VoIP: Letzte Baulücken bei Sicherheitsfragen und Komfort schließen

Bei der Internet Engineering Task Force (IETF) arbeitet man daran, die letzten offenen Fragen bezüglich der Internettelefonie zu beantworten. Beim IETF-Treffen in Prag ging es unter anderem um eine Standardisierung von Funktionen wie Makeln, Voicebox oder Rückruf für VoIP, um die Notrufregelung und nicht zuletzt um die Verschlüsselung von Gesprächen über das Netz.

Gerade die fehlende Sicherheit der Netzgespräche würde gerne als Argument gegen die Netztelefonie verwandt, sagt Jürgen Quittek von den NEC Laboratories in Heidelberg. Die Arbeitsgruppe RTP-SEC soll da für Abhilfe sorgen. "Wenn ein Verschlüsselungsstandard da ist, ist Internettelefonie sicherer als ISDN-Telefonie", meint Quittek. Schon heute sei es trotz fehlender Verschlüsselung nicht ganz richtig, ISDN als so viel sicherer zu bezeichnen. "Eigentlich ist das analoge Abhören am Verteilerkasten leichter als das Herausfischen der VoIP-Daten aus dem Netz", erklärt Quittek. Auch die "leased line" eines internationalen Carriers sei ohne Verschlüsselung nicht zwangsläufig sicher.

Mit der Wahl, welcher der vorgeschlagenen Verschlüsselungsstandards innerhalb der IETF-Arbeitsgruppe RTP-SEC (RTP steht für das Real Time Protocol) weiterentwickelt werden soll, sind allerdings nicht alle Teilnehmer in Prag gleichermaßen zufrieden. Sowohl Quittek als auch Jiri Kuthan, einer der Mitbegründer des inzwischen vom US-Unternehmen Tekelek aufgekauften SIP-Router-Herstellers iptelorg GmbH, hätten die von PGP-Papst Phil Zimmermann vorgeschlagene Lösung ZRTP favorisiert.

Zimmermanns Vorschlag besteche durch die einfache, nutzerfreundliche Lösung, sagt Kuthan. Die beiden Anschlüsse tauschen zu Beginn ein Schlüsselpaar aus – verwendet wird dabei die von Diffie und Hellman entwickelte Verschlüsselung. Nach dem Gespräch werden die Schlüssel vernichtet, sodass eine retroaktive Entschlüsselung nicht möglich ist. Einfach ist der Schlüsselaustausch laut Kuthan auch, weil keine Public-Key-Infrastructure notwendig ist. Einziger Nachteil sind nach Kuthans Meinung die etwas größeren Latenzzeiten durch den Schlüsselaustausch vor einem Gespräch.

Die Alternative DTLS verwendet demgegenüber Zertifikate mit darinsteckenden Schlüsseln, so der Vorschlag (PDF-Dokument) von Eric Rescorla, Hannes Tschofennig und anderen. Für Kuthan steht fest, dass man gegen das Votum der IETF-Arbeitsgruppe ZRTP sofort in den SER-Media-Routern implementieren wird. Mit der Verschlüsselung, so Kuthan, werde die größte "noch offene Baustelle" bei SIP geschlossen.

Die in der neuen Arbeitsgruppe BLISS (Basic Level Interoperability for SIP Services) angedachten Ideen sind auch aus Kuthans Sicht "nice to have". BLISS soll aus der ISDN-Telefonie bekannte Funktionen (Makeln, Rückruf) für SIP standardisieren. Zwar gibt es all diese Funktionen bereits, doch da sie auf verschiedenen Wegen implementiert werden können, variieren die jeweiligen Lösungen unterschiedlicher SIP-Provider hier beträchtlich. In gewisser Weise bedeute BLISS eine Kehrtwendung in der IETF-Politik, sagt Quittek, denn bislang habe die IETF gerade nur die Protokollbestandteile, nicht aber die darauf aufsetzenden Anwendungen standardisiert.

Für über IP-Netze abgesetzte Notrufe will die ECRIT-Arbeitsgruppe noch in diesem Monat mehrere Kerndokumente fertigstellen, mit denen am Ende ein Notruf im Netz erkannt, der Standort des Nutzers bestimmt und das Routing zur entsprechenden Notrufstelle realisiert werden kann. Die Notruffunktion gehört zu den vielfach von den Behörden angemahnten Features für die Netztelefonie. (Monika Ermert) / (vbr)