Создатель PGP занялся безопасностью итернет-телефонии
28 июля 2005
http://www.securitylab.ru/56241.html
Автор популярного средства шифрования электронной корреспонденции Pretty Good Privacy работает над программой, которая поможет блокировать прослушивание телефонных разговоров, осуществляемых через Интернет.
Прототип своей разработки Фил Циммерман планирует представить на конференции Black Hat в Лас-Вегасе. Актуальность этой программы, по мнению автора, трудно переоценить, поскольку развертывание сервисов интернет-телефонии, особенно в корпоративном секторе, сдерживается именно опасениями за конфиденциальность
разговоров. Новое приложение шифрует/дешифрует VoIP-трафик в реальном времени, что существенно затрудняет прослушивание. По заявлению г-на Циммермана, его разработкой уже заинтересовались несколько компаний.
Автор сообщил также, что не будет делать тайны из исходных кодов своего детища. Однако будут ли они формально распространяться по одной из открытых лицензий, как это было с PGP, пока неизвестно.
комментариев: 11558 документов: 1036 редакций: 4118
Вот ещё по теме:
http://pulverblog.pulver.com/archives/002576.html
http://www.pcworld.com/resourc....., pg,1, RSS, RSS,00.asp
P. S.
http://www.schneier.com/blog/a...../encrypted_voip.html плюс комментарии.
комментариев: 11558 документов: 1036 редакций: 4118
Поскольку zFone — всего лишь рабочее название продукта, Фил Циммерман объявил конкурс на лучшее название для финальной версии. Отправлять свои предложения можно на его адрес prz собака mit точка edu с темой Product name contest. Победителю обещается подпись его OpenPGP-ключа от самого Циммермана, пожизненная лицензия на программу и футболка с тем же названием. :) Идеи принимаются до 30 сентября.
комментариев: 9796 документов: 488 редакций: 5664
Правда в комментариях в блоге у Шнайера было написано, кажется что VPN слишком громоздкий и медленный. Но зато так надежнее. А пока разработают протокол специально для голоса, там вероятно куча ошибок вылезет из-за такой экономии.
Плюс, хотя продукт будет и Open Source, лицензия от PGPcorp будет явно не GPL-совместимой (я ошибаюсь?) и пользователи GPL/BSD Unix не смогут включить такой продукт в "лицензионно-чистый" дистрибутив. Т.е. его в лучшем случае можно будет установить в систему как стороннее приложение (так же как Java Descktop Env).
А значит производители некоммерческих дистрибутивов Unix не смогут собирать и тестировать пакеты под свой дистр, оперативно выпускать security fix, искать дыры и в большом сообществе разработчиков GPL/BSD систем продукт будет проигнорирован (так же как и PGP).
Или сделают аналог, так же как сделали PGP->GPG.
Ждем GNUfone :-)
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Угу, после такого приза вместе с фирменной футболкой пользователь будет себя чувствовать фирменным идиотом. :-)
Или пожизненно – по коммерческой лицензии, а посмертно – так уж и быть – можно и GPL/BSD.
Да скорее всего будет что-то наподобие Java – исходники открыты, но изменять версии и оперативно накладывать секьюрити-патчи дистростроителям нельзя (ждать только нового официального релиза), собирать свои пакеты нельзя, включать код в свои проекты нельзя, а если можно, то надо денег отстегнуть.
А все права на выпуск всех версий будут принадлежать только одной компании и по каждому поводу у нее надо будет разрешение спрашивать. Поживем увидим.
комментариев: 9796 документов: 488 редакций: 5664
http://www.asterisk.org/
комментариев: 9796 документов: 488 редакций: 5664
http://lists.digium.com/piperm.....04-April/003685.html
Но вполне можно делать то, о чем я говорил – VPN – туннель:
http://lists.digium.com/piperm.....04-April/003809.html
http://www.softwink.com/papers.....ing_VoIP_With_Linux/
Лучше, чтобы еще больше разработчиков и инвесторов (хотя их и так уже не мало) присоединились к проекту asterisk, да и в корпоративном секторе, насколько мне известно он тоже широко используется и шифрованные переговоры по нему уже давно используют.
См. также:
http://www.asterisk-support.ru/
http://asterisk.org.ru/
комментариев: 510 документов: 110 редакций: 75
комментариев: 11558 документов: 1036 редакций: 4118
Если Мэллори попытается провести MITM-атаку, то ему потребуется с каждой стороной вырабатывать отдельный сеансовый ключ (поскольку он не знает секрета DH, выбранного контрагентом), а, значит, у обоих контрагентов получатся разные сеансовые ключи и, соответственно, разные хэши и разный список этих самых биометрических слов/символов. В общем, если Вам знаком голос собеседника, то вклиниться в канал будет практически невозможно (если не рассматривать экзотические атаки с компьютерным синтезированием голоса).
комментариев: 11558 документов: 1036 редакций: 4118
Для затруднения экзотических атак лучше называть показанные символы косвенно – "а с третьей буквы начинается имя девушки, с которой мы гуляли на прошлой неделе."
А можно поступить ещё хитрее – называются символы как предполагается, а потом, в якобы обычной беседе, применяются заранее обговоренные проверочные приёмы: "А вчера были Аня, Катя, Маша, каждой купил мороженное по 75 рублей, а потом подошли Колян и Вован ..." ;)
комментариев: 11558 документов: 1036 редакций: 4118
Что это даст? Если Мэллори способен синтезировать голоса обоих собеседников, он прочитает каждому из них тот отпечаток ключа, который данный абонент должен видеть.
При успешной MITM-атаке (на этапе хэндшейка) каждый абонент вырабатывает сеансовый ключ именно на пару с Мэллори, так что и ключи, и их отпечатки Мэллори прекрасно знает. Проблема (для Мэллори) в том, что абоненты получат отличные друг от друга сеансовые ключи, и если он не может как-то сымитировать голосовую аутентификацию, атака будет раскрыта и абоненты просто прервут разговор.
Писалось (вроде бы у Киви Берда в "гигабайтах власти") о том, что сейчас умеют редактировать видео (причём, довольно интеллектуально) прямо в процессе прямой трансляции. Уже сейчас нельзя доверять тому, что видишь на видео. Не думаю, что голос ушёл сильно далеко от...