Um größtmögliche Sicherheit zu erreichen, sollten nur die beiden Menschen Zugang zum Schlüssel haben, die tatsächlich miteinander telefonieren. Die Schlüssel werden nach Gebrauch gelöscht und auch nicht zur Errechnung des nächsten Schlüssels verwendet. Das hat den Effekt, dass ein Angreifer für jedes Telefonat erneut den Schlüssel knacken muss und nicht aus einem bereits geknackten Schlüssel auf den nächsten schließen kann.
All das hört sich nach Public-Key-Infrastruktur (PKI) an, einem Konzept der Schlüsselverteilung und -sicherung, das schon für E-Mail benutzt wird. Im Massenmarkt, dort wo keine IT-Abteilungen für die Pflege der PKI-Infrastruktur und die Konfiguration von Outlook und Co zuständig sind, sind PKI-Systeme allerdings kaum verbreitet. Zimmermann kennt das Problem und benutzt für ZRTP zwar einen Public-Key-Algorithmus, aber keine Infrastruktur. Den Schlüsselaustausch erledigt das Protokoll nach dem Diffie-Hellmann-Verfahren. Damit erzeugen zwei Partner einen geheimen, gemeinsamen Schlüssel über eine unsichere Verbindung, ohne vorher das „shared secret“ ausgetauscht haben zu müssen.
Verschlüsselung: Algorithmen und Konzepte |
ZDNet zeigt die Funktionsweisen sowie Vor- und Nachteile der verschiedenen Verschlüsselungsverfahren |
Trotzdem ist die Verbindung sicher: Um sicherzugehen, dass keine Man-in-the-middle-Attacke das vertrauliche Telefonat doch noch korrumpiert, erzeugt die Software einen Hash-Wert der Session-Keys. Stimmt die Prüfsumme bei beiden Partnern überein, haben sie einen gemeinsamen Session-Key und können sichergehen, dass sich niemand zwischen ihre Leitungen geschlichen hat. Unterscheidet sich die Prüfsumme, wissen sie, dass es einen Dritten gibt. Zimmermanns Software zeigt die Prüfsumme als vierstellige Buchstabenfolge an, die die beiden Partner am Telefon vergleichen. Er wählt diesen „manuellen“ Abgleich, weil die menschliche Stimme das einzige Medium ist, das ein Angreifer auf IP-Ebene nicht manipulieren kann. Zimmermann weiß, dass viele Nutzer nicht jedes Telefonat mit der Frage „Wie lautet dein Session-Key?“ beginnen werden, aber „wir müssen ihn nicht immer prüfen, sondern nur oft genug, dass ein Mithörer Angst bekommt, er könnte geschnappt werden.“
Neueste Kommentare
Noch keine Kommentare zu Telefongeheimnis: PGP-Erfinder schützt VoIP vor Lauschern
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.