Categories: MobileUnternehmen

Kryptograph: Skype ist sicherlich sicher

Um nachzuweisen, wie sicher die Telefonie über das Internet Protocol (IP) von PC zu PC wirklich ist, hat Skype einen Verschlüsselungsprofi eingeladen, die Security zu testen. Und zwar ausgiebig, mit Zugriff auf Codes und Verschlüsselungstechniken und allem, was dazu gehört. Nichts sollte ihm verborgen bleiben. Und Thomas Berson von dem unabhängigen US-Labor Anagram Laboratories gibt sich mit dem Ergebnis zufrieden. Skype ist seiner Meinung nach sicher, weil die heute bekannten Security-Wege peinlich genau eingehalten werden.

Hierzu führt er an, dass die Wege zwischen den Nutzern, deren Wege zum Zentralserver und dessen Abgleich der Nutzerdaten, der Session-Auf- und Abbau sowie die Sessions selbst nach gängigen Standards verschlüsselt werden. “Ich habe einiges über Skype herausgefunden und je mehr ich herausfand, desto glücklicher wurde ich”, schrieb der bekennende, aber von Berufs wegen skeptische Skype-Nutzer in einem Gutachten, das silicon.de vorliegt.

Skype hat demnach besonders durch die Authentisierung der Nutzeridentitäten und die Zuweisung einer Identität – bei Bedarf für jede Session – die Anforderungen des Experten erfüllt. Berson hatte seit dem 1. Juni 2005 Zugriff auf die Modelle und Szenarien, Live-artige Testumgebungen und Einstellungen.

Dabei haben ihn zwar drei Angriffsszenarien nachdenklich gemacht. Doch die gängigen Angriffe werden ihm zufolge durch die richtige Anwendungen mehrerer Sicherungen ausgeschaltet. Dazu gehören: AES Block Cipher (Advanced Encryption Standard, ein symmetrisches System), die RSA Public-Key-Verschlüsselung (ein asymmetrisches Verschlüsselungssystem, das von der Firma RSA Security gepflegt wird), der Standard ISO 9796-2 im Signatur-Padding, die Hash-Funktion SHA-1 (so genannte Streuwertfunktion, bei der in der Kryptographie aus einer großen Quellmenge kleinere Ergebniszahlen ausgegeben werden) und RC4 als symmetrische Datenstromchiffrierung.

Sichere Authentisierung

Besondere Beachtung fand demnach die Authentisierung mit Zertifikaten. Dabei, so Berson, erhalte jeder Skype-Nutzer ein Zertifikat. Diese Zertifikate werden dann beim Session-Aufbau gegeneinander abgeglichen – selbstredend nachdem sie vorher bei der Anmeldung im Zentralserver von Skype ihre Echtheit anhand der Nutzerauthentisierung nachgewiesen haben. Das allein ist nicht aufregend. Aber Berson kommt zu der Überzeugung, dass die Identitäten von der untersuchten Version Skype 1.3 so sicher sind, dass Spoofing nahezu ausgeschlossen werden kann. Zumindest auf der Code-Ebene, die Berson innerhalb von drei Monaten untersuchte, also auf dem Session-Layer, soll dies unmöglich sein.

Für ihn steht fest: “Skype-Nutzernamen sind einmalig. Nutzer oder auch Anwendungen müssen einen Skype-Nutzernamen und die damit verbundene Authentisierung (beispielsweise das Passwort) nachweisen, bevor sie die Identität oder die damit verbundenen Rechte und Privilegien ausführen können. Jeder Peer (Teilnehmer im Peer-to-Peer-Netz innerhalb der Skype-Wolke) gibt dem anderen erwiesenermaßen richtige Beweise für seinen Nutzernamen und seine Rechte, sobald eine Skype-Session aufgebaut wird, jeder Peer verifiziert diese Nachweise des anderen Teilnehmers, bevor innerhalb der Session Nachrichten – also Sprache, Video, Dateien oder Text – übertragen werden können. Übermittelte Nachrichten werden von Skype-Ende zu Skype-Ende innerhalb der Session verschlüsselt und kein dazwischenliegender Knoten, sofern es einen gibt, hat Zugang zu der Bedeutung dieser Nachrichten.”

Page: 1 2

Silicon-Redaktion

Recent Posts

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

9 Stunden ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

9 Stunden ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

10 Stunden ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

1 Tag ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

1 Tag ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

1 Tag ago