Warum schützen nicht Sie Skype gegen Abhören zu?

Skype hat lange behauptet, "Ende-zu-Ende verschlüsselt", eine architektonische Kategorie, die nahelegt, dass Gespräche über den Dienst schwierig oder unmöglich zu belauschen, würde sogar Kontrolle der Nutzer Internet-Verbindungen gegeben sein. Aber Skype 2005 unabhängige Sicherheitsüberprüfung gibt einen Vorbehalt zu dieser Schutz: "Sieg über die Sicherheitsmechanismen auf dem Skype Central Server" könnte "Man-in-the-Middle Attack" erleichtern (siehe Abschnitt 3.4.1). Im Wesentlichen der Skype-Dienst spielt die Rolle einer Zertifizierungsstelle für seine Nutzer und wie andere Zertifikat könnte Behörden erleichtern, indem du die falschen Tasten verschenkst abhören.

Diese Einschränkung der Sicherheit beschäftigt uns schon seit längerem. Im vergangenen Jahr argumentiert Chris Soghoian, dass, aus diesem Grund "Skype ist in der Lage, die Regierung ausreichend Daten, einen Mann in the middle-Attacke gegen Skype Benutzer durchzuführen." Soghoian argumentiert, dass Skype das Design ändern sollte um diese Fähigkeit zu beseitigen, sonst das Risiko deutlicher offenbaren. One-Way des begrenzenden Man-in-the-Middle-Angriffe wäre für Skype, eine Möglichkeit für Benutzer, eigene Verschlüsselung Schlüssel Überprüfung zu tun, ohne auf den Skype-Dienst einzuführen. Wie Soghoian anmerkt, das ist, was viele andere Kommunikation verschlüsselt Werkzeuge zu tun – aber so eine Möglichkeit der Überprüfung fehlt von Skype. (Benutzer können unabhängig zu überprüfen die Echtheit der Schlüssel präsentiert von Menschen, die sie in Verschlüsselungsverfahren wie PGP, OTR, HTTPS und ZRTP reden.) Im Jahr 2011 fragten wir öffentlich Skype diese Funktion zumindest als eine optionale Möglichkeit für Benutzer, überprüfen, ob sie bespitzelt wurden nicht einzuführen. Bislang wurde keine wichtige Überprüfung-Funktion eingeführt.

Warum das so ist Sicherheit Dialog (vorhanden in anderen verschlüsselten Messaging-Tools) fehlt in Skype? [Bild cypherpunks.ca]

Vor der Übernahme durch Microsoft Skype einige Unklarheit über seine Abhörkapazitäten beibehalten, aber gelegentlich darauf hingewiesen, dass die vorhandenen Verschlüsselung verhindert jegliche Abhören; im Jahr 2008 beispielsweise Skype sagte es "würde nicht einhalten" einen Antrag auf einen Skype-Benutzer, teilweise aufgrund der Verschlüsselung wiretap. (Aber es Beweise früher in diesem Jahr überzeugte, dass das Unternehmen nun Zugang zu den entschlüsselten Text Nutzer instant Messages, obwohl 2005 Audit-Bericht namens "Text" als Kategorie von Informationen, die durch Skype-Verschlüsselung geschützt werden sollten.)

Ein Guardian Bericht jetzt scheint zu zeigen, die Situation hat sich drastisch verändert, von ehemaligen Ansprüchen des Unternehmens in diesem Punkt, die besagt, dass Microsoft Skype Gesprächsinhalte an die US-Regierung seit an umgedreht hat zuletzt 6. Februar 2011.

Microsofts Antwort auf den Guardian enthält einen besonders interessanten Leckerbissen:

Schließlich wenn wir aktualisieren oder aktualisieren Sie Produkte, die rechtliche Verpflichtungen in einigen Fällen können verlangen Sie, dass wir die Auskunftsfähigkeit in Reaktion auf eine Strafverfolgung oder Staatssicherheit Anfrage. Es gibt Aspekte dieser Debatte, die wir wünschen, dass wir mehr frei diskutieren konnten. Deshalb haben wir argumentiert für zusätzliche Transparenz, das helfen würde jedermann verstehen und diese wichtigen Themen zu diskutieren.

Was könnte Microsoft damit sagen? Warum Microsoft wäre gesetzlich verpflichtet, "die Erhaltung der Leistungsfähigkeit" ausspionieren Benutzer, Gründen es nicht frei fühlen, uns mitteilen?

Es ist nicht klar, ob diese Aussage bezieht sich direkt auf Skype, aber es wirft interessante Fragen, von denen einige Julian Sanchez bei Ars Technicasinniert. Es gibt keine bekannten Grundlage im US-Gesetz für Verbot von Internet-Technologie-Entwickler erstellen Kommunikationssysteme ohne die Möglichkeit, Benutzer, ausspionieren, so ist es faszinierend zu sehen, Microsofts Vorschlag "rechtliche Verpflichtungen, die verlangen, dass wir die Auskunftsfähigkeit". In anderen Zusammenhängen, sagt das Gesetz ausdrücklich nicht erfordern Technologieentwickler, eine Möglichkeit, dies zu tun zu haben. Sogar die Communications Assistance für Gesetz Enforcement Act (CALEA), erfordern einige Unternehmen Wiretap Fähigkeiten entwickeln, sagt

Ein Telekommunikations-Carrier haftet nicht für die Entschlüsselung oder Gewährleistung der Fähigkeit der Regierung, zu entschlüsseln, jegliche Kommunikation verschlüsselt von einem Teilnehmer oder Kunden, sofern die Verschlüsselung nach dem Träger und dem Träger verfügt über die notwendigen Informationen für die Kommunikation zu entschlüsseln.

