id: Гость   вход   регистрация
текущее время 02:59 24/11/2017
Владелец: SATtva (создано 14/09/2006 22:50), редакция от 09/10/2009 09:31 (автор: SATtva) Печать
Категории: криптография, софт, pgp, инфобезопасность, сайт проекта, защита телефонной связи, аутентификация, faq
создать
просмотр
редакции
ссылки

PGPfone / Zfone


Оглавление документа:

После установления соединения с абонентом появляется маленький список из четырёх слов. Что это такое?

Этот набор случайных слов называется отпечатком сеансового ключа и служит той же цели, что и отпечаток открытого ключа в PGP – для предотвращения атаки "человек в середине". Для аутентификации абонентов PGPfone/Zfone используют биометрическую подпись – попросту, голос. После установления связи вы должны громко и отчётливо прочитать друг другу эти слова и убедиться, что ваши списки идентичны (убедитесь также, что слышите голос человека, которому звонили). В противном случае велика вероятность, что некто пытается прослушать разговор.

Установив программу я обнаружил, что в ней не используются ключи PGP. Каким тогда образом шифруется канал связи?

Непосредственно коммуникационный трафик шифруется симметричным сеансовым ключом, как это делает и PGP для шифрования сообщений. Остаётся лишь одна проблема: как согласовать этот симметричный ключ по незащищённому каналу без риска, что он будет перехвачен? Для разрешения этой задачи применяется алгоритм Диффи-Хеллмана и протокол распределения секретного ключа по открытому каналу. Не приводя его математическую сторону (если интересуетесь, загляните в 22 главу "Прикладной криптографии" Брюса Шнайера), можно сказать, что ни один злоумышленник, прослушивающий канал, не сумеет определить сеансовый ключ – он просто не получит для этого никакой информации.


Алгоритм Диффи-Хеллмана уязвим к атакам "человек в середине", поэтому в порядке контрмеры используется биометрическая подпись и отпечаток сеансового ключа для проверки его идентичности у обоих абонентов: смотрите ответ на предыдущий вопрос.


Все секретные показатели асимметричного ключа согласования Диффи-Хеллмана также являются сеансовыми, т.е. используются только единожды и генерируются случайным образом для каждого звонка. Обеспечиваемое этим фактом свойство называется Perfect Forward Secrecy: благодаря ему даже записав шифрованный трафик для последующего дешифрования взломщик не сумеет позднее получить от абонентов ключ, поскольку тот используется лишь для одного сеанса и тут же стирается.

А если мне не знаком голос абонента, как я узнаю, что он, а не противник, читает мне отпечаток сеансового ключа?

Есть простой способ убедиться в аутентичности абонента, даже если никогда прежде с ним не общались. Вы можете воспользоваться стандартными средствами PGP, чтобы предварительно согласовать некую кодовую фразу и отзыв к ней (это могут быть просто две последовательности цифр или осмысленный пароль-отзыв, как в шпионских фильмах), которые должны будете произнести друг другу после прочтения биометрических слов отпечатка. Для этой цели вам понадобятся достоверные копии открытых ключей друг друга; воспользуйтесь одним из приведённых здесь способов безопасного обмена ключами. Затем придумайте, подпишите + зашифруйте и обменяйтесь по почте кодовыми словами, по которым сможете безошибочно опознать друг друга в ходе первого разговора.

Я хочу использовать PGPfone для звонков через Сеть. Какие порты мне открыть на брандмауэре?

Для соединений через интернет PGPfone использует протокол UDP и входящие/исходящие порты 7448, 7449 и 17447. Обратите внимание, что из-за специфики UDP-соединений работать с PGPfone через Сеть, находясь за NAT, невозможно. Если же ваш компьютер расположен за прокси-сервером, установите на нём переадресацию трафика на указанные порты (port forwarding).


 
— DDRTL (21/03/2009 17:01)   <#>
каков расход трафика PGPfone / Zfone в час?
— Гость (21/03/2009 17:48)   <#>
Наверное, порядка того, что и в других VoIP-продуктах (десятки мегабайт в час, как мне кажется из опыта юза Skype'а).
— Гость (21/03/2009 17:51)   <#>
Скайп в среднем ест 10кбайт/сек => ~36мбайт/час
— SATtva (21/03/2009 17:53)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046
У PGPfone, если мой склероз меня не подводит, — 10-15 Мб. А Zfone только шифрует VoIP-трафик, так что меряйте сам VoIP-клиент.
— DDRTL (21/03/2009 19:26)   профиль/связь   <#>
комментариев: 212   документов: 27   редакций: 20
Скайп в среднем ест 10кбайт/сек => 36мбайт/час

Это с добавлением трафика который идет через меня при общении третьих лиц?
— Гость (21/03/2009 19:45)   <#>
Нет :) Это только в случае если вы за NAT'ом и не спонсырствуете.
— DDRTL (21/03/2009 20:06)   профиль/связь   <#>
комментариев: 212   документов: 27   редакций: 20
В статье переработайте вопросы:ставьте табуляцию после вопроса, а то вопрос-ответ слитен и это жирным выделите вопросы.
— SATtva (21/03/2009 20:10)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046
DDRTL, можете сделать и сами.
— DDRTL (21/03/2009 21:07)   профиль/связь   <#>
комментариев: 212   документов: 27   редакций: 20
ок, не сразу сообразил)
— SATtva (21/03/2009 21:17)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046
Только по возможности старайтесь использовать на страницах вики-разметку, а не BBCode. Не обязательно, но желательно.
— DDRTL (21/03/2009 21:41)   профиль/связь   <#>
комментариев: 212   документов: 27   редакций: 20
Нет проблем. Пойду ознакамливаться
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3