Internettelefonie (VoIP)

Der bekannteste Anbieter für Internettelefonie (Voice over IP, VoIP) ist zweifellos Skype. Die Installation und das Anlegen eines Account ist einfach. Man benötigt lediglich eine E-Mail Adresse. Skype-Verbindungen sind schwer zu blockieren. Die Client-Software findet fast immer eine Verbindung zum Netz, auch hinter restriktiven Firewalls. Skype bietet eine Verschlüsselung und kann Verbindungen ins Festnetz und in Handynetze herstellen.

Abhörschnittstellen

Anfang der 90er Jehre des letzten Jahrhunderts wurde das Festnetz in den westlichen Industriestaaten digitalisiert und die GSM-Verschlüsselung für Handytelefonate wurde eingeführt. Klassische Abhörmaßnahmen für einen Telefonanschluss waren ohne Kooperation der Telekommuniationsanbieter und ohne vorbereitete Schnittstellen nicht mehr möglich.

Als Antwort auf diese Entwicklung wurden in allen westlichen Industriestaaten Gesetze beschlossen, die die Telekommunikationsanbieter zur Kooperation mit den Strafverfolgungsbehörden und Geheimdiensten verpflichten und Abhörschnittstellen zwingend vorschreiben. In den USA war es der CALEA Act  von 1994. In Deutschland wurde 1995 auf Initiative des Verfassungsschutz die Fernmeldeverkehr-Überwachungsverordnung (FÜV) beschlossen, die 2002 durch die Telekommunikations-Überwachungsverordnung (TKÜV) ersetzt wurde.

2005 wurde der CALEA Act durch das höchste US-Gericht so interpretiert, dass er auch für alle VoIP-Anbieter gilt, die Verbindungen in Telefonnetze weiterleiten können. Skype zierte sich anfangs, die geforderten Abhörschnittstellen zu implementieren. Mit der Übernahme von Skype durch Ebay im Nov. 2005 wurde die Diskussion beendet. Heute bietet Skype Abhörschnittstellen in allen westeuropäischen Ländern und zunehmend auch in anderen Ländern wie Indien. In Deutschland sind Abhörprotokolle aus Skype Gesprächen alltägliches Beweismaterial.

Skype und andere VoIP-Anbieter, die Verbindungen in andere Telefonnetze herstellen können, sind in gleicher Weise abhörbar, wie Telefon oder Handy. Es ist albern, Skype als Spionagesoftware zu verdammen und gleichzeitig den ganzen Tag mit einem Smartphone rumzulaufen. Genauso ist eine Lüge, wenn man die Verbreitung von Skype als Grund für einen Staatstrojaner nennt.

Open Secure Telephony Network (OSTN)

Das Open Secure Telephony Network (OSTN) wird vom Guardian Project entwickelt. Es bietet sichere Internettelefonie mit starker Ende-zu-EndeVerschlüsselung, soll als Standard für Peer-2-Peer Telefonie ausgebaut werden und eine ähnlich einfache Nutzung wie Skype bieten. Eine zentrale Rolle spielt das SRTP/ZRTP-Protokoll von Phil Zimmermann, dem Erfinder von OpenPGP. Es gewährleistet eine sichere Ende-zu-Ende-Verschlüsselung der Sprachkommunikation. Wenn beide Kommunikationspartner eine Software verwenden, die das ZRPT-Protokoll beherrscht, wird die Verschlüsselung automatisch ausgehandelt. Daneben werden weitere etablierte Krypto-Protokolle genutzt. Kurze Erläuterung der Begriffe: SRTP definiert die Verschlüsselung des Sprachkanals. Die Verschlüsselung der Daten erfolgt symmetrische mit AES128/256 oder Twofish128/256. Für die Verschlüsselung wird ein gemeinsamer Schlüssel benötigt, der zuerst via ZRTP ausgehandelt wird.

ZRTP erledigt den Schlüsselaustausch für SRTP und nutzt dafür das DiffieHelman Verfahren. Wenn beide VoIP-Clients ZRTP beherrschen, wird beim Aufbau der Verbindung ein Schlüssel für SRTP automatisch ausgehandelt und verwendet. Der Vorgang ist transparent und erfordert keine Aktionen der Nutzer. Allerdings könnte sich ein Man-in-the-Middle einschleichen, und die Verbindung kompromittieren (Belauschen). SAS dient dem Schutz gegen Man-in-the-Middle Angriffe auf ZRTP.

Den beiden Kommunikationspartnern wird eine 4-stellige Zeichenfolge angezeigt, die über den Sprachkanal zu verifizieren ist. Üblicherweise nennt der Anrufer die ersten beiden Buchstaben und der Angerufenen die beiden letzten Buchstaben. Wenn die Zeichenfolge identisch ist, kann man davon ausgehen, dass kein Man-in-the-Middle das Gespräch belauschen kann. Damit bleibt als einziger Angriff auf die Kommunikation der Einsatz eines Trojaners, der das Gespräch vor der Verschlüsselung bzw. nach der Entschlüsselung abgreift. Dagegen kann man sich mit einer Live-CD schützen. Die JonDo-Live-CD enthält z.B. den VoIP-Client Jitsi.

