— SATtva (29/07/2005 15:48)   
Предварительная версия называется Zfone. Является надстройкой к пулверовскому open-source протоколу и VoIP-клиенту Shtoom^[link1]. Как и PGPfone, использует согласование эфемерных сеансовых ключей по схеме Диффи-Хеллмана и контроль аутентичности симметричного ключа посредством его отпечатка и речевой "биометрической подписи".

Вот ещё по теме:
http://pulverblog.pulver.com/archives/002576.html
http://www.pcworld.com/resourc....., pg,1, RSS, RSS,00.asp^[link2]

P. S.
http://www.schneier.com/blog/a...../encrypted_voip.html^[link3] плюс комментарии.

— SATtva (14/08/2005 16:49)   
zFone будет разрабатываться совместно с PGP Corporation и будет совместим с продуктами PGP Desktop и PGP Universal. Об этом сообщил^[link4] президент PGPCorp Фил Данкелбергер.

Поскольку zFone — всего лишь рабочее название продукта, Фил Циммерман объявил^[link5] конкурс на лучшее название для финальной версии. Отправлять свои предложения можно на его адрес prz собака mit точка edu с темой Product name contest. Победителю обещается подпись его OpenPGP-ключа от самого Циммермана, пожизненная лицензия на программу и футболка с тем же названием. :) Идеи принимаются до 30 сентября.

— unknown (15/08/2005 12:42)   
Может я чего-то не понимаю, но мне казалось, что с появлением надежных VPN на основе SSL/IPsec, надобность во встроенном шифровании "VoiceOverIP" перестала быть актуальной. В шифрованном канале можно посылать любые данные: видео, какие-нибудь 3D-голограммы, что-угодно .

Правда в комментариях в блоге у Шнайера было написано, кажется что VPN слишком громоздкий и медленный. Но зато так надежнее. А пока разработают протокол специально для голоса, там вероятно куча ошибок вылезет из-за такой экономии.

Плюс, хотя продукт будет и Open Source, лицензия от PGPcorp будет явно не GPL-совместимой (я ошибаюсь?) и пользователи GPL/BSD Unix не смогут включить такой продукт в "лицензионно-чистый" дистрибутив. Т.е. его в лучшем случае можно будет установить в систему как стороннее приложение (так же как Java Descktop Env).

А значит производители некоммерческих дистрибутивов Unix не смогут собирать и тестировать пакеты под свой дистр, оперативно выпускать security fix, искать дыры и в большом сообществе разработчиков GPL/BSD систем продукт будет проигнорирован (так же как и PGP).
Или сделают аналог, так же как сделали PGP->GPG.
Ждем GNUfone :-)

— SATtva (15/08/2005 16:46)   
PGPCorp, как я понимаю (и что следует из сообщения Циммермана), будет только участвовать в разработке как одна из сторон, а совместимость с PGP, по-видимому, будет, как между PGP и GnuPG. С другой стороны, продукт явно обещает быть коммерческим, о чём однозначно говорит характер приза — пожизненная лицензия на программу для победителя и десяти его друзей. Или это такой своеобразный юмор — пожизненное пользование программой по свободной лицензии GPL? :D В общем, деталей пока мало.

— unknown (15/08/2005 17:49)   

Или это такой своеобразный юмор — пожизненное пользование программой по свободной лицензии GPL? Very Happy

Угу, после такого приза вместе с фирменной футболкой пользователь будет себя чувствовать фирменным идиотом. :-)

Или пожизненно – по коммерческой лицензии, а посмертно – так уж и быть – можно и GPL/BSD.

Да скорее всего будет что-то наподобие Java – исходники открыты, но изменять версии и оперативно накладывать секьюрити-патчи дистростроителям нельзя (ждать только нового официального релиза), собирать свои пакеты нельзя, включать код в свои проекты нельзя, а если можно, то надо денег отстегнуть.

А все права на выпуск всех версий будут принадлежать только одной компании и по каждому поводу у нее надо будет разрешение спрашивать. Поживем увидим.

