Sinn und Unsinn von SRTP-Verschlüsselung am Beispiel DusNet

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
michaelstraub

michaelstraub

Neuer User
Mitglied seit
10 Jul 2005
Beiträge
71
Punkte für Reaktionen
0
Punkte
6
Hi,

hat jemand schon Erfahrung mit der Verschlüsselung gemacht? Mich würde die Verschlüsselung mit meinem Sipura 2000 interessieren...

Gruß Michael
 
michaelstraub schrieb:
Hi,

hat jemand schon Erfahrung mit der Verschlüsselung gemacht? Mich würde die Verschlüsselung mit meinem Sipura 2000 interessieren...

Gruß Michael
Zum Vergrößern anklicken....

Bisher nur mit dem Softphone von Snom, da weder mein GXP2000, noch meine Fritzbox SRTP können. Aber mit dem Softphone klappt Festnetz-Telefonie verschlüsselt super.
 
Das geht auch nur mit bestimmter Hardware,das neue Grandstream und das Snom 360,sowie das gleichnamige Softphone beherrschen SRTP,aber das wird spätestens zur Cebit mehr werden!
Gruß von Tom
 
Ist aber gut zu Lesen, dass nun langsam die Verschlüsselung Einzug hält!
Mal sehen, wann AVM das in die Boxen implementiert.
 
Hallo,

das bedeutet wohl daß alle FritzBox Fon[e] dies nicht können...
 
Ja das ist richtig. Also abwarten was so in den nächsten Firmware-Updates uns so vorgesetzt wird.
 
wenn ich die Info bei Onlinekosten.de richtig verstanden habe, ist insbesondere die DUSnet Verschlüsselung reine Verarsche :( denn das verwendete Passwort wird beim Verbindungsaufbau in der SIP-Invite Message im KLARTEXT mitgeschickt :(
also wer sich so was blödes einfallen lässt.. unbegreiflich, denn es geht auch anders
 
JSchling schrieb:
denn das verwendete Passwort wird beim Verbindungsaufbau in der SIP-Invite Message im KLARTEXT mitgeschickt
Zum Vergrößern anklicken....

Hmmm,
also ich musste mir sagen lassen, dass das Passwort bei SIP sowieso nicht im Klartext uebertragen wird und zwar hier in dem Punkt 5.

Auch hier schreiben die Admins, dass das Passowrt bei SIP nicht mit uebertragen wird.

Koenntest du das ggf. nochmal klaeren was nun sache ist. Zumindest ich verstehe es nicht.

EDIT: Ah, Artikel hier. Masterkey und nicht Passwort. :) Sicherlich geht es auch anders und man sollte niemanden in truegerischer Sicherheit wiegen. Entweder ist eine Verbindung sicher oder nicht. Dass muss klar gesagt werden. Man bedenke aber, dass das gerade 2 Tage on Air ist und es sowieso kaum jemand nutzen kann geschweige denn wirklich nutzt. gut das jemand das prueft und so kann es verbessert werden.

Manchmal moechte ich gerne meine SIP URI im Forum posten und demjenigen der als erstes ein Gespraech von mir abhoert einen Kasten Bier/Wein ueberreichen, wobei die Veroeffentlichung nicht erlaubt ist. :) OK, fangen wir klein an: Wann habe ich mit wem telefoniert, wer hat einen Callrecord aufgezeichnet. Ausgeschlossen sind die Mitarbeiter der BKA/LKA und andere Lauschbuden.

Manchmal erinnert es mich an dies: Gut gebaute Damen beim Kaffeklatsch mit einem Stueck Torte auf dem Teller und dann: "Haben sie auch Suessstoff fuer den Kaffee? Sie wissen doch, wegen den Kalorien."


voipd.
 
Zuletzt bearbeitet:
Weiss hier eigentlich einer wirklich wie so eine SRTP-Verschlüsselung funktioniert? Hier lesen immer irgendwelche Leute irgendwelche Artikel und regen sich dann furchtbar auf, wie sie angeblich verarscht werden...

