Где нынче берут Zfone?

Судя по тому, что это там висит уже больше года, проект скорее мёртв, чем жив.

Получается, что Циммермана задушил "мировой консорсиум гебни" или он просто перешел в узкий коммерческий проект подальше от простого люда? :( (боюсь, что случилось последнее)
А где можно почитать подробнее про PGPphone в целом? Кроме вики и официальных сайтов, где инфы не очень много?

Вы, кажется, путаете Zfone и PGPfone — это совершенно разные программы. Второй можно найти здесь, но насколько он работоспособен в современных условиях, судить не берусь.

по данной ссылке ни один файл не скачивается. где-нибудь есть еще?

Интересно, насколько это фоны вообще актуальны? Большинство современных софтовых SIP-телефонов поддерживают ZRTP. Разве это не то же самое? Если протокол реализован доброкачественно, то так даже удобнее.

Да, zfone именно zrtp использует.

по данной ссылке ни один файл не скачивается.

Щито? ftp://ftp.pgpi.org/pub/pgp/pgp.....in/PGPfone21-win.zip

ZRTP — это протокол обмена ключами. А уж для какого именно протокола шифрования он будет использоваться — другое дело. Чаще всего — это SRTP или TLS.

ZRTP худо-бедно поддерживается в т.ч. библиотекой CCRTP от небезызвестной организации FSF, разрабатывающей GNU Telephony. Используют эту библиотеку с возможностью ZRTP и шифрования голоса по крайней мере два проекта: давно необновлявшийся Twinkle и вроде как активно развивающийся sflphone.org, который есть и многопользовательский сервер (заявлен как энтерпрайзного уровня), так и десктопное приложение-клиент (даже разные приложения: (KDE/Gnome)-GUI и Python-CLI ); обеспечивает:

• Voice encryption (SRTP)
• ZRTP key exchange protocol
• SDES key exchange protocol
• Signalling encryption (TLS)
• Multiple realms authentification mecanism

На Циммермане свет клином не сошёлся, начните поиск с программы с поддержкой ZRTP и SRTP/TLS.

Спасибо, это несомненно существенное уточнение, однако суть поставленного вопроса заключался в ином: я намеренно не упомянул связку SRTP/TLS, поскольку это требует как минимум (в обычном случае) поддержки со стороны провайдера и вообще ни разу не point2point. Я пользуюсь PhonerLite – это простенькая и лёгкая програмулина с примитивным интерфейсом и я ошибочно полагал, что раз она поддерживает в числе прочего ZRTP, то уж остальные, навороченные монстры делают это только так. Как выяснилось – нет. Так вот вопрос собственно заключается вот в чём: равнобезопасно ли использование обеими абонентами программ с поддержкой ZRTP и использование плагина zFone поверх тех же программ при деактивированном ZRTP? Я как-то склонен в принципе больше доверять Циммермановской реализации криптоаспектов, чем той, которую прикрутили разработчики софтофонов, но не брежу ли я? Как вообще можно проверить доброкачественность реализации?

Как вообще можно проверить доброкачественность реализации?

Если нечто достоверно реализовано в нескольких продуктах с открытыми исходниками, то выбор не богат:

1. Проверять исходники.
2. Доверять тем, кто их проверял.
3. Надеяться, что раз проукт A более распространён, чем B, то и его аудит мировым сообществом пропорционально глубже.
4. Сравнить историю уже найденных уязвимостей в обоих проектах и отнормировать её на популярность проектов в сообществе.

Нет никаких универсальных способов сравнения кроме пункта 1, потому и возникают холивары «Linux vs BSD», «Xen vs KVM» и т.д.

это требует как минимум (в обычном случае) поддержки со стороны провайдера и вообще ни разу не point2point.

При чём здесь провайдер? Поставьте сервер на своей машине, в конце концов; пробросьте порты, если необходимо.