Re: tls & srtp
Napsal: stř 20. lis 2013 22:46:56
Ano pokud používáte SRTP, odposlouchávat je teoreticky možné jen u nás na ústředně, ale nikoli po cestě.
Tedy kdyby nám to policie nařídila, budeme nuceni jim vyhovět.
Trochu lepší situace je, když voláte z neveřejného čísla na neveřejné číslo pomocí jedné hvězdičky, protože tam nemá policie co se odposlouchávání týče oporu v zákoně. Ale teoreticky by si to asi také mohli nějak zařídit, kdyby jim na tom hodně záleželo. (teoreticky možné vydírání a vyhrožování ze strany policie či tajných služeb a pod.)
Pokud voláte se dvěma hvězdičkama v síti, znamená to, že rtp jde na přímo a my jej nedešifrujeme, jen přepošleme. Jak píše Largon, teoreticky je možné to odposlechnout, protože klíče se posílají v signalizaci SIP, kterou u nás dešifrujeme a logujeme (kvůli ladění potíží). Tedy policie si může (ne)zákonně odposlechnout celou komunikaci (pcap) a teoreticky přinutit nás vydat naši dešifrovanou SIP komunikaci a poté si budou moci hovor dešifrovat. Běžná švestka honosící se titulem "IT specialista" to ale předpokládám nezvládne, možná je to ani nenapadne, ledaže by na to měli nějaké klikátko.
Pokud používáte ZRTP, nikdo nemůže poslechnout hovor ani my ne. Klíče se vymění přímo v RTP, takže k nim nemáme přístup.
Zrtp ale nepodporují hardwarové telefony, aby se velký bratr nezlobil, že nejde odposlouchávat .... Pro vývojáře zrtp je lepší nebýt v USA, jinak mohou mít nechtěné návštěvy od tajných či jiné záhadné problémy. Nyní jsem narazil na http://www.zrtp.org/home - píší Made in EU - not restricted by US Export Control (but Internationally by Wassenaar Arrangement)
Zrtp podporuje csipsimple. Vlákno o zrtp jsem nyní přesunul do tohoto podfóra, takže je hned vedle. Nebo hledejte zrtp na fóru Odorik.
Co je na zrtp dobré je to, že je to jen jakoby další kodek, který dovede využívat standardu SIP. Stačí tedy mít standartní sip proxy a hovory pře zrtp jsou možné. Tedy zablokovat jej by vyžadovalo extra práci na naší straně. Důvod proč jej většina VoIP operátorů v ČR nepodporuje je ten, že používají ústředny typu asterisk, které neumí fungovat v režimu proxy. Asterisk vždy hovor dešifruje, takže i kdyby zrtp podporoval (dá se docílit přidáním nějakých patchů), není to bezpečné v případě, že by se policie, tajné služby nebo útočník mohla zmocnit onoho asterisku.
Bezpečné je to jen v režimu proxy, který u nás docílíte, pokud vytočíte číslo v síti se dvěma hvězdičkami na začátku. Tedy např. **300116 .
Podle mého názoru ale není třeba být zbytečně paranoidní. Odposlouchávat by Vás ale mohl mít zájem třeba Váš správce sítě. Pokud jste sám správce sítě, tak je to v pohodě
Tedy kdyby nám to policie nařídila, budeme nuceni jim vyhovět.
Trochu lepší situace je, když voláte z neveřejného čísla na neveřejné číslo pomocí jedné hvězdičky, protože tam nemá policie co se odposlouchávání týče oporu v zákoně. Ale teoreticky by si to asi také mohli nějak zařídit, kdyby jim na tom hodně záleželo. (teoreticky možné vydírání a vyhrožování ze strany policie či tajných služeb a pod.)
Pokud voláte se dvěma hvězdičkama v síti, znamená to, že rtp jde na přímo a my jej nedešifrujeme, jen přepošleme. Jak píše Largon, teoreticky je možné to odposlechnout, protože klíče se posílají v signalizaci SIP, kterou u nás dešifrujeme a logujeme (kvůli ladění potíží). Tedy policie si může (ne)zákonně odposlechnout celou komunikaci (pcap) a teoreticky přinutit nás vydat naši dešifrovanou SIP komunikaci a poté si budou moci hovor dešifrovat. Běžná švestka honosící se titulem "IT specialista" to ale předpokládám nezvládne, možná je to ani nenapadne, ledaže by na to měli nějaké klikátko.
Pokud používáte ZRTP, nikdo nemůže poslechnout hovor ani my ne. Klíče se vymění přímo v RTP, takže k nim nemáme přístup.
Zrtp ale nepodporují hardwarové telefony, aby se velký bratr nezlobil, že nejde odposlouchávat .... Pro vývojáře zrtp je lepší nebýt v USA, jinak mohou mít nechtěné návštěvy od tajných či jiné záhadné problémy. Nyní jsem narazil na http://www.zrtp.org/home - píší Made in EU - not restricted by US Export Control (but Internationally by Wassenaar Arrangement)
Zrtp podporuje csipsimple. Vlákno o zrtp jsem nyní přesunul do tohoto podfóra, takže je hned vedle. Nebo hledejte zrtp na fóru Odorik.
Co je na zrtp dobré je to, že je to jen jakoby další kodek, který dovede využívat standardu SIP. Stačí tedy mít standartní sip proxy a hovory pře zrtp jsou možné. Tedy zablokovat jej by vyžadovalo extra práci na naší straně. Důvod proč jej většina VoIP operátorů v ČR nepodporuje je ten, že používají ústředny typu asterisk, které neumí fungovat v režimu proxy. Asterisk vždy hovor dešifruje, takže i kdyby zrtp podporoval (dá se docílit přidáním nějakých patchů), není to bezpečné v případě, že by se policie, tajné služby nebo útočník mohla zmocnit onoho asterisku.
Bezpečné je to jen v režimu proxy, který u nás docílíte, pokud vytočíte číslo v síti se dvěma hvězdičkami na začátku. Tedy např. **300116 .
Podle mého názoru ale není třeba být zbytečně paranoidní. Odposlouchávat by Vás ale mohl mít zájem třeba Váš správce sítě. Pokud jste sám správce sítě, tak je to v pohodě