Ich selber habe keine Ahnung wie SRTP technisch funktioniert. Aber man bedenke: Bevor hier irgendein Anbieter SRTP angeboten hat, haben alle User GÄNZLICH unverschlüsselt gevoipt!!!

Wer nicht zufällig über ein SNom-Gerät, Grandstream GXP200 oder sonst irgendeinem SRTP-fähiges Gerät verfügt, der voipt auch weiterhin absolut unverschlüsselt.....

Das konnte man auch in vielen Artikeln nachlesen.

@voipd:

Hast du noch ein Stück Torte da? ;)
 
Zuletzt bearbeitet:
Hi JSchling,

JSchling schrieb:
also es geht sicherlich auch verschlüsselt
nur nicht bei DUSnet:(
ich habe meine Infos von: http://www.onlinekosten.de/news/artikel/20012
so nen Schwachsinn dann überhaupt einzuführen...
Zum Vergrößern anklicken....

Schade das du einfach Schwachsinn schreiben darfst. Du bist der jenige der keine Ahnung hat und den Artikel komplett warscheinlich garnicht verstanden hast.

SRTP (RFC 3711) hat NICHTS mit irgend etwas anderem zu tun. Der Sinn ist um auf dein Niveau zu kommen kein Schwachsinn. Da haben sich Leute zusammengesetzt die Ahnung haben.

Man muss sich schon in bisschen auskennen und druchlesen um irgendwelche Aussagen zu treffen.

SRTP ist abhörsicher (Punkt). Dazu muss man aber die RFC lesen - und verstehen.

SRTP wird über UDP abgewickelt. Ein Invite wird erzeugt in dem der Master-Key (meist 128 bit bei AES), das Salt übergeben wird. Diesen Key nutzt das gegenüber um einen Session-Key der wie der MK bei jeder Verbindung neu berechnet wird zu berechnen.

Also Istzustand bei SRTP ohne TLS (RFC 2246) Transport Layer Security ist der RTP-Stream verschlüsselt, der MK jedoch nicht. Das tut einer absoluten Sicherheit zwar nicht genüge ist aber jedoch sehr sehr nahe dran.

Den Masterkey zu Hacken und dann den SRTP Sessionkey daraus zu generieren dürfte bei 128 bit so ca 5-24 Jahre dauern wenn man Pech hat. Ach ja einen Supercomputer muss man auch im Keller stehen haben.

TLS ist dann sinnvoll um absolute Sicherheit zu haben - daran ist nichts falsch. Deswegen gibt es die RFC . Einen Haken gibt es. TLS ist TCP und nicht UDP. Das bedeutet SIPS wird noch kompplizierter für die Endgeräte und auch für die Provider. SIP over TCP ist dann auch wieder anfällig für Bufferexploits und MP-Attacks (malformed pakets) wenn ich nicht irre :).

Noch ist es nur UDP und für solche Dinge nicht zu gebrauchen.

Zurück zum wesentlichen.

Um einen SRTP selbst mit Master-Key zu knacken benötigt es mehr als den neuesten Aldi-PC.

dus-net erzählt also keinen Schwachsinn sonder bietet Verschlüsselung von VoIP Gesprächen. Nicht mehr und nicht weniger.

Ich wette das wenn es die Geräte und die motivation gibt SRTP mit TLS zu realisieren oder anzubieten werden die das machen. Einen sipsproxy aufsetzen können die jungs bei denen warscheinlich in der mittagspause, wenn man sieht was die so stemmen ;)

Hier noch einige Links die ich im Zusdammenhang gesammelt habe:

Aus der SNOM FAQ (http://www.snom.com/faq0.html)
"Technically speaking SRTP doesn't make sense without having a TLS based signalling connection. However, the media is still secure even if SRTP is used without TLS. The master key sent in the INVITE is not used as such but is instead used to generate the actual SRTP encryption keys via AES. These keys are then used to encrypt the RTP. For a completely secure call, SRTP can be used in conjunction with a TLS signalling connection. At present, the display of the snom190 does not show whether or not the call is secure. As far as TLS or SIPS is concerned, the phone sets up a TLS connection to the proxy server, and keeps it up for the duration of the registration. This connection is used persistently for incoming as well as outgoing calls. Right now we don't have CA list for trusted authorities but we will be adding it in the future."

