Bryd Skypes VoIP-kryptering og tjen milliarder

Spørgsmålet er så om skypes krypteringsteam/mand har moralen iorden. En mil kan godt være lokkende!

Well, det er rimelig velkendt at Skype krypterer sine forbindelser med helt almindelig og kedelig 256 bit AES, så det er sådan set ikke noget særligt ud over hvad man gør med en web browser. Det er der heller ingen som kan bryde.

NSA har i øvrigt en stor del af verden bedste kryptologer ansat og meget af det vigtige forskning inden for kryptering er foregået der. Der er ingen tradition for at de betaler andre for at gøre sådan noget.

#2 de skal lige starte med at finde en måde at kunne sniffe alt data op, for at kunne starte afkodningen.

Det er jo P2P, så der er lidt arbejde i at finde alle data veje mm.

#3
Jeg tror nu nok at Skype trafik er let nok at genkende og i henhold til den seneste wiretapping skandale i USA så tror jeg nu også nok de kan få den krypterede data så længe vi snakker inden for USA.

NSA har i øvrigt en stor del af verden bedste kryptologer ansat og meget af det vigtige forskning inden for kryptering er foregået der. Der er ingen tradition for at de betaler andre for at gøre sådan noget.mathiass (#2)

De har ikke kryptologer ansat og ordet giver ikke mening. Kryptologi er læren om hemmeligholdelse af information. Det de har ansat er kryptoanalytikere (kodebrydere) og kryptografer (kodeskabere). En kryptoanalytiker er næsten per definition også kvalificeret som kryptograf og omvendt, hvilket navn man bruger afhænger af hvad den enkelte laver.

AES falder til afsøgning af hele nøglerummet men det tager meget lang tid, XSL angrebet skulle være hurtigere men det er tvivlsomt hvorvidt det virker. Det har dog medført at enkelte eksperter i kryptografi har udtrykt bekymring ved enkeltheden af AES.

Det bedst bud mod AES er side-channel attacks hvor man ikke går efter algoritmen, men den specifikke implementation. Enkelte implementationer af AES er allerede faldet til denne type angreb.

Skypes sikkerhed kan sagtens brydes - AES-kryptering kan ikke.

Lur mig on ikke "kilden inden for industrien" er Skypes PR-afdeling. Skype har aldrig været et imponerende produkt, men altid dygtigt markedsført. Rent reklame-stunt at kalde AES for "Skypes VOIP- kryptering". Ethvert fjols kan jo kryptere en netværksforbindelse med AES og hvis nøgleudvekslingen fx bruger SSL, så er det ret sikkert.

Skypes svagheder er i enderne af forbindelsen: Fx kan klienter overtages og passwords phishes og Skypes server-certifikater kan lækkes og ...

Som det er med andre krypteringsløsninger, så er det næsten umuligt at bryde den direkte. Det svageste led er klart brugeren eller computerens andre funktioner.

Det må være meget nemmere at installere en trojaner, eller simpelthen aflytte personen direkte på stedet.

De fleste angreb foregår ved at angribe det svageste led, som er Windows eller brugeren (tryk ja for at installere MegetVigtigUpdateFraTech2000Russia), og ikke krypteringsledet direkte. Dermed også sagt, at kvantekryptering er fjollet. ;-)

Det er i hvert fald ikke finanskrisen der trykker hårdest på NSA, når man vil ofte 1 milliard dollar Skypes kryptering. Hvorfor ikke bare opkøbe lortet i stedet, og så derefter implementere overvågning? Et amerikansk, statsejet chatprogram kunne da være herre optur.

#8 Hehe, så ville jeg svare alle mine opkald med "Halal! Taleban Bomb Geert Wilders Dubai Harekrishna Kjærsgård Hitler Hussein Johnny bruger ikke gummistøvler - Du taler med Izaaq"

#Topic
Hvis man virkelig vil angribe Skype, så burde man nok bryde ind (fysisk eller digital) hos Skype og nappe alle deres krypteringsnøgler osv.

Nu kender jeg ikke systemet præcist, men der må foreligge noget udveksling af krypteringsnøgler mellem klientprogrammet og en server hos Skype ved installation af programmet, så SKype kan sætte sikrede forbindelser op mellem to brugere, uden at der som init til telefonsamtalen skal udveksles nøgler. Dette ville være for usikkert. Derfor skal man nok have fat i Skypes lister over krypteringsnøgler.

