OST:BLOG

Eine neue Version seiner VoIP-Software bietet der Hersteller Skype nun zum Download an

DIESER BEITRAG WURDE AKTUALISIERT - SIEHE WICHTIGEN SICHERHEITS-HINWEIS UNTEN

Grzesiek aus dem schlesischen Jelenia Góra [Hirschberg], arbeitet mit seiner Freundin in Liverpool und kommuniziert seit mehreren Monaten mit seiner Schwester über Skype. „Die Anfänge waren grotesk, da mein Bruder nur in einem Internetkaffe Zugang zum Internet hatte, ich konnte ihn hören und mit ihm sprechen, er hatte damals aber nur Walkmankopfhörer ohne Mikro, so dass ich mit ihm sprach er mir aber nur schreiben konnte“ – erklärt Jola gegenüber Ostblog.

Auf dem kleinen Flughafen Mikołaj Kopernik in Wrocław [Breslau] warteten am Heilig Abend ältere Leute auf ihre Familien-Angehörigen. Aus einer Billig Air Line aus London stiegen dann auch tatsächlich nur junge Menschen aus. „Was soll aus uns werden, wenn die ganze Nation sich im Ausland in der Verachtung rumtreibt“ – sagte ein älterer Herr der sichtlich angetan war darüber, dass von der Abfertigung auffallend nur junge Menschen herauskamen. In Polen leben nach Angaben des staatlichen Amtes für Statistik 59 % der Bevölkerung unter dem Existenzminimum.

Aber wie sicher ist denn Skype eigentlich?

Die Internet-Telephonie ist für viele mittlerweile zu einer Selbstverständlichkeit geworden. Insbesondere unter den polnischen WandermigrantInnen wurde Skype unlängst zu einem sehr beliebten Mittel um Kontakt zu der Familie in Polen zu unterhalten. Umgekehrt bietet Skype eine kostengünstige Alternative zu den hornenden Preisen für internationale Gespräche der polnischen Telekomunikacja S.A. Da viele BewohnerInnen der Blocks der Neubaugettos und Satellitenstädte aus den 70er und 80er Jahren nahe zu flächendeckend an ein preiswertes Breitband-Internet angeschlossen sind, war es nicht verwunderlich das zur Weihnachtszeit der Sohn, Bruder oder Schwester die in England, Deutschland oder Frankreich jobben ihrer Familie ein Headset unter den Weihnachtsbaum legten.

Über die Sicherheit von Skype wurde vielfach diskutiert. Erst kürzlich hat die französische Regierung Skype von den Universitäten verbannt, da es angeblich ein „Sicherheitsrisiko“ darstellt. Interessanterweise kam die Vorlage vom Generalsekretariat des französischen Verteidigungsministeriums. Dies könnte darauf hindeuten, dass Skype entgegen dem herkömmlichen Telefonnetz nicht ohne weiteres abhörbar ist.

Das öffentliche Datennetz ist allerdings auch ungeschützt. Im Prinzip können Daten abgefangen oder kompromittiert werden. Letztlich ist das nicht anders als beim Versenden von E-Mails, die auch "jeder" lesen kann. Obwohl also E-Mails im Prinzip wie Postkarten sind, scheint dies die große Masse der Nutzer nicht zu stören, auch wenn es durchaus Möglichkeiten gäbe, die E-Mails zu verschlüsseln.

Auf der anderen Seite aber ist die Verschlüsselungsmethode als solches sehr wohl bekannt. Skype verwendet für die Verschlüsselung der Gespräche bzw. der Instant Messages die bekannte Verschlüsselungsmethode AES (Advanced Encryption Standard; "Rijndael") mit 256-Bit-Schlüssel. Die symmetrischen AES-Keys werden mit RSA-Keys (1536 bis 2048 Bit) ausgehandelt. Die öffentlichen Schlüssel der Nutzer werden durch den Skype-Login-Server beim Einloggen bestätigt.

Skype ist eine Voice-over-IP-Software. Bei dem (nicht SIP-basierten) Skype werden nicht nur reine VoIP-Gespräche, sondern sogar Gespräche ins "traditionelle" Telefonnetz zwischen User und Telefongateway verschlüsselt. Die Sicherheit der verwendeten Algorithmen wurde in der Vergangenheit immer wieder angezweifelt.

Skype nahm diese Spekulationen zum Anlass einen unabhängigen Computer–Sicherheits-Experten mit einer Studie zu beauftragen.

Der Autor der Studie der Kryptograph Tom Berson kam zu folgenden Ergebnissen:

The designers of Skype did not hesitate to employ cryptography widely and well in order to establish a foundation of trust, authenticity, and confidentiality for their peer-to-peer services. The implementers of Skype implemented the cryptographic functions correctly and efficiently. As a result, the confidentiality of a Skype session is far greater than that offered by a wired or wireless telephone call or by email and email.

Dem Bericht nach wurden auch keine Anzeichen auf Spyware oder Backdoors gefunden.

Skype wurde Anfang September durch eBay übernommen und setzt ein proprietäres Protokoll ein. Es basiert auf der so genannten Peer-to-Peer-Technologie, also Direktverbindungen ohne Beteiligung zentraler Server. Google hat im August 2005 den VoIP-Dienst Google Talk gestartet und nutzt derzeit auch nicht den SIP-Standard, sondern zumindest für die Audio-Übertragung ein eigenes Protokoll: "Google Talk supports a custom XMPP-based signaling protocol and peer-to-peer communication mechanism. We will fully document this protocol. In the near future, we plan to support SIP signaling."

NACHTRAG vom 2.04.2007 / WICHTIGER HINWEIS:

Früher hatten wir hier, bei der Benutzung von Skype eine sichere Kommunikation nahegelegt. Dies vorallem, weil Skype AES-256 zur Verschlüsselung benutzte. Seit der Übernahme von Skype durch Ebay hat sich die Software weiterentwickelt, jedoch massiv in die falsche Richtung. Der letzte Vorfall liegt einige Tage zurück, bei dem bekannt (Original Quelle) wurde, dass eine zusätzlich mit Skype installierte Software die Daten des BIOS ausliest und versendet. Dadurch wird eine eindeutige Idendifikation der Benutzerin möglich.

Bereits 2006 wurde auf massive Sicherheitsprobleme auf der BlackHat Europe hingewiesen. Wir möchten deshalb hier an dieser Stelle ausdrücklich den Gebrauch von Skype nicht mehr empfehlen! Freie und bessere Alternativen sind z.B. Jabber mit OTR Verschlüsselung.

Links:

Die Studie ist hier abrufbar:
http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf

(mit PGP-Signatur)