Sehr interessanter Artikel! :)
http://www.voipmagazin.de/magazin/artikel_737_voip_und_sicherheit.html


http://mirror.switch.ch/rfc/3546.txt
http://mirror.switch.ch/rfc/3853.txt

f.h.
 
Zuletzt bearbeitet:
Endlich mal ein Beitrag mit sittlichem Nährwert. Auch wenn ich technisch da nicht drinstecke, so hat es doch mehr Gehalt als Aussagen á la "ich hab da mal was gelesen und daher ist das wohl auch so - wir werden hier alle verarscht".....
 
Hallo zusammen,

bitte bleibt ruhig. Ich finde die Diskussion eigentlich gut um zu sehen was passiert und was auf uns zukommt. Ausserdem kann man etwas dabei lernen.

Egal was ein Provider macht, sollten seine Aussagen richtig sein! Das es Leute gibt, die das nicht glauben ist in Ordnung. Dementsprechend kann man das Thema diskutieren und wie in diesem Fall pruefen. Hintergrundinfos sind meistens sehr hilfreich. Danke.

Bitte haut jetzt nicht rum, da das Thema spannend wird.

Mein Vorschlag an euch: Bitte ueberdenkt eure Formulierungen und passt sie der ueberdachten Meinung an. Vielleicht ist der Ton dann wieder recht freundlich und wir werden noch weiter Meinungen und Infos lesen.

Danke.

voipd.
 
Hallo voipd,

mein Ton ist völlig ruhig. Ich bin die Ruhe selbst :cool:

Ich habe im Anfang meines Posts lediglich rezitiert. Ich gebe zu auf manche Dinge allergisch zu reagieren. Aber das war hier nicht der Fall. Ich wollte lediglich mal ein wenig verständlicher rüberbringen das SRTP wirklich nichts mit SIP over TLS zu tun hat. Das Eine hat einfach auch ohne das Andrere seine Daseinsberechtigung. Das man beides kombinieren sollte ist vergleichbar mit vielen aus der Praxis in fast jedem Bereich auffindbaren doppelten Sicherungen. (Passwort&TAN, Passwort&HTTPS, etc.).

Das was dus-net aber angekündigt hat war oder ist SRTP und nicht SIPS.

f.h.
 
Der Ton hier ist vollkommen ok. Hier ist ja auch niemand ausgerastet. Bei manchen Beiträgen hier bin ich mir nur nicht mehr so sicher, ob es wirklich den Urhebern um eine Diskussion geht, oder einfach nur ein wenig Polemik. Selbst eine sachliche Diskussion kann ja etwas härter geführt werden.

Leute wie ich, die nicht so sehr in der Technik verwurzelt sind, für die bringt so ein Artikel von Onlinekosten.de doch garnichts. Ob nun ein Master-Key übertragen wird und abgefangen werden kann oder nicht, muss man dem Autor des Artikels glauben oder nicht.

Ich unterstelle mal, dass JSchiling da in der gleichen Situation ist wie ich. Also worüber muss man dann noch diskutieren? Nur weil man selber keine Ahnung von der Materie hat und dann mal bei Onlinekosten.de einen Artikel mit ein paar Schlagwörtern gelesen hat, ist man doch nicht so im Bilde, dass man das alles als Schwachsinn abtun kann.

Wenn hier jemand also wirklich Ahnung hat und mit sachdienlichen Hinweisen weiterhelfen kann, sodass auch ich das als technisch interessierter verstehen kann, dann ist das ein wirklich guter Beitrag. Denn auch der Onlinekosten.de Artikel bietet keinerlei nachvolziebare Information für den Druchschnittsuser (zu dem ich mich auch zähle).