47 USC §1002(b)(3).

(Es gibt andere Gründe, dass CALEA selbst wahrscheinlich nicht relevant hier; z. B. mindestens für Zwecke der Skype-zu-Skype-Anrufe, Microsoft ein starkes Argument für seine öffentliche Position hat wäre, dass "[CALEA] nicht für Microsoft Dienste gilt, einschließlich Skype, da Microsoft kein Telekommunikations-Carrier". Natürlich ist es manchmal möglich, dass CALEA auf Kommunikationssysteme auf Art und Weise angewendet wird, die wir auf der Oberfläche sehen kann; Immerhin bekommen wir nicht, CALEA Compliance Bestellungen oder Verträge zu sehen.)

Nehmen wir an, dass Microsofts Aussage sich auf die Fähigkeit bezieht, heimlich Skype Anrufe abfangen. Wenn Microsoft (oder Skype) ursprünglich keine Verpflichtung, in erster Linie Benutzer ausspionieren zu können nicht, wie könnte es gefunden haben selbst "[d] erfordern pflegen die Fähigkeit" zu tun?

Ein geheimen Auftrag aus dem FISA Gericht, das unter die "Aspekte dieser Debatte" sein könnte, dass Microsoft nicht diskutieren findet, könnten einen neuen Grund, warum Microsoft nicht handelt, um Skype-Nutzer gegen Lauschangriffe besser zu schützen. Ggf. der geheimen Auftrag Microsoft Skype Benutzer Kommunikation laufend umdrehen könnte Microsoft befürchten, dass Wechsel der Skype-Technologie in einer Weise, die es nicht von der Erfüllung mehr die Bestellung verletzen würde. Es ist auch möglich, die New York Times -Bericht vom letzten Sonntag, dass das FISA Gericht heimlich CALEA oder andere Überwachungsgesetze interpretiert hat, so dass Internet-Dienste wie Skype direkt unter ihnen fallen.

Wenn solche geheime Aufträge regelmäßig erneuert werden, nie möglicherweise Überspannung der Zeit in dem Microsoft ein solcher Beschluss nicht unterliegt. Weiterhin Aufträge wiederum über Skype-Nutzer anrufen könnte dann behaupten, Microsoft daran zu hindern, ständig wechselnden Skype Design oder Feature-Set zu machen, mehr private. Während dies zugegebenermaßen spekulativ ist, wirft es eine reale Gefahr: Aspekte der Kommunikationstechnik können eingefroren werden, wie sie im Moment die Überwachung gestartet waren, unter einen geheimen Auftrag, die interpretiert wird, um zu verhindern, Skype, die wir und andere angefordert haben die Sicherheits-Features hinzufügen.

Diese Situation wäre bemerkenswert: Wenn sich herausstellt, der Fall sein, wäre es ein bisher nicht gekannter Weise für die Regierung zu üben eine permanente Kontrolle und Einfluss auf die Gestaltung von Kommunikationsmitteln – potenziell Innovation zu stoppen und verhindern, dass Unternehmen Roll-out neue Privatsphäre und Sicherheits-Features auswählen.

Noch seltsamer, hat Microsoft ein weiteres mehrdeutige Erklärung am Dienstag, die gelesen werden kann, darauf hin, dass Benutzer keine Kommunikationstechnologie zum Schutz vor Spionage in Zukunft Regierung erwarten können:

Wir freuen uns, als Internet-basierte Sprach- und Videokommunikation erhöhen, es ist klar, dass Regierungen ein Interesse daran haben werden mit (oder die) rechtlichen Befugnisse, sicheren Zugang zu dieser Art von Inhalten zu Verbrechen untersuchen oder den Terrorismus zu bekämpfen. Daher davon auszugehen, dass alle Anrufe, ob über das Internet oder per Festnetz oder Handy, ähnliches Niveau an Datenschutz und Sicherheit bieten.

Das ist sicherlich nicht der Fall heute, rechtlich oder technisch – heute bieten verschiedene Arten von Anrufendrastisch unterschiedliche Ebenen der Privatsphäre und Sicherheit. In einigen Mobilfunknetzen Anrufe sind nicht überhaupt verschlüsselt und sind damit sogar über die Luft übertragen. Einige Internetanrufe werden in einer Weise verschlüsselt, die Benutzer gegen einige Arten von abfangen und andere nicht schützt. Einige Anrufe sind verschlüsselt mit Werkzeugen, die enthalten Datenschutz- und Sicherheitsfunktionen, die Skype fehlt. Benutzer zu verstehen, genau wie die Kommunikationstechnologien sie verwenden verdienen oder nicht beschützen. Wenn Microsoft Grund zu der Annahme, dass diese Situation wird sich ändern, müssen wir wissen, was diese Gründe sind.

Repreoduced der elektronischen jetzt Stiftung unter Creative Commons Lizenz. Bild von RoccoAlpha unter Creative Commons Lizenz