— unknown (16/08/2005 08:49)   
Кстати, то что Циммерман пытается изобрести уже давно есть и успешно применяется и поддерживается даже крупными VoiceoverIP-провайдерами и производителями железа. Правда на базе SSL, а не PGP

http://www.asterisk.org/

— unknown (16/08/2005 10:18)   
Собственно встроенные средства шифрования в asterisk еще тоже не развиты:
http://lists.digium.com/piperm.....04-April/003685.html^[link6]

Но вполне можно делать то, о чем я говорил – VPN – туннель:
http://lists.digium.com/piperm.....04-April/003809.html^[link7]

http://www.softwink.com/papers.....ing_VoIP_With_Linux/^[link8]


Лучше, чтобы еще больше разработчиков и инвесторов (хотя их и так уже не мало) присоединились к проекту asterisk, да и в корпоративном секторе, насколько мне известно он тоже широко используется и шифрованные переговоры по нему уже давно используют.

См. также:
http://www.asterisk-support.ru/
http://asterisk.org.ru/

— Вий (06/09/2008 14:02, исправлен 06/09/2008 14:03)   
Слышал, что в протоколе z-fone существует возможность проверки канала на отсутствие прослушивания третьими лицами. Можно где-нибудь более подробно почитать об этом протоколе, да и в целом о принципах zfone?

— SATtva (06/09/2008 14:25, исправлен 06/09/2008 14:28)   
Там та же идея, что и в PGPfone (см. здесь^[link9]): на этапе хэндшейка производится выработка общего симметричного ключа по протоколу Диффи-Хеллмана, затем каждая из сторон хэширует полученный симметричный сеансовый ключ и его отпечаток в компактном виде отображается абоненту; они должны прочитать друг другу показанные символы/слова, и если на обоих концах канала они совпадают, значит, посередине никого нет.

Если Мэллори попытается провести MITM-атаку, то ему потребуется с каждой стороной вырабатывать отдельный сеансовый ключ (поскольку он не знает секрета DH, выбранного контрагентом), а, значит, у обоих контрагентов получатся разные сеансовые ключи и, соответственно, разные хэши и разный список этих самых биометрических слов/символов. В общем, если Вам знаком голос собеседника, то вклиниться в канал будет практически невозможно (если не рассматривать экзотические атаки с компьютерным синтезированием голоса).

— Alex_LG (08/09/2008 02:05)   
Не понимаю, почему бы идентификацию абонентов не производить на основе подписывания ключами (открытым-закрытым)? Идентификация будет идти автоматом, да и надёжнее, чем по голосу узнавать.

— SATtva (08/09/2008 13:29)   
Это мы с вами понимаем, как пользоваться ЭЦП, а обычному пользователю до этого, как до Луны. Ему нужно одно: чтобы его разговор нельзя было прослушать и чтобы он затратил на это минимум усилий. Если кому-то нужно "по-надёжнее", то могут воспользоваться советами из FAQа.

— Гость (08/09/2008 13:46)   

почему бы идентификацию абонентов не производить на основе подписывания ключами

Всё равно, для полной уверенности, что за ключ я скачал, нужна голосовая связь. А потом и украсть незаметно могут у обеих сторон.

экзотические атаки с компьютерным синтезированием голоса

Для затруднения экзотических атак лучше называть показанные символы косвенно – "а с третьей буквы начинается имя девушки, с которой мы гуляли на прошлой неделе."

— Гость (08/09/2008 14:08)   

называть показанные символы косвенно

А можно поступить ещё хитрее – называются символы как предполагается, а потом, в якобы обычной беседе, применяются заранее обговоренные проверочные приёмы: "А вчера были Аня, Катя, Маша, каждой купил мороженное по 75 рублей, а потом подошли Колян и Вован ..." ;)

— SATtva (08/09/2008 14:58)   

Для затруднения экзотических атак лучше называть показанные символы косвенно – "а с третьей буквы начинается имя девушки, с которой мы гуляли на прошлой неделе."

Что это даст? Если Мэллори способен синтезировать голоса обоих собеседников, он прочитает каждому из них тот отпечаток ключа, который данный абонент должен видеть.

При успешной MITM-атаке (на этапе хэндшейка) каждый абонент вырабатывает сеансовый ключ именно на пару с Мэллори, так что и ключи, и их отпечатки Мэллори прекрасно знает. Проблема (для Мэллори) в том, что абоненты получат отличные друг от друга сеансовые ключи, и если он не может как-то сымитировать голосовую аутентификацию, атака будет раскрыта и абоненты просто прервут разговор.

