Zdravím čitatele,
ví někdo, jak nastavit Twinkle (kam co zapsat), aby se registroval s protokolem TLS a ne UDP? Předem díky.
Twinkle a TLS
-
xsouku04
- Administrátor
- Příspěvky: 8276
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Twinkle a TLS
Procházel jsem si nastavení a nenašel jsem to. Myslím si, že je možné, že to nemá, je hodně starý.
Ten program byl už totiž jednou vyřazen z balíčků kvůli problémům s kompilací s novější qt knihovnou a také proto, že projekt vypadal opuštěný.
V nejnovějším debianu opět je. A je to jistě dobrá volba.
Ale to, že neměl žádné opravy, bylo do velké míry tím, že neměl žádné chyby, které by bylo třeba opravovat. Čímž je docela výjimečný.
Ono také v době, kdy byl napsán, nebylo TLS ještě běžné.
Je zde možnost šifrování dělat pomocí wireguardu nezávisle na programu. viewtopic.php?t=5352&hilit=wireguard
Ten program byl už totiž jednou vyřazen z balíčků kvůli problémům s kompilací s novější qt knihovnou a také proto, že projekt vypadal opuštěný.
V nejnovějším debianu opět je. A je to jistě dobrá volba.
Ale to, že neměl žádné opravy, bylo do velké míry tím, že neměl žádné chyby, které by bylo třeba opravovat. Čímž je docela výjimečný.
Ono také v době, kdy byl napsán, nebylo TLS ještě běžné.
Je zde možnost šifrování dělat pomocí wireguardu nezávisle na programu. viewtopic.php?t=5352&hilit=wireguard
-
xsouku04
- Administrátor
- Příspěvky: 8276
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Twinkle a TLS
Našel jsem tohle. Ale mám to zašedlé.
ZRTP se může používat i bez šifrovaní signalizace tedy bez SIPS.
Ale použít SRTP má smysl, jen když se použije SIPS, tedy šifruje i signalizace.
- obrazek.png (75.97 KiB) Zobrazeno 4167 x
Ale použít SRTP má smysl, jen když se použije SIPS, tedy šifruje i signalizace.
Re: Twinkle a TLS
Twinkle je skvělý telefon, pro použití se sipproxy Odorik myslím bezkonkurenční, tedy pokud nepotřebujete videohovor. (Jediné, co mu chybí, je nahrávání hovorů a to Odorik umí nezávisle.)
Pokud chcete šifrovat (což je přirozené), ať už ZRTP nebo SRTP (my používáme ZRTP), je potřeba si ho zkompilovat vlastními silami. Zdrojový kód je na Githubu, https://github.com/LubosD/twinkle/.
U nás to dělal kolega, ale vím od něj, že to bylo bezproblémové, cmake (s příslušnými parametry) - make - make install. Žádný hacking nebyl potřeba, největší problém prý bylo najít na netu potřebné externí knihovny (je to zkompilováno i s g729 a ilbc kodeky, navíc k ZRTP šifrování), jejich kompilace opět bez problému. (Zajímalo mne to, proto si to pamatuju.)
Ty zdrojáky kolega skladuje, určitě by nebyl problém je poskytnout, aby odpadlo hledání.
Shrnuto – za předpokladu, že obecně jste s to si něco zkompilovat, s klidem do toho...
P.S. Když by o to byl zájem, mohl bych zkusit kolegu umluvit, aby z těch zkompilovaných binárek (knihovny + program) udělal deb balíčky – ale za výsledek fakt neručím, kolega toho má teď hodně a já tohle nikdy nedělal, tak nevím, jak moc velká je to práce. Je to zkompilováno na Devuanu Beowulf (64 i 32 bit), ale běhá to i na novějším.
Jen pro úplnost, to nebylo jen kvůli qt3. Další, a podstatnější, problém byl se závislostí na staré verzi libccrtp.
Potvrzuji. Ve firmě ho používáme jako sw první volby.
Je, ale protože v něm (netuším proč) chybí knihovna libzrtpcpp, je tam zkompilován bez možnosti šifrování – proto to máte zašedlé
Pokud chcete šifrovat (což je přirozené), ať už ZRTP nebo SRTP (my používáme ZRTP), je potřeba si ho zkompilovat vlastními silami. Zdrojový kód je na Githubu, https://github.com/LubosD/twinkle/.
U nás to dělal kolega, ale vím od něj, že to bylo bezproblémové, cmake (s příslušnými parametry) - make - make install. Žádný hacking nebyl potřeba, největší problém prý bylo najít na netu potřebné externí knihovny (je to zkompilováno i s g729 a ilbc kodeky, navíc k ZRTP šifrování), jejich kompilace opět bez problému. (Zajímalo mne to, proto si to pamatuju.)
Ty zdrojáky kolega skladuje, určitě by nebyl problém je poskytnout, aby odpadlo hledání
.Shrnuto – za předpokladu, že obecně jste s to si něco zkompilovat, s klidem do toho...