Um mal die Diskussion dahingehend anzuregen:

also wer sich so was blödes einfallen lässt.. unbegreiflich, denn es geht auch anders
Zum Vergrößern anklicken....
Dann kläre uns mal auf wie es anders geht, und warum das besser ist. Aber bitte bei der Erklärung nicht einfach die Onlinekosten.de-Meldung abtippen.

Danach kannst du uns auch mal erklären, in wie weit ein VoIP-Gespräch ohne Verschlüsselung einfacher abzuhören ist, als ein Festnetz-Gespräch.

Das wären die Punkte, die mich wirklich mal interessieren würden. So viel ich weiss sind die Vermittlungskästen der Festnetz-Carrier frei zugänglich und für Leute die Ahnung haben sicher leicht anzuzapfen.

Für Leute, die Ahnung haben, ist es sicher auch einfach, mit Ethereal ein VoIP-Gespräch mitzuschneiden. Was ist also schwieriger umzusetzen?

Ich betrachte daher eine Verschlüsselung jeglicher Art lediglich als eine weitere Erschwerung der Abhörung. Maßstab hierfür ist für mich das Festnetz. Wenn ich über das Internet unverschlüsselt genau so sicher oder unsicher telefonieren kann, wie über das Festnetz, dann ist mir der Rest ziemlich egal, da es an meiner Sicherheit beim Telefonieren nichts ändert.

Wie gesagt, wer vorher schon eifrig VoIP unverschlüsselt genutzt hat, der sollte sich nicht darüber aufregen, dass ein Anbieter nun ein evtl. knackbares Verschlüsselungsverfahren einsetzt... Sorry, das ist echt lächerlich.

Diese Kritik beziehe ich auch auf den Onlinekosten.de Artikel.

Gruss, micro
 
f.harder schrieb:
Das was dus-net aber angekündigt hat war oder ist SRTP und nicht SIPS
Zum Vergrößern anklicken....

Vielleicht wäre es eine gute Idee von dus.net (wink mit dem Zaunpfahl in diese Richtung:) ) auf der Webseite ähnliches wie o.g. mal im Detail aufzuschreiben, dann kann man solche Diskussionen vielleicht im Keim ersticken. Mich würde z.B. interessieren was bei folgendem passiert:

dus.sec<->festnetz:
gehe ich jetzt mal von aus, dass von meinem Telefon bis zum Festnetzgateway! alles verschlüsselt ist. Schöner wäre es, dass irgendwo zu lesen...

dus.sec<->wemauchimmer.unverschlüsselt:
Welche Strecke ist da verschlüsselt.
dus.sec<-1->dus.proxy<-2->wemauchimmer; 1 verschlüsselt oder keine

dus.sec<->andere.sec von ende zu ende verschlüsselt?

Prima finde ich auf jeden Fall, dass dieses Feature kostenlos angeboten wird. TLS hin oder her, es macht es zunächst mal um einiges sicherer. Blöd ist nur die fehlende Kooperation der Provider untereinander (offensichtlich der größeren) Denn: was nutzt es, eine Verschlüsselung von dus<->festnetz zu haben, wenn es vom Festnetz wegen fehlender peerings wieder (auch noch kostenpflichtig) ins voip-netz von z.B. 0&0 oder zu grünen Hühnern geht :-( kann man nur hoffen, dass die anderen Provider nachziehen.

Noch etwas zum Thema abhören, ich habe eben mal während eines Gesprächs mit dem Softphone von snom einen Mitschnitt mit Ethreal gemacht, da ist zunächst nichts dabei was man sich "anhören" könnte, unverschlüsselt ist das viieelll einfacher auch mein geliebtes c&a gibt mir keine mp3 zum anhören mehr ;-) ok, mag sein, dass es da bald wieder einfache Prgramme zu gibt......