— Гость (08/09/2008 16:36)   

экзотические атаки с компьютерным синтезированием голоса

Писалось (вроде бы у Киви Берда в "гигабайтах власти") о том, что сейчас умеют редактировать видео (причём, довольно интеллектуально) прямо в процессе прямой трансляции. Уже сейчас нельзя доверять тому, что видишь на видео. Не думаю, что голос ушёл сильно далеко от...

— Гость (09/09/2008 01:57)   

Что это даст? Если Мэллори способен синтезировать голоса обоих собеседников, он прочитает каждому из них тот отпечаток ключа, который данный абонент должен видеть.

Это только в случае если Мэлори обладает всеми знаниями, общими для собеседников и не менее, чем они, сообразителен. Надо стараться выбирать косвенные описания из сведений, неизвестных Мэлори, но известных обоим участникам. Не всякий Мэлори знает, с кем мы гуляли на прошлой неделе. :) Также полезен всякого рода "семейный" сленг. Если же для идентификации "другая" сторона вдруг начнёт сообщать только общеизвестные факты да ещё на языке официальной прессы, это повод для недоверия и дальнейших перепроверок. Вообще, это типа теста Тьюринга, только задача различить двух людей. Также, чем дольше пауза, тем больше подозрений.
Вообще, в течении разговора полезно регулярно в неожиданных местах обмениваться высказываниями по поводу отпечатков сеансовых ключей, причем чтобы по началу этих высказываний было трудно понять, что закончаться они указанием на отпечаток.
Неплохо если отпечаток преобразовывать в осмысленное слово (по номеру в словаре, например) или словосочетание – в этом случае можно задействовать широкий спектр смысловых ассоциаций, вряд ли поддающийся незаметной подмене в реальном времени человеком посредине. :)

— Гость (09/09/2008 02:04)   
Будет полезна и цветовая (и шире – графическая) идентификация отпечатков – как тут, на форуме. "В траве сидел кузнечик, совсем как огуречик, совсем как отпечаток, зелёненький он был" :))

— unknown (09/09/2008 09:06, исправлен 09/09/2008 09:18)   
Вся эта морока с попыткой перехитрить Мэллори кажется называется culture shared secrets или что-то в таком духе. Члены группы узнают своих, рыбак рыбака видит издалека, знакомые узнают друг друга по опыту предыдущего общения и т.д.

Но проблема в том, что это метод неформализуемый, а в современных универсальных системах стараются придумать формализованную безопасность чтобы можно было работать на автомате, чтобы не нужно было каждый раз выкручиваться, что-то выдумывать и проявлять изобретательность. Может нужно связаться клеркам компании, которые видели друг друга один раз и с трудом могут вспомнить голос покакой-нибудь видеопрезентации. И они что-ли будут выдумывать вопросы типа: "скажи за пять секунд какого цвета было платье у секретарши, которую мы встретили и на каком этаже офиса это произошло?". Нужен формальный стандарт установления связи.

По поводу отпечатков и сертификатов – смотрите как был устроен совместно выпускаемый NSA и AT&T ещё в начале восьмидесятых телефон STU-III.

Схема с цветами и с голосом ближе к отпечаткам, так как не требует изобретать что-то заново для каждого сеанса аутентификации.

— Гость (20/09/2008 11:33)   

работать на автомате, чтобы не нужно было каждый раз проявлять изобретательность.

Каждый раз и не нужно, а только в случае появления (и выявления) "посредника". Если не проявить изобретательность, посредник сможет повторить "автомат" в следующем сеансе связи. Мне кажется, что против "чего-то посередине" без изобретательности вряд ли можно обойтись.

— Гость (22/09/2008 08:16)   
Чувство соразмерности есть? Затраты на проведение атаки с повторной голосовой подменой против конкретного лица, при отсутствии автоматизированного решения будет стоить не дёшево, и не гарантированно получится провести. Оно окупится? Безопасность – это прежде всего экономика. Изобретательность соотносится с базовыми схемами безопасности точно так же как security via obscurity (безопасность через неясность). У этой штуки есть своя роль, она может повысить безопасность в некоторых случаях, это уже обсуждалось на форуме.