel van Zfone niet zonder inkomsten achterblijven. Zijn team heeft een sdk ontwikkeld, waardoor het voor bedrijven eenvoudiger en goedkoper wordt om de encryptietechnologie in hun hard- en software te implementeren. Voor elke verkochte kit zal Zimmermann een bedrag vragen. Zijn hoop is nu dat Zfone zal uitgroeien tot de de facto standaard.

Gerelateerde content

Alle gerelateerde content (28)
Moderatie-faq Wijzig weergave

Reacties (39)

We zitten op MSN met ons BrEeZaH sletje te OH'en
Praten met onze vrienden met de afluisterbare GSM
Zeggen opa en oma nog even gedag via de afluisterbare vaste lijn
Gebruiken met z'n allen onze persoonlijk geindexeerde gmail account
Zetten ons hele prive leven online op hyves, myspace, blogs, forums of persoonlijk homepages
We komen niet in opstand als onze regeringen Patriot Acts, afluister wetten, ISP data opslag verplichtingen en wat nog verzinnen om ons in de gaten te kunnen houden onder het mom van terrorisme

En vervolgens maken we ons druk over encryptie van VOIP.

We hebben onze privacy al lang geleden te grabbel gegooid en het is inmiddels al jaren te laat om er nu nog wat aan te doen. We hebben al geen privacy meer.

En de enigen die zich rotlachen zijn de badguys die heel ordinair lowtech dingen gebruiken als disposable cell phones en volledig buiten schot blijven met dit soort dingen.

Ja, we hebben echt VOIP encryptie nodig.

Ik mag misschien een beetje cynisch overkomen, maar helaas is dit wel de werkelijkheid voor het grootste deel van de bevolking, inclusief de bezoekers van T-net.
Je hebt gelijk. Ik spreek veel mensen over inperken van privacy op het internet en in het dagelijkse leven.
Steevast is het antwoord; 'ik heb toch niks te verbergen?". Dat geeft al wel aan hoe onze medeburgers met hun privacy begaan zijn. En dit zie je ook op T-net terug in veel reacties, dus waar doen we het dan allemaal voor? Waarom moeten wij ons druk maken over privacy als de meeste mensen het blijkbaar niet interesseert?
Als het erom gaat, wat de meeste mensen vinden, dan kan ik wel inpakken. Ik maak meestal mijn eigen keuze. De meerderheid heeft geen idee.

Je moet je echt niet druk maken over privacy. Download de film 1984 maar es. Ga nog eens kijken bij een oorlogsmonument om te lezen over "zij die vielen voor onze vrijheid".

Maar dat kunnen die mensen niet helpen. They are watching Big Brother.
They are watching Big Brother
hmmm, mooi toch? zolang ze daarnaar zitten te kijken kunnen ze ons niet bespioneren :+
. Download de film 1984 maar es.

Wat is er mis met huren via de Videotheek?
Oh, wacht. Dat wordt natuurlijk ook geregistreerd door middel van je pasje. :+

Maar dat kunnen die mensen niet helpen. They are watching Big Brother.

Ja, dat moesten ze van jou :P
veilig, open en bijna gratis.... het leven is mooi ....

en het is echt wel nodig dat voip geëncrypteerd wordt , je wil toch ook niet dat ze zonder ook maar hun hand om te draaien kunnen meeluisteren...
Ja mee eens, natuurlijk verzinnen organisaties als de BVD altijd wel een manier om af te tappen, maar dat is het probleem niet. Tegen bedrijfsspionage e.d. is het erg belangrijk dat voip beveiligd is. Dat wordt zwaar onderschat, het is zo makkelijk netwerk verkeer af te luisteren.
Ja mee eens, natuurlijk verzinnen organisaties als de BVD altijd wel een manier om af te tappen, maar dat is het probleem niet.
Ahum... alles op internet is af te tappen. Of het bruikbaar is, is punt 2.

Als beide kanten van de verbinding de tijdelijke symmetrische sleutel weggooien aan het einde van elk gesprek, dan kan je zelf het gesprek achteraf niet meer decoderen... maar dan lukt het anderen ook niet meer. :)
Als beide kanten van de verbinding de tijdelijke symmetrische sleutel weggooien aan het einde van elk gesprek
nog leuker: tijdens het gesprek/sessie/whatever re-keying doen. Mijn Wireless Accesspoint doet dat met WPA, en dat maakt het pas echt moeilijk om nog iets te achterhalen.
Als dit standaard gaat worden gaat de overheid vast een wet invoeren die providers verplicht encrypted voip te blocken. Als ze niet meer kunnen aftappen is de enige manier waarop de politie in Nederland nog een crimineel kan vangen met een laser/radar achter een boom gaan staan.
Het probleem is dat het verschil tussen encrypted en 'gewoon' verkeer niet zo heel groot is. De bits zijn wat meer gerandomiseerd, maar om dat te gaan onderzoeken moet je al aan deep-packet inspection doen en vergelijken met samples wat heel duur is (niet alleen de hardware, maar ook de cpu-tijd).