Wer möchte kann ja mal versuchen seinen eigenen Mitschnitt zu knacken..... und so komfortabel kommen potentielle mithörer nicht an alle Daten, das ist vermutlich unbestritten.....
 
andreas schrieb:
dus.sec<->festnetz:
gehe ich jetzt mal von aus, dass von meinem Telefon bis zum Festnetzgateway! alles verschlüsselt ist. Schöner wäre es, dass irgendwo zu lesen...

dus.sec<->wemauchimmer.unverschlüsselt:
Welche Strecke ist da verschlüsselt.
dus.sec<-1->dus.proxy<-2->wemauchimmer; 1 verschlüsselt oder keine

dus.sec<->andere.sec von ende zu ende verschlüsselt?

Prima finde ich auf jeden Fall, dass dieses Feature kostenlos angeboten wird. TLS hin oder her, es macht es zunächst mal um einiges sicherer. Blöd ist nur die fehlende Kooperation der Provider untereinander (offensichtlich der größeren) Denn: was nutzt es, eine Verschlüsselung von dus<->festnetz zu haben, wenn es vom Festnetz wegen fehlender peerings wieder (auch noch kostenpflichtig) ins voip-netz von z.B. 0&0 oder zu grünen Hühnern geht :-( kann man nur hoffen, dass die anderen Provider nachziehen.
Zum Vergrößern anklicken....

Ja das sind auch interessante Konstellationen, die Verschlüsselung teilweise wieder wirkungslos machen.

Wer möchte kann ja mal versuchen seinen eigenen Mitschnitt zu knacken..... und so komfortabel kommen potentielle mithörer nicht an alle Daten, das ist vermutlich unbestritten.....
Zum Vergrößern anklicken....


Na dann ist das Theater um SRTP und offen übermittelte Masterkeys doch reichlich übertrieben, oder?
 
Man micro, mach mal langsamer bin gerade dabei auf deinen vorhergehenden Post was zu schreiben ;-)

Dann kurz vorher noch was dazu:
Na dann ist das Theater um SRTP und offen übermittelte Masterkeys doch reichlich übertrieben, oder?
Zum Vergrößern anklicken....
Naja.... das sieht halt jeder anders. Ich persönlich halte es für übertrieben. Ich bin derzeit froh über jede Verbesserung in Richtung Datenschutz und wenn Unternehmen da etwas (zudem kostenlos) einführen finde ich das zunächst gut und nachahmenswert.
(Kurzer Ausflug ins OT: Mir ist auch lieber, wenn die Leute wep einsetzen anstelle von keiner WLAN-Verschlüsselung, natürlich ist das ein schwacher Schutz und WPA ist besser, aber immerhin.)

Jetzt weiter ;-)
micro schrieb:
Danach kannst du uns auch mal erklären, in wie weit ein VoIP-Gespräch ohne Verschlüsselung einfacher abzuhören ist, als ein Festnetz-Gespräch.
Zum Vergrößern anklicken....

Ich bin zwar nicht gefragt aber lies dir den Thread mal durch:
http://www.ip-phone-forum.de/showthread.php?t=86903#post462398
gehe dann auf die Seite http://www.oxid.it/ lade dir das Programm herunter, spiele 5 Minuten damit und schau selbst ob es mit der Verschlüsselung schwieriger bzw unmöglich wird ein verschlüsseltes Gespräch abzuhören. Selbst ohne TLS

Und natürlich wird es immer eine Möglichkeit geben Gespräche abzuhören!
 
