Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties

Microsoft Rusland ontkent dat het de encryptiesleutels van het Skype-protocol aan de Russische geheime dienst FSB zou willen overhandigen. Eerder had de baas van Microsoft in Rusland juist laten weten dat het bedrijf dit 'graag' zou doen.

Nikolai Pryanishnikov, ceo van Microsoft in Rusland, had in een vraaggesprek met persbureau Interfax laten weten dat de softwaregigant de strategie hanteert om nauw samen te werken met overheidsinstanties als de FSB. Volgens Pryanishnikov zou Microsoft als nieuwe eigenaar van Skype ook de encryptiesleutels van het voip-protocol willen afgeven aan de FSB. De Russische geheime dienst, die wordt beschouwd als de opvolger van de voormalige KGB, zou echter bij Microsoft nog geen verzoek daartoe hebben neergelegd.

Microsoft nuanceerde later de uitingen van Pryanishnikov. Hij zou hebben gedoeld op de verplichting om de broncode van bepaalde Microsoft-producten, zoals Windows, aan de geheime dienst te overleggen. Als Microsoft de Skype-overname heeft afgerond, zou de softwaregigant vermoedelijk wel de broncode van de voip-software moeten overleggen. Microsoft zou echter geen encryptiesleutels willen overhandigen.

Mensenrechtenactivisten in landen met een autoritair regime gebruiken Skype vaak doelbewust vanwege de vermeend sterke versleuteling van het voip-verkeer. Door steeds toenemende druk op Skype vanuit diverse landen, met de eis tot inzage in het voip-verkeer, is het echter nog de vraag hoe lang het voip-protocol nog als veilig kan worden bestempeld. Daarnaast speelt nog de kwestie dat een Russische hacker bezig is om het gesloten protocol te 'reverse engineeren', waarbij de encryptie ook gekraakt zou zijn. Hierbij gaat het echter om oudere versies van het Skype-protocol en met de huidige code zou nog geen verbinding met het Skype-netwerk opgezet kunnen worden.

Het is niet de eerste keer dat Microsoft in Rusland in opspraak komt. Advocaten van de softwaregigant zouden in samenwerking met de overheid doelbewust computers van kritische organisaties en oppositiefiguren in beslag hebben genomen. Zij zouden geen geldige Windows-licenties hebben. Na een golf van kritiek besloot Microsoft om ngo's en oppositiegroeperingen gratis licenties te geven.

Moderatie-faq Wijzig weergave

Reacties (46)

Het maakt mij niet uit of ze de sleutel nou wel of niet hebben overgedragen, de schade is al veroorzaakt door Pryanishnikov met z'n uitspraak.
Het feit dat er een 'master key ' bestaat die toegang geeft tot privť informatie van alle skype gebruikers is voor mij reden om achterdochtig te zijn. Daarbij heb ik niet zo'n hoge pet op van Microsoft als 'bewaker van mijn privacy', geld verdienen zal belangrijker voor ze zijn.

[Reactie gewijzigd door NL-JP op 8 juni 2011 17:02]

Uiteraard bestaat er een master key. Je hebt namelijk een master key nodig om te controleren of de key een decendend van de master key is (key chain).

Juist dit 'gesloten' systeem waarborgt voor een groot deel het netwerk. Omdat jij geen sleutel hebt om nieuwe certificaten te ondertekenen is het vrij eenvoudig om onbevoegde clients (zoals de client van de Russische hacker) te weren. RIM (blackberry) gebruikt eenzelfde methode om emails te versleutelen.

De techniek achter Skype is overigens wel interessant. Skype clients maken gebruik van tijdelijke session keys (waarvan de master key als root key in de key chain zit). Over een SSL verbinding wordt contact gemaakt met een autorisatie server (login). Deze geeft vervolgens een sessie key pair terug. Vervolgens geef je aan met welke andere client jij verbinding wilt maken. Jouw public key wordt aan de andere partij gegeven en jij ontvangt de public key van degene waarmee je verbinding wilt maken.