De enige manier waarop de politie zou MOGEN aftappen (met laser of aan de lijn) is als ze een duidelijke reden en gerechterlijk bevel hebben om dit te doen. Tegenwoordig vinden veel politiestaten (zoals de EU en VS) dat ze zomaar alles mogen aftappen om iemand te vinden in die hoop mensen die misschien er iets mee zou te maken hebben en alle methoden die ertegenin gaan betekenen dat je zowiezo schuldig bent.
Tegenwoordig vinden veel politiestaten (zoals de EU en VS) dat ze zomaar alles mogen aftappen om iemand te vinden in die hoop mensen die misschien er iets mee zou te maken hebben en alle methoden die ertegenin gaan betekenen dat je zowiezo schuldig bent.
Wat is er gebeurd met "onschuldig tot het tegendeel is bewezen"?
En voor zover ik weet kun je niet gedwongen worden om mee te helpen aan je eigen veroordeling.
Dat je mischien meer verdacht bent als je dingen loopt te encrypten, is wat anders.

* TD-er zal dan wel behoorlijk verdacht zijn...
Dat je mischien meer verdacht bent als je dingen loopt te encrypten
En daarom zou iedereen standaard alles moeten encrypten. Vergelijk het met briefpost: als iedereen ansichtkaarten verstuurt en alleen jij een gesloten envelop zou dat als 'verdacht' kunnen worden aangemerkt. Als iedereen gesloten enveloppen verstuurt valt jouw envelop niet op.
met de patriot act en nog zo wat meer in amerika is daar geen sprake van.. ze hoeven je alleen te labelen als verdacht van terrorisme en ze kunnen je preventief opsluiten zolang ze willen...
http://arstechnica.com/ar...-meets-net-neutrality.ars

"Throttle me this: An introduction to DPI

Imagine a device that sits inline in a major ISP's network and can throttle P2P traffic at differing levels depending on the time of day. Imagine a device that allows one user access only to e-mail and the Web while allowing a higher-paying user to use VoIP and BitTorrent. Imagine a device that protects against distributed denial of service (DDoS) attacks, scans for viruses passing across the network, and siphons off requested traffic for law enforcement analysis. Imagine all of this being done in real time, for 900,000 simultaneous users, and you get a sense of the power of deep packet inspection (DPI) network appliances. "

Kwestie van tijd voordat het goedkoop genoeg is. En als het verplicht is/wordt dan kunnen ISPs klagen wat ze willen maar dan hebben ze gewoon pech.
De overheid zal een wet invoeren die hoge encryptie verbied. Ze zullen denk ik niet encryptie opzich verbieden.
Maar dit te zijden. Het zou wel triest zijn als de .nl politie zonder aftappen geen criminelen kunnen opsporen en veroordeeld te krijgen.

/off-topic
Flitsen is gewoon een belasting op hard rijden. :+ Kan je de politie agent niet kwalijk nemen
De overheid zal een wet invoeren die hoge encryptie verbied. Ze zullen denk ik niet encryptie opzich verbieden.
Is het C2000 systeem dan ook verboden?
En de informatie die de opsporingsinstanties onderling uitwisselen?

Of kunnen we naast Orwel ook nog een ander bekend boek gaan citeren?
"Some animals are more equal than other animals"
Is het C2000 systeem dan ook verboden?
Nee, dat is alleen maar mislukt (en een hoop weggegooid geld).
Is het C2000 systeem dan ook verboden?
hoe was het ook alweer, alleen effectieve encryptie telde toch? :+
Uiteraard hebben jullie natuurlijk het C2000 systeem gekraakt.
Dream on... :z
Waarom zou ik iets kraken dat toch niet werkt :?
PD5HW Homepage
PD5HW Homepage met p2000 monitor en informatie over rtty, aprs, packet, sstv.
www.pd5hw.nl/

dus....
De overheid heeft als alternatief de ontwikkeling van eigen malware die al dan niet opzettelijk aanwezige achterdeurtjes in het OS gebruiken om achter de inhoud van dit ssort beveiligde verbindingen te komen.
waar ik vooral beniewd naar ben is A de overhead - ik bedoel breedband is leuk maar als je op elk paketje al weer 4 extra bytes kwijt raakt :S,

verder moet 'r natuurlijk ook nog ge-encrypt worden iets doet mij vermoeden dat ik met mijn m'n dualcore opteron nog wel kan bijven voipen, maar dat m'n ouders' pc-tje er toch wat meer moeite mee zal krijgen...
Even een paar getalletjes voor een gewone G711a of G711u codec.
Dat is 50 packets/sec (per richting) en totaal 64 kbps per richting.
Dat is dus 160 bytes per RTP-packet.
Dan is 4 Bytes extra niet echt veel overhead, zeker niet als je nagaat dat de NEB (Nominal Ethernet Bandwidth) ongeveer 87.2 Kbps is (incl headers)

Een paar andere populaire codecs zijn:
G.729/G.729A Conjugate Structure Algebraic Code Excited Linear Prediction (CD-ACELP) bitrate: 8 Kbps NEB: 31.2 Kbps
G.723.1 Mulptiple Maximum Likehood Quantization (MPMLQ) bitrate: 6.3 Kbit/s NEB: 21.9 Kbps
G.723 ACELP bitrate: 5,3 Kbps NEB: 20.8 Kbps

Al met al dus niet echt veel extra data, die 4 Bytes/packet.

