Skypes Verschlüsselungsverfahren teilweise aufgedeckt

Der Entwickler Sean O'Neil hat eine quelloffene Skype-Bibliothek veröffentlicht, die den abgewandelten RC4 -Verschlüsselungsalgorithmus nachbildet. Skype hatte die Schlüsselerzeugung für den Stromchiffre etwas abgewandelt, was das Produkt zu anderen Messaging-Clients inkompatibel macht und somit für ein geschlossenes System sorgt. Die Offenlegung bedeutet aber nach ersten Erkenntnissen nicht, dass Skype nun als geknackt gilt. Weitere Untersuchungen müssen zeigen, ob die Schlüsselexpansion und die Erzeugung der Initialisierungsvektoren sicher sind.

Jahrelang hatten sich zahlreiche Reverse Engineers an der Skype-Verschlüsseung die Zähne ausgebissen, da Skype keine Details zu seinen Verschlüsselungsverfahren offengelegt hat. Klar war bislang nur, dass Skype verschiedene Verschlüsselungsverfahren benutzt. So kommt bei der Kommunikation mit den Skype-Login-Server AES-256 zum Einsatz; desgleichen für die Skype SMS/Event Server und die Skype Search Servers. Die Supernodes und Clients nutzen zur Verschlüsselung der eigentlichen Kommunikation die abgewandelte Version von RC4.

Weitere Information stehen bislang nicht zur Verfügung; die Webseite von O'Neil, auf der er seinen Durchbruch verkündet hat, ist derzeit nicht verfügbar. Einzig der Download der Bibliothek Skype Library RC4 v1.108 ist noch (schwer) erreichbar. Weitere Einzelheiten hat O'Neil ohnehin erst für den Dezember angekündigt. Dann will er auf auf dem Chaos Communication Congress in Berlin (27C3) seine Ergebnisse präsentieren.

Bis dahin können Interessierte den Code schon mal begutachten und für Testzwecke einsetzen. Der kommerzielle Einsatz ist derzeit aber nur nach Rücksprache mit O'Neil möglich. In Kryptokreisen ist der Entwickler für den Entwurf des Hash-Algorithmus EnrRUPT bekannt. (dab)