Krypteringsprogram kan stoppa trådavlyssning

Phil snickare , skapare av Pretty Good Privacy (PGP) programvara för e-postkryptering, vill ge telefonkonversationer en liknande säkerhetsnivå. Ett decennium efter att amerikanska tullen utredde honom för att ha brutit mot exportrestriktioner för kryptografisk programvara (när PGP började spridas över hela världen), har Zimmermann släppt krypteringsmjukvara, kallad Zfone, som gör det omöjligt för avlyssnare att lyssna på Voice-over-Internet-protokollet (VoIP) telefonsamtal.





Skaparen av e-postkrypteringen Phil Zimmermann hoppas kunna ge samma integritetsnivå för telefonsamtal med Voice-over-Internet Protocol. (Bild med tillstånd av Phil Zimmermann.)

VoIP-kryptering är inte nytt – Skype, den mest populära VoIP-tjänsten använder kryptering – men Zimmermanns programvara utfärdar krypteringsnycklar som kringgår servrarna som dirigerar internetsamtal och ställer in krypteringen direkt på röstkanalen. Det extra skyddslagret innebär att även om någon kan komma åt servern som dirigerar ett samtal, finns det inget sätt att dekryptera samtalets innehåll.

Med den pågående kontroversen om National Security Agencys program för att samla in information om telefonsamtal från amerikaner, blir integritetsförespråkare alltmer oroade över regeringens tillgång till medborgarnas information. Således har Zimmermanns programvara allvarliga konsekvenser, särskilt för dem som är inblandade i nationell säkerhet, eftersom den kan utgöra en teknisk utmaning för de lagar som för närvarande tillåter regeringen att få tillgång till information som innehas av telefon- och VoIP-tjänsteleverantörer.



Teknikrecension: Hur fungerar Zfone?

Phil Zimmermann: Zfone är programvaran som implementerar mitt nya krypteringsprotokoll, kallat ZRTP, på ett visst sätt. Zfone är inte en VoIP-klient; den tittar efter paket med internetdata som går in och ut ur maskinen och letar efter sådana som är relaterade till VoIP. När ett VoIP-samtal detekteras, går den in för att kryptera samtalet genom att skapa ett nyckelavtal i mediaströmmen och kryptera paketen med röstdata. Allt eftersom tiden går kommer du att börja se ZRTP i VoIP-klienter. Jag har ett mjukvaruutvecklingskit som folk kan hålla i sina VoIP-klienter.

TR: Hur skiljer sig Zfone från de flesta VoIP-krypteringsscheman?



PZ: De andra tillvägagångssätten kräver alla inblandning av servrar – och vissa av dem är oerhört osäkra. För att förstå hur de fungerar måste du förstå hur VoIP fungerar. I början av ett samtal går ett par paket in mellan dig och din server och säger Here I am. Här är min IP-adress. När jag ringer dig vet min server var den ska ringa och skickar paket till din server. Sedan låter servrarna oss skicka röstpaket direkt till varandra. De är involverade i början och kommer ur vägen.

I ett krypteringsschema skickas nyckeln som krypterar och dekrypterar dina röstpaket till din server, som skickar den till min server, som sedan skickar den till mig, och sedan pratar vi med den krypterade kanalen. Tyvärr känner servrarna nu till sessionsnyckeln, så vad händer om jag bor i Kina och min tjänsteleverantör [som äger servrarna] är i Kina? Den kinesiska regeringen kommer att känna till nyckeln och de kan avlyssna samtalet. Om du litar på tjänsteleverantörerna är det bra, inga problem. Men personerna som driver servrarna har inte nödvändigtvis i åtanke de människors bästa intressen som använder dem.

Jag är den enda som gör det genom röstströmmen. Röstpaketen flödar redan och jag hoppar in där och lägger i speciella paket som förhandlar alla nycklar mellan de två parterna. Servrarna är inte involverade på något sätt i processen.



TR: Skype, den mest populära VoIP-klienten, har redan krypteringsmjukvara, så varför fungerar inte Zfone med Skype?

PZ: Skype är inte kompatibelt med VoIP-standarder; de har ett slutet protokoll. Skype använder sin egen krypteringsmjukvara och den berättar inte för någon hur det fungerar. Jag föredrar att använda kryptering som är öppen; Jag publicerar min källkod.

TR: Vem skulle använda denna VoIP-krypteringsmjukvara?



PZ: Vem skulle inte använda detta? Vem vill inte bli avlyssnad? Jag pratar inte om avlyssning från brottsbekämpande myndigheter – jag talar om avlyssning från organiserad brottslighet. Organiserad brottslighet gör nätfiskeattacker och tar över din dator med fientlig programvara. Jag förutsäger att samma brottslingar kommer att attackera VoIP när det blir tillräckligt stort. Det kan vara peka-och-klicka avlyssning från andra sidan jorden.

TR: Med din programvara för e-postkryptering var du under en brottsutredning av den amerikanska regeringen, som påstod att du brutit mot exportrestriktioner för kryptografisk programvara. Ärendet lades så småningom ner, men hur tänker du undvika en sådan komplikation den här gången?

PZ: Den här gången är jag noga med att få bra juridisk rådgivning och följa exportkontroller. Jag har fyllt i pappersarbetet och lämnat in det till det amerikanska handelsdepartementet. Jag får tillbaka saker som klarar det för export. Jag är väldigt försiktig den här gången.

TR: Din mjukvaruversion är aktuell i ljuset av de pågående nyheterna om NSA:s program för att samla in information om telefonsamtal i USA. Skulle du kunna diskutera spänningen mellan teknik och juridik, särskilt när det gäller framväxande former av kommunikation och att hålla information säker och privat?

PZ: Jag ser inte detta som en svart-vit situation. Jag sympatiserar med NSA:s behov av att fånga de onda, och jag vill att de ska fånga dessa onda. Men vi måste vara försiktiga med att skapa övervakningsmaskineri som senare kan användas för andra ändamål.

Dölj