VoIP-Security
Schlüsselgespräche
Fortsetzung des Artikels von Teil 1
Schließanlage und Schlüsselbund
Jede Maßnahme, die als Ziel die Absicherung durch Verschlüsselung von Datenströmen in Netzwerken hat, verfolgt grundsätzlich drei zu erzielende Eigenschaften: Integrität, Authentizität und Vertraulichkeit. Integrität soll die Unveränderlichkeit der Daten sicherstellen, das heißt auf dem Transportweg darf keine Veränderung der Nutzdaten stattfinden. Authentizität verhindert unerlaubten Zugriff und Vertraulichkeit schützt die ausgetauschten Informationen vor Dritten.
Der Einsatz von Verschlüsselungstechniken im Umfeld von VoIP macht allerdings nur dann Sinn, wenn sowohl das Signalisierungsprotokoll SIP, als auch das eigentliche Medientransportprotokoll RTP (Real-Time Transport-Protocol) verschlüsselt wird. Die korrespondierenden Protokolle dabei sind SIPS (SIP-Secure) und SRTP (Secure-RTP). Die Begründung hierfür liegt in der Tatsache, dass zur Verschlüsselung der Sprachdaten, also des RTP-Nutzdatenstroms, ein Schlüssel ausgetauscht werden muss. Dieser Schlüssel wird mittels SIP übertragen. Würde also SIP nicht verschlüsselt, so wäre der Schlüssel für den RTP-Nutzdatenstrom schnell zu ermitteln und faktisch nutzlos. Insbesondere ist hierbei zu beachten, dass es mit Umstellung auf SIPS notwendig ist, vom verbindungslosen Protokoll UDP (User-Datagram-Protocol) für SIP auf das verbindungsorientierte Protokoll TCP (Transmission-Control-Protocol) zu wechseln, da sonst keine Verschlüsselung möglich ist.
Schlüsselstellen für Sicherheit
Alle notwendigen Technologien und Verfahren, die für eine Absicherung und Verschlüsselung von Signalisierungs- und Sprachdaten typischerweise zum Einsatz kommen, sind bereits seit Jahren etabliert. Für das Signalisierungsprotokoll SIP kommt TLS (Transport-Layer-Security) zum Einsatz – vergleichbar mit HTTPS für sichere Verbindungen zu Webseiten, beispielsweise Online-Banking. Somit wird SIP zu SIPS.
Für SRTP werden symmetrische Verschlüsselungsverfahren eingesetzt. AES (Advanced-Encryption-Standard) ist das etablierte Verfahren mit Schlüssellängen von 128 Bit oder 256 Bit.
Zum Absichern des SIP-Protokolls kommen digitale Zertifikate zum Einsatz. Das zugrunde liegende Verschlüsselungsverfahren ist asymmetrisch, das heißt es basiert auf der Kombination eines privaten und eines öffentlichen Schlüssels. Der SIP-Client – IP-Telefon, SIP-Soft-Client – baut eine Verbindung zum Server (IP-PBX) auf. Für gewöhnlich authentifiziert sich zuerst der Server gegenüber dem Client mit einem Zertifikat. Anschließend schickt entweder der Client dem Server eine mit dem öffentlichen Schlüssel des Servers verschlüsselte geheime Zufallszahl, oder die beiden Parteien berechnen mit dem Diffie-Hellman-Schlüsselaustausch ein gemeinsames Geheimnis. Aus dem Geheimnis wird dann ein kryptographischer Schlüssel abgeleitet. Dieser Schlüssel wird in der Folge benutzt, um den Nutzdatenstrom (Audiodaten) der Verbindung mit einem symmetrischen Verschlüsselungsverfahren (AES) zu verschlüsseln.
- Schlüsselgespräche
- Schließanlage und Schlüsselbund
- Der Schlüssel zum Erfolg
Lesen Sie mehr zum Thema