Omdat je bij elke nieuwe sessie over een nieuw keypair beschikt is het zo lastig Skype te reverse engineren. Omdat Skype de keypairs aanmaakt hebben zij ook de beschikking over jouw private key. Dat maakt het theoretisch mogelijk om een tap aan te leggen. De techniek welke Skype gebruikt lijkt overigens meer op TLS, dan op SSL omdat de initiŽle verbinding onbeveiligd is. Skype weet pas welke key het moet gebruiken als bekend wie contact probeert te leggen. Daarom maken bijvoorbeeld veel multihomed mailservers ook gebruik van TLS. Het voorkomt dat je voor elke key (certificaat) een uniek IP+poortnummer nodig hebt.

Skype is voor VOIP wat Windows is voor besturings systemen. Je kunt er inderdaad voor kiezen om een alternatief te gebruiken. Alleen dit maakt je leven er niet eenvoudiger op. Vele zullen dus niet overstappen, zelfs niet na dit soort berichten.

Neem Sony. Continue de afgelopen weken in het nieuws geweest vanwege privacy lekken. Het aantal mensen dat de PS3 nu de deur uitdoet en overstapt op de XBox (oid) is echt minimaal. Mensen zijn gewoonte dieren en tenzij ze zelf direct hinder van een partij ondervinden blijven ze waar ze zijn.
Uiteraard bestaat er een master key. Je hebt namelijk een master key nodig om te controleren of de key een decendend van de master key is (key chain).
Helemaal niet. Je hebt misschien een root key, maar niet per se een master key/skeleton key. Een master/skeleton key is een key waarmee elke deur geopend kan worden. In een centralized key management systeem hoeft er niet per se een master key te zijn, maar is er wel een root key.
De aanwezigheid van root keys maakt het systeem al inherent onveilig. De aanwezigheid van een master key maakt het systeem absoluut onveilig.

Als je voor echte veiligheid van een PKI wilt gaan, ga je voor een "web of trust" zoals het bestaat in PGP voor email en de VoIP is er o.a. ZRTP.
Ik ben geen encryptie expert, maar het lijkt mij prima mogelijk om tussen 2 partijen die willen communiceren een beveiligd kanaal op te zetten dat door niemand kan worden afgeluisterd, ook niet door Skype zelf. Bijvoorbeeld mbv. Diffie–Hellman key exchange .

Dat Skype zoiets niet doet heeft volgens mij met de belangen van Skype te maken en niet met een technische onmogelijkheid.
(belangen zoals: niet afluisterbaar -> wordt in heel veel landen verboden en geblokkeerd.)
Weeral kan je stellen dat dit niet zo goed nieuws is voor Microsoft. Ze gaan ten slotte veel geld neergeleggen voor Skype. Nu dit, ervoor de inlog problemen, zorgt ervoor dat gebruikers Skype links laten liggen en naar een alternatief gaan zoeken. Of misschien is het een taktiek die er moet voor zorgen Skype te doen dalen in waarde en opzo minder te betalen?
Skype wordt gekocht door Microsoft, op welke wijze veranderd dat wat aan welke wetten ze in Rusland moeten voldoen? Skype heeft die sleutels natuurlijk al lang en breed afgegeven aan verschillende overheden die daar om gevraagd hebben.
Wellicht omdat Microsoft vestigingen heeft in Rusland en Skype deze niet heeft (had)? Echter nu ze onder Microsoft vallen, kunnen overheidsorganisaties dergelijke 'verzoeken' doen. Immers opereert Microsoft op Russisch grondgebied.

Daarom is het ook vrij voorbarig om te zeggen dat 'Skype de sleutels natuurlijk al lang en breed afgegeven' heeft aan 'verschillende overheden die daar om gevraagd hebben'. Skype moet er een vestiging hebben en zelfs dan kan het nog lastig zijn (als het bijvoorbeeld slechts een dochteronderneming betreft).
Microsoft krijgt Skype in handen, Skype maakt een val, skype wordt gekraakt aan alle kanten. Skype maakt een nog grotere val, skype wordt waardeloos, microsoft heeft 8,5 miljard dollar door de sloot gegooid, Microsoft aandeel wordt minder waard.

Moet ik nog doorgaan, dit zie ik namelijk echt gebeuren.... 8)7

edit: moest miljard zijn, oops |:(

[Reactie gewijzigd door Lightmanone1984 op 8 juni 2011 17:05]

Ondanks dat Skype de afgelopen weken enkele keer kleinere en grotere problemen heeft gehad denk ik dat je bij de tweede stap al de fout in gaat. Volgens mij is er geen significante afname van het gebruik van Skype en is het protocol nog steeds niet goed gekraakt. Er wordt al jaren gewerkt aan een open versie van het protocol (op verschillende manieren, waarom reverse engineering), maar de nieuwste versie zit nog steeds - voor in ieder geval het normale publiek - goed op slot.
Er zijn intussen al redelijk wat alternatieven voor Skype.
Misschien is Skype nu nog de grootste, maar dat was Netscape ook ooit en Altavista.... wie kent ze nu nog?
Dat is natuurlijk waar voor alle software op de markt. Het draait vaak om critical mass: het minimale aantal gebruikers dat nodig is om het aantal gebruiker (door succesvol gebruik van de software) sneller te laten groeien. Je kan natuurlijk een fantastisch VOIP-programma hebben, maar als jij de enige gebruiker bent dan is de programma an sich nog steeds waardeloos.
En het is maar de vraag of die alternatieven zo fantastisch zijn. Als ik bij VOIP implementaties ga kijken staat er niks over beveiliging en moet ik wel zo'n 085 of 088 nummer nemen, die onbeschoft duur zijn om vanuit eengewone gsm naar te bellen. Ik gebruik Skype eigenlijk alleen voor Skype to Skype calls, maar daar verdienen providers niks aan dus dat bieden de meeste niet als enige optie gratis.
Genoeg VOIP software dat via SIP werkt: http://en.wikipedia.org/wiki/List_of_SIP_software
Het mooie is, naast softphones heb je ook hardware die SIP praat (sterker nog, de meeste telefoons in bedrijven zijn tegenwoordig SIP phones).
SIP implementaties zijn vrijwel altijd unencrypted, een groot nadeel t.o.v. Skype.
Maar het probleem hierbij kan zijn dat je je laat vangen: Security through obscurity, een vrij algemene term die hier wel van toepassing is.

Geef mij maar een open protocol met optie voor encryptie. Voeg daar dan een keypair encryptie aan toe, en je bent gebakken...
Het protocol zelf hoeft niet perse encryptie te ondersteunen. Gooi het over een TLS/SSL verbinding en daar heb je je encryptie.
Fijn, wie biedt het aan?
Dat zal wel meevallen. Skype heeft wat storingen meegemaakt, maar ik moet zeggen dat ik er nog weinig van gemerkt heb en ik Skype toch wel 12 uur per week. Ik zie wel dat het programma een paar keer met een rare melding is afgesloten, maar dat was op momenten dat ik het niet gebruikte en bij een restart maakte het weer gewoon verbinding.

Ik denk niet dat Microsoft al heel veel veranderd heeft bij Skype. Dat Skype een keer van de troon gestoten gaat worden kan iedereen voorspellen die ooit ICQ gebruikt heeft.
Nee dat geloof ik niet, Microsoft gaat er echt wel alles aan doen om Skype de nr1 voip cliŽnt te laten blijven,
Ik denk eerder dat ze Skype gekocht hebben omdat het de grootste concurrent van Lync is en ze Skype gaan "integreren" in Lync om de orginele Skype clients & protocollen langzaam af te bouwen (aka dood te laten bloeden) ...
Ik zie exact hetzelfde gebeuren. Gisteren had ik het er toevallig nog over met een collega :P
Waarom omlaag modden?
8,5 billion is geen 8,5 biljoen maar 8,5 miljard :)
En daarmee nog steeds enorm veel geld!

Ik heb het niet op mijn rekening staan :+
In een land dat nog steeds geregeerd word door de FSB, en zeer autoritaire trekjes heeft, is het niet onlogisch dat dit gebeurd.

Dat ze deze sleutel zouden krijgen, lijkt me onwaarschijnlijk. Het lijkt me ook zeer onwaarschijnlijk dat deze directeur deze code Łberhaut ooit in zijn bezit zal krijgen.

Directeur zijn bij Microsoft houd enkel en alleen een "Marketing" positie in, samen met wat lokale aansturingen. De prijszetting va producten, development enz kan lokaal gebeuren, maar zal dan overzees ge-managed worden.

Duidelijk een praat voor zijn eigen afdeling, veel geblaat weinig wol.
Zodra de encryptie sleutels van Skype beschikbaar worden bij overheden (of dat nu alleen Rusland of ook andere zal zijn is worst). Zal dit waarschijnlijk meteen groot nieuws worden, met als gevolg dat een hele hoop mensen over zullen stappen naar andere alternatieven.