OSTN-Provider

Um diese sichere Variante der Internettelefonie zu nutzen, benötigt man einen Account bei einem OSTN-kompatiblen Provider. Derzeit gibt es 3 Anbieter: Tanstagi, PillowTalk und Ostel.me, wobei Ostel.me der Test- und Entwicklungsserver des Projektes ist. Die Serversoftware OSTel ist Open Source, man kann auch seinen eigenen Server betreiben. Am einfachsten kann man einen anonymen Account bei PillowTalk erstellen. Es werden keine Daten erfragt (auch keine E-Mail Adresse).

Der Server speichert keine Daten. Wenn er einmal down geht sind sämtliche Accounts weg und müssen neu erstellt werden. Die SRTP/ZRTP-Verschlüsselung ist ausschließlich von den Fähigkeiten der VoIP-Clients abhängig. Sie kann nicht nur mit den OSTN-Providern genutzt werden sondern auch mit Accounts bei anderen SIP-Providern wie z.B. Ekiga.net oder iptel.org. Allerdings vereinfacht OSTN die Konfiguration der Accounts im VoIP-Client.

VoIP-Clients mit OSTN-Support

Es gibt einige VoIP-Clients, die bereits die nötigen Voraussetzungen zur Nutzung von OSTN implementiert haben.

  • Für den Desktop empfehle ich Jitsi, einen Java-basierter VoIPund IMClient für viele Betriebssysteme.
  • Für Linux (Ubuntu, SUSE und Redhat) gibt es das SFLphone.
  • Für Android-Smartphones ist CSipSimple am besten geeignet, das ebenfalls vom Guardian Project entwickelt wird. (OSTN-Support in den Nightly Builds der Beta Version.)
  • iPhone Nutzer können Groundwire für $9,99 im App Store kaufen.

Jitsi

Jitsi ist einen Java-basierter VoIPund Instant Messaging Client für viele Betriebssysteme. Er unterstützt die SRTP/ZRTP-Verschlüsselung und das OSTNProtokoll. Für die Installation benötigt man zuerst einmal Java. Java für Windows: Das Installationsprogramm für Java gibt auf der Webseite www.java.com. Der Installer möchte unbedingt die Ask-Toolbar für alle Browser installieren. Das sollte man deaktivieren, braucht man nicht. WICHTIG: Der Installer aktiviert auch ein Java-Plugin für alle Browser.

Dieses Plug-in ist ein Sicherheitsrisiko und muss im Java Control Panel unter Systemsteuerung Programme Java deaktiviert werden! Java für Linux: Installieren Sie als erstes das Paket default-jre mit der Paketverwaltung der Distribution. Jitsi installieren: Anschließend installiert man Jitsi, indem man das zum Betriebssystem passende Paket von der Downloadseite https://jitsi.org herunter lädt und als Administrator bzw. root installiert fertig.

Hat man einen Account bei einem OSTN-Provider, dann muss man lediglich beim Start von Jitsi die Login Daten für den SIP-Account (Username und Passwort) eingeben, wie im Bild 16.1 dargestellt. Alle weiteren Einstellungen werden automatisch vorgenommen. Wenn man einen Account beim SIP-Provider iptel.org hat, ist die Konfiguration ähnlich einfach. Man schließt den Sign in Dialog, wählt den Menüpunkt File Add new account und in dem sich öffnenden Dialog als Netzwerk iptel.org. Jitsi enthält vorbereitete Einstellungen für diesen SIP-Provider.

SAS Authentication

Bei einem verschlüsselten Gespräch wird beiden Teilnehmern eine Zeichenkette aus vier Buchstaben und Zahlen angezeigt. Diese Zeichenkette ist über den Sprachkanal mit dem Gegenüber zu verifizieren. Dabei nennt der Anrufer üblicherweise die ersten zwei Buchstaben und der Angerufene die letzten beiden Buchstaben bzw. Zahlen. Wenn beide Teilnehmer die gleiche Zeichenkette sehen, ist die Verbindung sicher verschlüsselt und unbeobachtet.

Anpassung der Konfiguration

Standardmäßig sind bei Jitsi viele Protokollierungen aktiv. In den den Einstellungen kann man diese Logfunktionen abschalten, um überflüssige Daten auf der Festplatte zu vermeiden. Wer durch die Gerüchte über die Fortschritte der NSA beim Knacken von AES128 etwas verunsichert ist, kann in den Einstellungen des ZRTP Ninja die Verschlüsselung mit Twofish bevorzugen. Allerdings müssen beide Gesprächspartner diese Anpassung vornehmen.