Trooll schrieb am 10. September 2005 16:41
> Natürlich kann man Skype- Verkehr abhören, wenn man die
> entsprechenden Knotenpunkte im Internet unter seiner Kontrolle hat,
> auch ohne Abhörschnittstelle in der Software Skype.
Und den _Inhalt_ des Skype-Datenverkehrs?
Wenn Skype richtig implementiert ist, hat ein Lauscher keine Chance.
Hier das, was sie als Verfahren nennen:
>Â http://support.skype.com/index.php?_a=knowledgebase&_j=questiondetails&_i=145
Angriffsmöglichkeiten:
1. Public-keys werden von Skype-Server beim Login nicht nur signiert,
sondern um einen zugewiesen "NSA-Key" erweitert.
2. Mangelnde Entropie bei der Schlüsselgenerierung
3. Implementationsfehler
Ob dies so ist, lässt sich wegen des "Closed-Source"-Problems nur
schlecht prüfen
Jedenfalls ist das genannte Verfahren geeignet, um:
1. Abhörsicher zu sein
2. Sicher gegen "Identitätsdiebstahl" zu sein (Spammer nutzt Namen
der "Buddy-List" und verschickt in dessen Namen mit selbst
generierten Schlüsseln SPAM an Personen)
A.
> Natürlich kann man Skype- Verkehr abhören, wenn man die
> entsprechenden Knotenpunkte im Internet unter seiner Kontrolle hat,
> auch ohne Abhörschnittstelle in der Software Skype.
Und den _Inhalt_ des Skype-Datenverkehrs?
Wenn Skype richtig implementiert ist, hat ein Lauscher keine Chance.
Hier das, was sie als Verfahren nennen:
>Â http://support.skype.com/index.php?_a=knowledgebase&_j=questiondetails&_i=145
Angriffsmöglichkeiten:
1. Public-keys werden von Skype-Server beim Login nicht nur signiert,
sondern um einen zugewiesen "NSA-Key" erweitert.
2. Mangelnde Entropie bei der Schlüsselgenerierung
3. Implementationsfehler
Ob dies so ist, lässt sich wegen des "Closed-Source"-Problems nur
schlecht prüfen
Jedenfalls ist das genannte Verfahren geeignet, um:
1. Abhörsicher zu sein
2. Sicher gegen "Identitätsdiebstahl" zu sein (Spammer nutzt Namen
der "Buddy-List" und verschickt in dessen Namen mit selbst
generierten Schlüsseln SPAM an Personen)
A.