[Problem] SRTP / ZRTP bei Asterisk 1.6 (PBXes)

[VoIP_isti]

Hallo,

wir sind mit ca. 15-20 Usern bei PBXes.de... Der Dienst funktioniert wunderbar, wir sind sehr zufrieden.

Sie unterstützen allerdings kein SRTP, den wir gerne benutzen würden, da all unsere Phones (Phoner Lite, AVM 7270, Snom M9) SRTP bereits unterstützen.

Laut Support will PBXes - aus Stabilitätsgünden - noch nicht auf 1.8 umsteigen wo SRTP bereits unterstützt wird.

Mein Frage ist, ob die Geräte irgendwie neben PBXes vorbekommunizieren könnten. Ich dache, dass es vielleicht möglich wäre SRTP zu aktivieren, wenn die Phones nicht die Nebenstelle anrüfen würden sondern die SIP-URI...

Hat jemand eine Idee, wie man SRTP ohne die Mithilfe von PBXes benutzen könnten. Hier geht es natürlich nur um Softphones, wo die User manuelle Änderungen vornehmen könnten.

Danke für die Tipps.

Gr. I.

 

[Phoner]

Wäre da nicht ZRTP eine Alternative? In PhonerLite kannst du auch ZRTP aktivieren.

 

[VoIP_isti]

Hallo,

ZRTP funktioniert ohne SRTP nicht. ZRTP ist "bloß" ein Keyexchange-Verfahren. Die "Verschlüsselungsgrundlage" dafür ist SRTP.

"ZRTP is a cryptographic key-agreement protocol to negotiate the keys for encryption between two end points in a Voice over Internet Protocol (VoIP) phone telephony call based on the Real-time Transport Protocol. It uses Diffie-Hellman key exchange and the Secure Real-time Transport Protocol (SRTP) for encryption".

http://en.wikipedia.org/wiki/ZRTP

Ohne SRTP läufts also nichts.

Gr. I.

 

[Phoner]

Das ist mir durchaus bewusst - schließlich habe ich das selber in PhonerLite implementiert
Wenn beide SIP-Endstellen ZRTP unterstützen, so muss der Server in der Mitte (Asterisk) selbst nicht aktiv SRTP unterstützen, da eben der Schlüssel in-band im RTP-Datenstrom ausgetauscht wird. Also geht es doch, ohne dass der Server irgendetwas von ZRTP oder SRTP verstehen muss. Der Vorteil von ZRTP ist ja eben, dass der Key für SRTP nicht in der SIP-Nachricht (bzw. SDP) stehen muss.

 

[VoIP_isti]

Ach so ..

deshalb ist es gut, wenn du die Entwickler ab und zu auch persönlich in Foren unterwegs sind.

Es ist hört sich natürlich sehr gut an. Es wäre toll, wenn auch Snom und AVM ZRTP implementieren würden.

Danke für die Info, ich teste es mal mit der Anlage.

Gr. i.

 

[VoIP_isti]

Hi,

wir haben PhonerLite mit SRTP und ZRTP (auf beiden Seiten) getestet. Gespräche waren zwar durch die Anlage möglich, die Verschlüsselung hat aber nicht funktioniert. Falls ich die Tonaufzeichnungsfunktion der Anlage aktiviert habe, war die Aufnahme verständlich. Normalerweise dürfte die Anlage bei SRTP/ZRTP nicht mithören können. Zum vollständigen Bild gehört, dass wir keine Zertifikate unterm Tab "Zertifikate" verwendet haben. Ich bin davon ausgegangen, dass ZRTP den Schlüssel selbst generiert.

Sollte eigene Zertifikate notwendig sein, welche Software kann ich dazu am Besten verwenden? Ich kenne nur XCA.

Gr. I.

 

[Phoner]

ZRTP hat mit Zertifikaten gar nichts zu tun.
Es gibt Anlagen (wie eben Asterisk), welche ZRTP-Pakete nicht als gültige RTP-Pakete identifizieren und deshalb diese Pakete nicht durchreichen. Unter zrtp.org gibt es eine Beschreibung, wie man trotzdem das machen könnte. In der aktuellen Beta-Version von PhonerLite habe ich die Unterstützung dieses ZRTP-Masquerading mit eingebaut. Momentan wird das nur passiv unterstützt - sprich die Gegenstelle muss dieses Masquerading beginnen. Du kannst testweise das auch mal aktiv freischalten, aber das musst du manuell in der "sipper.ini" ändern. Dazu fügst du bei dem entsprechenden Profil die Zeile ""ZRTP_Masquerade=1" hinzu. Mir fehlen jedoch noch passende Gegenstellen, die das auch unterstützen.

 

[VoIP_isti]

Danke für die Antwort.

Dies bedeutet, dass ZRTP theoretisch zumindest auch ohne Zertifikate funktioniert. Diese Verschlüsselung wird aber in einigen Fällen - wie Asterisk z. B. - nicht erkannt.

In solchen Fällen gibt es also keinerlei Verschlüsslung zwischen den zwei PhonerLite-Softwaren. Ich meine nicht nur aus der Sicht des Servers sondern auch von "A" bis zu Server und von Server bis zum "B", oder?

Wenn ich es richtig verstehe ändert sich die Situation, wenn ich die erwähnte Änderung in "sipper.ini" durchführe. Dies führt dazu, dass Aterisk die ZRTP-Pakete als gültige RTP-Pakete wahrnimmt.

Habe ich es richtig verstanden?

Gr. I.

 

[Phoner]

Ja, das hast du soweit richtig verstanden.
Mittels ZRTP (und damit SRTP) wird jedoch nur die Sprache verschlüsselt. Man kann auf dem Netzwerk dann trotzdem noch erkennen, wer wen anruft. Wenn also die SIP-Nachrichten auch verschlüsselt sein sollen, bist du auf TLS angewiesen. Und für dieses TLS werden Zertifikate benötigt - zumindest auf Server-Seite.

 

[VoIP_isti]

Ok. Danke sehr.

Also um vollständig zu verschlüsseln brauchen beide Gesprächspartner PhonerLite mit SRTP und ZRTP bzw. mit der geänderten "sipper.ini". Dazu zusätzlich müsste die Verbindung selbst mittels TLS geschützt sein. Ich müsste also PBXes fragen, ob sie eventuell so lieb wären TLS zu ermöglichen...

Danke nochmals für die Hilfe.

Gr. I.