Zuletzt bearbeitet:
entschuldigt, ich wusste nicht, das ich hier nur mit Experten rede
und muss daher gestehen, anders als all die Schlaumis hier, habe ich nicht Informatik studiert
Aber ich halte mich doch in der Lage, einen für Endanwender gemachtne Artikel wie den von Onlinekosten.de korrekt zu verstehen und eigentlich ist er recht deutlich. Noch dazu, wo die Lösung (Sipgate-Methode) noch dabei steht, sprich der Nachteil von DUSnet doch klar erkennbar ist
Grundsätzlich halte ich sogar unverschlüsselte Telefonate ansich für sicher genug, so im Internet sehe ich da auch keine Abhörmöglichkeit gegeben, aber wenn man schon Verschlüsselung anbietet, so als ganz neues Feature, dann nimmt man doch nix, was schon von vornherrein unsicher ist und damit rein garnix bringt. Wenn jemand Angst hat, dass seine VoIP-Telefonate abgehört werden, dann wird demjenigen auch klar sein, dass alles, also auch die Invite-Message mitgeloggt wird und somit istz die Verschllüsselung nichts mehr wert. Die DUSnet Methode hilft allerhöchstens gegen Abhören, wenn jemand "zufällig" deinen Datenstream erwischt, so mitten im Gespräch, denn dann fehlt das Passwort natürlich. Aber wer sich Gedanken macht abgehört zu werden, also so wirklich persönlich, der sollte davon ausgehen, dass sätmlicher Traffic geloggt wird.
Ich wüsste weiterhin nicht warum ich dem Onlinekosten.de Artikel, der das ganze für dumme Laien wie mich doch easy erklärt, keinen Glauben schenken darf.
Ich glaube User wie f.harder haben überhaupt nicht verstanden worum es geht, wenn sie der Meinung sind es ist sicher.
Aber dann lass ich euch möchtegern Informatiker mal wieder alleine :)
 
JSchling schrieb:
entschuldigt, ich wusste nicht, das ich hier nur mit Experten rede und muss daher gestehen, anders als all die Schlaumis hier, habe ich nicht Informatik studiert
Zum Vergrößern anklicken....
Sorry, JSchling, aber das finde ich jetzt unpassend. Ich habe in meinen Posting eine Do It Yoursel Anleitung geliefert, wie Du deinen eigenen Voip-Verkehr mal mit und ohne Verschlüsselung mitloggen kannst, mach Dir selbst ein Bild.

JSchling schrieb:
Noch dazu, wo die Lösung (Sipgate-Methode) noch dabei steht, sprich der Nachteil von DUSnet doch klar erkennbar ist
Zum Vergrößern anklicken....
Wo ist denn Deiner Meinung nach genau der Nachteil?

JSchling schrieb:
Die DUSnet Methode hilft allerhöchstens gegen Abhören, wenn jemand "zufällig" deinen Datenstream erwischt, so mitten im Gespräch, denn dann fehlt das Passwort natürlich. Aber wer sich Gedanken macht abgehört zu werden, also so wirklich persönlich, der sollte davon ausgehen, dass sätmlicher Traffic geloggt wird.
Zum Vergrößern anklicken....
Ja, natürlich wird alles mitgeschrieben, aber selbst da hilft diese Verschlüsselung. Noch mal: der mitgesendete Masterkey ist nicht der Key, der die Sprachdaten verschlüsselt.

JSchling schrieb:
Ich wüsste weiterhin nicht warum ich dem Onlinekosten.de Artikel, der das ganze für dumme Laien wie mich doch easy erklärt, keinen Glauben schenken darf.
Zum Vergrößern anklicken....
Doch, kannst Du. Es stimmt, es wird kein TLS verwendet. Leider ist die Interpretation kein TLS=unwirksamme Verschlüsselung völlig falsch.

JSchling schrieb:
Ich glaube User wie f.harder haben überhaupt nicht verstanden worum es geht, wenn sie der Meinung sind es ist sicher.
Zum Vergrößern anklicken....
Ich oute mich dann mal: Wenn ich hier von Dir lese es sein eine unwirksame Verschlüsselung, dann verstehe ich das wirklich nicht.

JSchling schrieb:
Aber dann lass ich euch möchtegern Informatiker mal wieder alleine :)
Zum Vergrößern anklicken....
Tja :noidea: was soll ich da jetzt zu schreiben.....
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 781 (Mitglieder: 29, Gäste: 752)

Neueste Beiträge

Statistik des Forums

Themen
244,878
Beiträge
2,220,009
Mitglieder
371,600
Neuestes Mitglied
tobitm
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück