Categories: MobileUnternehmen

Kryptograph: Skype ist sicherlich sicher

Um nachzuweisen, wie sicher die Telefonie über das Internet Protocol (IP) von PC zu PC wirklich ist, hat Skype einen Verschlüsselungsprofi eingeladen, die Security zu testen. Und zwar ausgiebig, mit Zugriff auf Codes und Verschlüsselungstechniken und allem, was dazu gehört. Nichts sollte ihm verborgen bleiben. Und Thomas Berson von dem unabhängigen US-Labor Anagram Laboratories gibt sich mit dem Ergebnis zufrieden. Skype ist seiner Meinung nach sicher, weil die heute bekannten Security-Wege peinlich genau eingehalten werden.

Hierzu führt er an, dass die Wege zwischen den Nutzern, deren Wege zum Zentralserver und dessen Abgleich der Nutzerdaten, der Session-Auf- und Abbau sowie die Sessions selbst nach gängigen Standards verschlüsselt werden. “Ich habe einiges über Skype herausgefunden und je mehr ich herausfand, desto glücklicher wurde ich”, schrieb der bekennende, aber von Berufs wegen skeptische Skype-Nutzer in einem Gutachten, das silicon.de vorliegt.

Skype hat demnach besonders durch die Authentisierung der Nutzeridentitäten und die Zuweisung einer Identität – bei Bedarf für jede Session – die Anforderungen des Experten erfüllt. Berson hatte seit dem 1. Juni 2005 Zugriff auf die Modelle und Szenarien, Live-artige Testumgebungen und Einstellungen.

Dabei haben ihn zwar drei Angriffsszenarien nachdenklich gemacht. Doch die gängigen Angriffe werden ihm zufolge durch die richtige Anwendungen mehrerer Sicherungen ausgeschaltet. Dazu gehören: AES Block Cipher (Advanced Encryption Standard, ein symmetrisches System), die RSA Public-Key-Verschlüsselung (ein asymmetrisches Verschlüsselungssystem, das von der Firma RSA Security gepflegt wird), der Standard ISO 9796-2 im Signatur-Padding, die Hash-Funktion SHA-1 (so genannte Streuwertfunktion, bei der in der Kryptographie aus einer großen Quellmenge kleinere Ergebniszahlen ausgegeben werden) und RC4 als symmetrische Datenstromchiffrierung.

Sichere Authentisierung

Besondere Beachtung fand demnach die Authentisierung mit Zertifikaten. Dabei, so Berson, erhalte jeder Skype-Nutzer ein Zertifikat. Diese Zertifikate werden dann beim Session-Aufbau gegeneinander abgeglichen – selbstredend nachdem sie vorher bei der Anmeldung im Zentralserver von Skype ihre Echtheit anhand der Nutzerauthentisierung nachgewiesen haben. Das allein ist nicht aufregend. Aber Berson kommt zu der Überzeugung, dass die Identitäten von der untersuchten Version Skype 1.3 so sicher sind, dass Spoofing nahezu ausgeschlossen werden kann. Zumindest auf der Code-Ebene, die Berson innerhalb von drei Monaten untersuchte, also auf dem Session-Layer, soll dies unmöglich sein.

Für ihn steht fest: “Skype-Nutzernamen sind einmalig. Nutzer oder auch Anwendungen müssen einen Skype-Nutzernamen und die damit verbundene Authentisierung (beispielsweise das Passwort) nachweisen, bevor sie die Identität oder die damit verbundenen Rechte und Privilegien ausführen können. Jeder Peer (Teilnehmer im Peer-to-Peer-Netz innerhalb der Skype-Wolke) gibt dem anderen erwiesenermaßen richtige Beweise für seinen Nutzernamen und seine Rechte, sobald eine Skype-Session aufgebaut wird, jeder Peer verifiziert diese Nachweise des anderen Teilnehmers, bevor innerhalb der Session Nachrichten – also Sprache, Video, Dateien oder Text – übertragen werden können. Übermittelte Nachrichten werden von Skype-Ende zu Skype-Ende innerhalb der Session verschlüsselt und kein dazwischenliegender Knoten, sofern es einen gibt, hat Zugang zu der Bedeutung dieser Nachrichten.”

Page: 1 2

Silicon-Redaktion

Recent Posts

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

In Deutschland hat das Zahlungsverhalten 2024 eine deutliche Entwicklung hin zu Sofortüberweisungen und Instant Payment…

1 Stunde ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago