Podporujeme šifrované hovory ZRTP i SRTP

[xsouku04]

Dnes bylo zprovozněno šifrované volání. Šifrována může být jak SIP signalizace (TLS) - nikdo neodposlechne kam voláte tak i samotný hovor SRTP nebo ZRTP. Šifrování pomocí ZRTP je nejpokročilejší, nejde odposlechnout nikde po cestě ani na naší ústředně, ale funguje jen pro volání v síti Odorik<->Odorik a nemá zatím podporu hardwarových telefonů.

Šifrovat hovor samotný (SRTP) bez šifrování signalizace nemá smysl, protože pak jdou odposlechnout použité klíče tedy i celý hovor. SRTP je tedy nutné vždy použít v kombinaci se šifrováním signalizace. Tomu se dohromady zjevně říká SIPS.

Pokud použiji šifrování hlasu pomocí ZRTP, signalizaci mohu i nemusím šifrovat. Klíče totiž nevyměňují v signalizaci, ale přes ZRTP samotné, takže jsou vždy v bezpečí. Pokud nešifruji signalizaci, útočník může odposlechnout komu volám, ale nikoli hovor samotný. Pokud šifruji oboje, útočník se nedozví vůbec nic.

Velká část hardwarových telefonů jako Grandstream nebo WEL T-20 podporuje SIPS (tedy TLS + SRTP), nicméně není to bezproblémové. Např. Telefon Grandstream GXP280 umožňuje šifrování srtp, ale nepodporuje šifrování signalizace, takže je pro šifrování nepoužitelný. http://forum.odorik.cz/viewtopic.php?f= ... =280#p4629

Různý hardware může mít co se šifrování týče různé mouchy a podivnosti v nastavování.
Z toho důvodu doporučujeme šifrování jen těm, kteří vědí co dělají a nevadí jim trochu experimentování.

Odposlechnout SIP heslo není možné v žádném případě i když šifrování není používáno.
Naše podpora na téma šifrování je hodně omezená a jen pomocí tohoto fóra. Řekněme že je to zatím jen v experimentálním režimu.

Mějte na paměti, že pokud např. přes Odorik voláte na mobilní telefon, může někdo odposlouchávat daný mobilní telefon a šifrováním internetového hovoru tomu nezabráníte. Jediná plná ochrana je při volání Odorik<->Odorik přes zrtp. To nedovede odposlechnout nikdo ani my ne. Jediné co se u nás uchovává je výpis hovorů, tedy historie kdo komu kdy volal i když hovory s dvěma hvězdičkami na začátku (nutné pro zrtp) nenajdete ani ve výpisu hovorů ani ve své historii volání i když u nás uloženy jsou.

[luky]

skvělá práce, díky !

[uzivatel]

Nevidím žádný návod, jaký hostname použít, jaký port apod.?

[luky]

http://forum.odorik.cz/viewtopic.php?f=7&t=878

Zdravim,
pridali jsme pozadovane zabezpeceni SIPS SRTP (rtp) a TLS (signalizace)

TLS ciha na portech 5061 a 6689

lze pouzit samotne TLS nebo samotny SIPS nebo oboje dohromady.

Prosim o otestovani.

Dekuji

[luky]

nemáte někdo zkušenosti s aplikací TLS a SRTP u Cisco SPA112 (SPA122)? Funguje to u tohoto přístroje v praxi?
Díky

[xsouku04]

Na wiky máme nově návod jak nastavit a používat TLS/SRTP s telefony Grandstream GXP1400 a Well/Yealink SIP-T20

http://www.odorik.cz/w/srtp

V nastavení linky nyní přibyla volba "vynucení SRTP pro příchozí hovory" aktivní/neaktivní . Pokud chcete přijímat hovory šifrovaně, zapněte si tuto volbu.

S tímto nastavení jsou všechny hovory mezi naši ústřednou a vašim telefonem šifrovány.

Další novinkou je, že u výpisu registrovaných zařízení u nás na webu vypisujeme i port (5060, 5061 pro TLS, 6688 nebo 443), a protokol (UDP, TCP nebo TLS).

[luky]

díky

[jzupka]

Dobrý den,
čerstvě testuji Vaše služby a líbí se mi. Jen bych chtěl používat SIPS (zabezpečený sip přes tls).
Ale vypadá to, že certifikát, který je použit na zabezpečení spojení není řádně podepsaný.
Zkoušel jsem i certifikát na Vaše HTTPS spojení a ten je v pořádku.

Bylo by možné opravit tuto nepříjemnost, aby se dalo využít větší množství VOIP programů,
i ty co nepodporují ignorování chyb TSL komunikaci.

Nebo někam vystavit návod jak tento problém na různých systémech elegantně
případně i vcelku bezpečně obejít?

Nejde mi o velkou bezpečnost. Certifikační autority nechci zbytečně živit, kvůli
takové prkotině. Spíš jen nechci neukazování mého přihlašovacího
jméno a hesla každému kdo spustí síťoví osposlouchávač na potkání.
A chci zamezit odposlouchávání mích hovorů kýmkoliv na síti.

Můj problém je, že i když přidám Váš certifikát do mít root CA autorit
tak mi programy, které využívají tls spojení přes openssl vyhodnotí,
že není možné certifikát správně vyhodnotit. Právě mě zarazilo, že
ani nepíše jako obyčejně, že je self-signed.

Mějte se

[jzupka]

Dobrý den,
řešní:
máte nějaký odkaz, kde se dá stáhnout vaš CA veřejný certifikát?

[kovik]

Dobrý den,
řešní:
máte nějaký odkaz, kde se dá stáhnout vaš CA veřejný certifikát?

Dobry den,
pridal jsem ho na wiki http://www.odorik.cz/w/srtp