[Reactie gewijzigd door TD-er op 3 augustus 2007 23:49]

4/160 = 2,5% Dat is toch best veel. Wel is het zo dat breedband natuurlijk veel meer bandbreedte biedt dan 64kbit. (of 64*1,025 ~66kbit) en je in dat geval dus weinig merkt. Maar voor bedrijven is de extra overhead op hun tig gelijktijdige voip verbindingen wel degelijk een potentieel probleem. Zeker in regio's waar bandbreedte schaars is (afrika) kan dit net de druppel zijn.
Vergeet niet dat je VoIP-verbindingen kunt trunken, dus dat in hetzelfde pakketje meerdere VoIP-gesprekken zitten.
Dan neemt de overhead alweer af.
Daarnaast gaan ze over krappe verbindingen geen G711 codec gebruiken, maar een die veel minder bandbreedte trekt.
Hey, hij ziet eruit Commander Riker. :p
[/nerd]

OT:
Wat maakt het nou zoveel moeilijker om voip te encrypten? Dat het gestreamed wordt? Streamen is toch al een kwestie van coderen/decoderen?
Streamen is iets anders dan VOIP bij VOIP moet de lag echt zo klein mogelijk worden gehouden.
Als je bij streaming content bv 2min achterloop op de live beelden/ audio dan maakt dat niet uit omdat je toch alles binnen krijgt.
Bij Voip is verschil tussen 100ms of 500ms lag al best veel. Je moet dus het liefst hardwarematige en- / deconding hebben welke het werkelijk on-the-fly doen.

Want niets is vervelenden om een gesprek te voeren en telkens een halve seconde(of meer) moet wachten voordat je antwoord terug krijgt.
Daarnaast gebruiken bedrijven als Skype zelfontwikkelde, gesloten encryptiemethoden. Hierdoor is het onmogelijk om vast te stellen of deze veilig genoeg zijn en geen geheime achterdeurtjes bevatten.
De broncode mag dan schoon zijn, maar wie zegt dat de gebruikte compiler of hardware dat ook is.


Ik ben wel blij dat er nog mensen zijn die aan de veiligheid en privacy van anderen denken en respecteren door er oplossingen voor te bedenken.
De broncode mag dan schoon zijn, maar wie zegt dat de gebruikte compiler of hardware dat ook is.
Het lijkt mij veel complexer om zo'n intelligente compiler te maken en het ook nog verborgen te houden, dan een paar mensen (of 1) bij Skype (of ander bedrijf) om te kopen, zodat er een achterdeurtje in komt.

[Reactie gewijzigd door TD-er op 3 augustus 2007 21:09]

Dan neem je een opensource compiler (zoals gcc)
Denk het niet

Waaraan kun je onderscheiden of een bepaald pakketje een voip stream is ?

Het zou netzogoed een encrypted videostream kunnen zijn !

En dan zullen er vast nog wel mogelijkheden zijn om het op een ander soort stream te laten lijken
volgens mij wordt alleen de payload maar versleuteld. Het protocol etc is gewoon te achterhalen (net als bij ssl en IPsec etc.)
Secure e-mail is ook alleen maar een versleutelde body. De mail headers etc. zijn allemaal te lezen. Dus je kan nog steeds zien waar het vandaan komt en waar het naar toe gaat.
Alle componenten waar de stroom voorbij komt moet kunnen zien wat voor verkeer het is. De routers etc. hoeven niet te zien wat er in de payload staat. header en trailer/footer van de pakketten kunnen dus niet echt versleuteld zijn (over ene normaal semi-publiekelijk) voip netwerk

[Reactie gewijzigd door BlaTieBla op 3 augustus 2007 20:32]

grote telco jongens die voip leveren , moeten per land afspraken maken om secure voip te mogen gebruiken , ze dienen aan het land de encrypte methode bloot geven voordat het in dat land gebruikt mag worden
Heb je daar een bron van?
Het lijkt mij namelijk nogal een schending van de privacy en daarnaast maakt het die encryptie dan ook behoorlijk nutteloos en geeft dan een vals gevoel van veiligheid.
Volgens mij is zFone geen OSS maar staat het open voor peer-review. De encryptie-bibliotheken die erbij horen echter zijn beschikbaar onder GPL. Verder zou ik Phil geen cryptograaf willen noemen maar meer een voorvechter voor het gebruik, de acceptatie en legalisatie van cryptografie en cryptografische toepassingen.

In reactie op afterburn:
Dat we in het verleden stom om zijn gegaan met onze privacy online en dat er altijd mensen blijven die hun privéleven te grabbel gooien, wil niet zeggen dat we dat we geen van allen meer ons best mogen doen om onze privacy te beschermen. Ik zal mensen altijd blijven wijzen op de gevaren van geautomatiseerde systemen voor de privacy.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True