P.S. Když by o to byl zájem, mohl bych zkusit kolegu umluvit, aby z těch zkompilovaných binárek (knihovny + program) udělal deb balíčky – ale za výsledek fakt neručím, kolega toho má teď hodně a já tohle nikdy nedělal, tak nevím, jak moc velká je to práce. Je to zkompilováno na Devuanu Beowulf (64 i 32 bit), ale běhá to i na novějším.
-
xsouku04
- Administrátor
- Příspěvky: 8276
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Twinkle a TLS
Ale myslím, že problém se zrtp je v tom, že je vhodný jen na hovory uvnitř sítě, protože jej, myslím, nepodporuje Odorik.cz. Tedy měl by fungovat jen u hovorů v síti na linku v síti s dvěma hvězdičkama.
Kdyby se zrtp prosadil jako standard s podporou ve VoIP hardware a koncových mobilních telefonech, šmíráci by to měli fakt dost těžké.
Tak těžké, že jsem přesvědčen, že by dělali psí kusy, aby to nedopustili. Takže bych se nedivil ani tomu, kdyby nějakého vývojáře opensource "přátelsky" navštívili, aby hrozili kdečím.
Možná jde také o to, aby volně dostupný zrtp nekazil kšefty různým komerčním produktům pro bohaté, mocné a často i nepoctivé, co se bojí odposlouchávání jako čert kříže. Ale ono vydírat se dá i někdo poctivý, takže ten problém se týká všech mocnějších. Např. Merklovou prý Američané také odposlouchávali.
Když to shrnu, tak zrtp má smysl jen pro volání mezi dvěma lidmi. Pro volání na mobil se zrtp degraduje na běžné šifrování (není end to end) a museli bychom podporu přidat u nás.
Samotné SRTP bez šifrování signalizace nemá smysl, protože klíče jdou nešifrované v SIP hlavičkách. Nebo je to jinak?
Kdyby se zrtp prosadil jako standard s podporou ve VoIP hardware a koncových mobilních telefonech, šmíráci by to měli fakt dost těžké.
Tak těžké, že jsem přesvědčen, že by dělali psí kusy, aby to nedopustili. Takže bych se nedivil ani tomu, kdyby nějakého vývojáře opensource "přátelsky" navštívili, aby hrozili kdečím.
Možná jde také o to, aby volně dostupný zrtp nekazil kšefty různým komerčním produktům pro bohaté, mocné a často i nepoctivé, co se bojí odposlouchávání jako čert kříže. Ale ono vydírat se dá i někdo poctivý, takže ten problém se týká všech mocnějších. Např. Merklovou prý Američané také odposlouchávali.
Když to shrnu, tak zrtp má smysl jen pro volání mezi dvěma lidmi. Pro volání na mobil se zrtp degraduje na běžné šifrování (není end to end) a museli bychom podporu přidat u nás.
Samotné SRTP bez šifrování signalizace nemá smysl, protože klíče jdou nešifrované v SIP hlavičkách. Nebo je to jinak?
Re: Twinkle a TLS
Ano, je to tak. Jde myslím o to, že je potřeba, aby hovor šel napřímo, bez „prostředníka“ po cestě.
To jistě.
Mimochodem, on se ten protokol asi celkem používá; například šifrování aplikace Signal je snad postaveno právě na něm.
Ono k něčemu takovému i došlo. Phil Zimmermann, tvůrce ZRTP, následně vyvinul aplikaci zfone (snad si jméno pamatuji dobře), která měla spolupracovat s jakýmkoli sw telefonem tím způsobem, že prostě přidá šifrovací vrstvu, takže budete volat (třeba) pomocí sjphone a bude to šifrováno ZRTP. Zveřejnil ji, ale po jisté době ji stáhl, s komentářem, ze kterého dost jasně plynulo, že to bylo pod nátlakem.
Tomu bych plně věřil.
Ono to obecně zastavit nejde, volně dostupné aplikace, které to umějí, existují a používají se (nejen twinkle, ale i Jitsi Desktop, Linphone, tSIP, baresip, csipsimple, Blink...); ale skutečně masové komerční využití lze marketingově blokovat asi dost úspěšně.
Ano, to byl známý skandál.
Klidně i konferenčně, jen to ale musí být napřímo.
Pokud máte na mysli volání na mobil do běžné telefonní sítě, tak si moc neumím představit, jak by vůbec mohlo fungovat, VTS snad je s to zpracovat hovor jen když je v podobě jakou zná, a ta není šifrovaná...
Pokud máte na mysli volání na mobil jako VOIP, tj. datový přenos, tak ono je asi jedno, na jakém zařízení klient protistrany běží; jde jen o to, aby nebyl „nikdo mezi“. (Vím třeba, že u Linphone na iOS přestane fungovat ZRTP, jakmile zapnete push notifikace, které fungují tak, že mezi Vás a volajícího se přidá další server.)
Když byste tohle dokázali nějak vyřešit (ten protokol přesně neznám, tak netuším, jestli je to vůbec možné), byl by to určitě velký přínos.
Je to přesně tak, jak píšete.