//onTopic
Lyder rimelig vildt, hvis det skulle være sandt. På den anden side så har Ebay da mulighed for at tjene lidt på deres fejlslagne investering ved at sælge en bagdør i Skype til NSA. :-)

//offtopic

NSA har i øvrigt en stor del af verden bedste kryptologer ansat og meget af det vigtige forskning inden for kryptering er foregået der. Der er ingen tradition for at de betaler andre for at gøre sådan noget.Zagadka (#5)

De har ikke kryptologer ansat og ordet giver ikke mening. Kryptologi er læren om hemmeligholdelse af information. Det de har ansat er kryptoanalytikere (kodebrydere) og kryptografer (kodeskabere). En kryptoanalytiker er næsten per definition også kvalificeret som kryptograf og omvendt, hvilket navn man bruger afhænger af hvad den enkelte laver.
mathiass (#2)

Undskyld mig, for at opildne til lidt navlepilleri, men hvis man ikke kan bruge navnet kryptologer om folk, som arbejder med kryptering, hvorfor bruger man så begrebet dataloger om folk, som arbejder med data? Ifølge din logik, bude man bruge begrebene dataanalytikere og datagrafer? Hvad med geologer? Sociologer? Antropologer, osv.

Man må formode at folk som arbejder med kryptologi, dem jeg ville kalde kryptologer, foruden at lære om at bruge kryptoprotokollerne også lærer om at bryde dem. Og derfor både er kryptografer og kryptoanalytikere ifølge din definition. Selvfølgelig kan de så godt være specialiseret i enten at bryde dem eller skabe dem, men det er jo ingen forskel fra andre felter, hvor man som datalog enten kan være specialiseret i enten arkitekturdesign eller brugergrænseflader.

Det er The register... lærer folk da aldrig?
Det var da en af de mere tumpede "nyheder" i længere tid..

AES-kryptering kan ikke.tazly (#6)

Man bryder heller ikke AES.

Man finder bare den person som skulle læse beskeden og stjæler hans decoder nøgle.

Bare læs: http://xkcd.org/538/

De kunne da altid forsøge brute-force....

Desværre ville de nok først dekode beskeden ca 50 år forsent

#13 de kunne også være heldige at ramme rigtigt i første forsøg

Fandt en interessant forum post fra 2006:

"But at a conference last week in Cyprus, German officials said they had technology for intercepting and decrypting Skype phone calls, according to Anthony M. Rutkowski, vice president for regulatory affairs and standards for VeriSign, a company that offers security for Internet and phone operations. "

-Læs selv her

Skype har jo længe stillet teknologien til rådighed for feks Kina.

At NSA evt. påstår de skal bruge en kodeknækker for at læse skype-meddelelser er jo bare smokescreen. De har sikkert læst/logget/hørt dem siden Skype blev overtaget af et amerikansk firma aka Ebay (eller hvem det nu lige var).

De har ikke kryptologer ansat og ordet giver ikke mening.Zagadka (#5)

Hvorfor mon Forsvarets efterretningstjeneste så søger en kryptolog?

Spørgsmålet er så om skypes krypteringsteam/mand har moralen iorden. En mil kan godt være lokkende!vikezz (#1)

Hvis de fra start af designede det så godt som artiklen antyder, så kan de heller ikke selv bryde det.

Well, det er rimelig velkendt at Skype krypterer sine forbindelser med helt almindelig og kedelig 256 bit AES, så det er sådan set ikke noget særligt ud over hvad man gør med en web browser.mathiass (#2)

Hvis man tror at AES er en dækkende beskrivelse, så ved man ikke nok om kryptering. AES er en blokcipher, det er blot et af de primitiver der skal til for at lave et komplet kryptosystem. For at opnå et sikkert kryptosystem, så skal samtlige primitiver det anvender og måden de sættes sammen på være sikre. Der er mange systemer der har svagheder fordi de anvender AES forkert.

#1

Ligegyldigt.

Hvis Skypes sikkerhed er bare halvgodt lavet, så skal sikerheden ikke forringes af at han fortæller alt hvad han ved.

#4

NSA har aflyttet alt i udlandet som de har kunne få fingrene i siden starten på den kolde krig.

Og de har kunnet få fingrene i meget.

Kommunikationen i USA er den de har aflyttet mindst, fordi amerikanske skatteydere ikke bryder sig om at deres skatte penge bruges til at krænke deres eget privat liv.