Naast etnische minderheden zijn er namelijk genoeg bedrijven die juist Skype gebruiken vanwege de sterke encryptie. Ik denk dat Microsoft wel twee keer nadenkt alvorens zei deze keys aan derden beschikbaar zullen stellen, het is namelijk pure kapitaal vernietiging als ze dit doen.
En dan begin ik nog niet eens over de PR ramp. :X
Het probleem met Skype Microsoft is dat ze goede vriende moeten zijn met meerdere instanties (door hun wijder aanbod van software and diensten) dan Skype op zichzelf moest zijn.
Een beetje afbouwen van Skype (privacy) om druk van de ketel te halen op een andere tak lijkt me een mogelijk scenario.
Dus de overheden hebben via Microsoft meer hefboom om hun plugje in Skype te steken.
De FSB zal liever niet bekend hebben dat ze de sleutels worden dat ze de boel kunnen aftappen.

Daarnaast is het klimaat niet juist. Te veel bedrijven hebben problemen gekregen met internet vigilantes die besluiten een bedrijf aan te vallen/hacken wegens het te grabbel gooien van de privacy.

Persoonlijk gesproken verwacht ik dat de sleutels wel zijn overhandigt. Ik verwacht ook dat er nu al door verschillende figuren wordt odnerzocht of MS dit wel of neit heeft gedaan. Boeit dat? Neit voor mij omdat ik niet SKype; maar dat maakt het niet meteen iets wat zomaar mag.

[Reactie gewijzigd door Auredium op 8 juni 2011 17:31]

skype is een zelfstandig bedrijf waarvan microsoft merendeel van de aandelen bezit.
skype is nogsteeds een zelfstandig bedrijf die luisteren moet naar zijn grootaandeel houder.
feitenlijk verandert er niets richting de buitenwereld behalve dan dat er een aangepaste koest is aangegeven door MS. wellicht stopt MS in zijn eigen belang wel de ondersteuning voor skype op android. of ze ontwikkelen iets waardoor het te integreren is in exchange/outlook of zo.

als je tegen de regels van een land in gaat moet je niet raar opkijken als dat land tegen jou ingaat. verwijs hierbij unilever en de boetes die ze kregen van china, idem philips en idem google.

als je in ons land wilt blijven spelen speel je volgens onze regels.

[Reactie gewijzigd door likmereet op 8 juni 2011 22:03]

Daarom is het dus overgekocht, nu snap ik het!

Aangezien de originele eigenaren de sleutels niet af wilde dragen heeft Microsoft het overgenomen en komen de sleutels toch beschikbaar voor de inlichtingendiensten. Er snugger en achterbaks tegelijk.
Zijn dan weer belachelijke dure sleutels om een regering zijn 'wens' in vervulling te laten gaan. 8)7

In mij ogen heeft MS skype gekocht om het aan haar eigen diensten toetevoegen qua voice communication.. bedoel de xboxlive chat is ruk qua kwaliteit en MS stoeit er al jaren mee. Waarom iets verbeteren als je het zo kan kopen en kan inlijven in je eigen systeem / progamma's.

Onderzoeken&oplossen kost veel meer geld dan iets kant en klaar kopen.
+ Skype zelf heeft een inmens groot server park verspreid over de wereld.
Scheeld al met al ook weer een investering voor MS.
Dan al daargelaten wat ze met skype verdienen op jaarbasis.
Moet je eens voorstellen wat die sleutels op de lange duur opleveren, en wat het bijvoorbeeld de wapenindustrie oplevert mochten chatgesprekken aanleiding zijn voor het binnenvallen van een land :)
Like I care. Ik skype 48+ uur in de week maar wat ik daarop zeg is echt niet illegaal ofzo. Ik plan geen aanslagen en doe niks illegaals. Who cares?
in Nederland , het gaat hier over rusland. ander land, andere regels.
google maar even goelag of denk maar even aan die olie magnaat in rusland die ze opsloten voor de rest van zijn leven omdat hij zich alleen maar uitsprak tegen president putin. zoals ik al zeg, ander land andere regels.

take it or leave it we lock you up.
Stel, iemand heeft telefoon seks, die gene zal het niet leuk vinden als hij of zij afgeluisterd wordt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True