Cryptography Reference
In-Depth Information
37.2.2
SRTP-Initialisierungsroutinen
SRTP geht davon aus, dass Alice und Bob bereits über einen gemeinsamen Mas-
terschlüssel verfügen. Deshalb gibt es Bedarf für ein Schlüsselaustausch-Protokoll
- also für eine Initialisierungsroutine des sicheren Kanals. Es gibt für diesen
Zweck mehrere, voneinander unabhängige Protokolle. Die zwei wichtigsten
davon schauen wir uns im Folgenden an.
ZRTP
ZRTP
ist ein Netzwerkprotokoll, das einen Diffie-Hellman-Schlüsselaustausch
für SRTP realisiert [RFC6189]. Es wurde unter der Mitwirkung von PGP-Erfin-
der Phil Zimmermann entwickelt und ist für den Einsatz beim Telefonieren im
Internet vorgesehen. Zimmermann entwickelte ZRTP als Bestandteil des von ihm
ersonnenen Produkts Zfone, das die Verschlüsselung von Internettelefonie mit
SRTP vorsieht. Das »Z« in ZRTP steht demnach für Zfone. ZRTP ist ein ver-
gleichsweise simples Protokoll. Mithilfe eines Diffie-Hellman-Schlüsselaus-
tauschs versorgt es Alice und Bob mit einem gemeinsamen geheimen Schlüssel,
den diese als Masterschlüssel für das Internettelefonieren über SRTP verwenden
können. ZRTP sieht zwar die Verwendung eines asymmetrischen Verfahrens
(Diffie-Hellman) vor, verzichtet jedoch auf eine PKI-Unterstützung. Laut ZRTP-
Erfinder Phil Zimmermann, der nicht gerade als PKI-Fan bekannt ist, war dieser
Verzicht Absicht, da ihm eine PKI-Unterstützung zu komplex und außerdem
unnötig erschien.
ZRTP verwendet das Diffie-Hellman-Verfahren mit 3.078 oder 4.096 Bit
Schlüssellänge. Da für jedes Telefonat ein neuer Masterschlüssel generiert wird,
bietet Zfone Forward Security und Backward Security, selbst wenn Mallory in
den Besitz des Masterschlüssels gelangt. Eine der Funktionen von ZRTP ist das
Aushandeln von kryptografischen Verfahren für den SRTP-Nachrichtenaus-
tausch. AES (128 Bit Schlüssellänge) und SHA-256 müssen unterstützt werden,
andere Verfahren sind möglich.
Einer der offensichtlichen Nachteile von ZRTP ist die fehlende Authentifizie-
rung. Alice und Bob haben (im allgemeinen Fall) zu Beginn des Protokollablaufs
keinen gemeinsamen geheimen Schlüssel, und sie können keine digitalen Zertifi-
kate zur Authentifizierung einsetzen. Mallory kann daher beispielsweise Alice
anrufen und sich für Bob ausgeben. Er kann außerdem eine Man-in-the-Middle-
Attacke gegen das Diffie-Hellman-Verfahren starten, indem er seinen öffentlichen
Schlüssel gegenüber Alice als den von Bob und gegenüber Bob als den von Alice
ausgibt. Auf diese Weise gelangt er in den Besitz je eines gemeinsamen geheimen
Schlüssels mit Alice und mit Bob. Beim anschließenden Nachrichtenaustausch
kann er dies zum Mithören nutzen. Um derartige Angriffe zu verhindern, bietet
ZRTP einige Gegenmaßnahmen, die zwar in der Theorie angreifbar sind, für
praktische Zwecke jedoch ausreichen dürften:
