О защите Skype


В Сети вновь разгорелось обсуждение вопроса о том, что в популярной программе Skype имеет специальная лазейка, которая позволяет осуществлять несанкционированное прослушивание разговоров (бэкдор). В качестве доказательства сторонники данной гипотезы приводят тот факт, что используемый Skype проприетарный протокол является закрытым, и компания не раскрывает деталей, касающихся его работы. В качестве минусов программы отмечены такие факты:
— Программа постоянно передает данные (даже когда Skype находится в режиме ожидания)
— Недостаточная защита личных данных (Skype обладает ключами, позволяющими расшифровывать звонки и сессии)
— Потенциальная возможность наличия уязвимостей в связи с закрытостью кода
Помимо этого отметим, что слухи о возможном существовании в Skype бэкдора и различных лазеек регулярно появляются на протяжении последних лет. В частности, согласно одному из таких слухов существует специальное прослушивающее устройство, разработанное самой компанией Skype и поставляющееся спецслужбам.(С)
Как специалист по криптографии с 20 летним стажем работы в 8 управлении ФАПСИ скажу так: более глупой статьи на эту тему не читал уже давно.
Во-первых, ни одна спецслужба мира, которая занимается криптоанализом, т.е. взломом алгоритмов, шифров и кодов криптографических продуктов, НИКОГДА не будет во всеуслышание сообщать, что им удалось взломать эти продукты. Успешность работы криптоаналитиков, это вопрос государственной тайны высшего уровня, т.к. перехват зашифрованной информации стоит на первом месте в работе любых разведок мира, при этом не важно, какой программой зашифрована эта информация. В мире ещё нет ни одного факта легального использования в качестве доказательств дешифрованной криптоаналитиками информации. Как я уже сказал выше, факт взлома и дешифровки какого-либо алгоритма является государственной тайной и глупо в суде этот факт рассекречивать. Вспомните случай с украденной англичанами с немецкой подлодки шифровальной машины Энигма. Немцы, будучи уверенными, что их лодка погибла и с ней утонула шифровальная машина, до конца войны использовали старые коды для связи со своими судами. Таким образом англичане до конца войны полностью контролировали переписку фашистской Германии со своими военными судами. Как Вы думаете, использовали бы немцы свои шифровальные продукты, если бы англичане публично сообщили, что Энигма у них в руках? Это к слову о том, что в статье идёт ссылка на слова неназванного австралийского чиновника из МВД. Тем более МВД никогда не занималось и не занимается дещифровкой информации.
Во-вторых, всемирно известная программа PGP, которой исполнилось уже 17 лет использует алгоритм с т.н. открытым ключом, или ассиметричный алгоритм шифрования с длиной ключа 128 бит. Этот криптографический продукт до настоящего времени ни одной спецслужбе мира, в т.ч. и в той, где я ранее работал, не удалось взломать до настоящего времени и вряд ли удастся в ближайшие 50-100 лет. Skype использует семмитричный алгоритм шифрования (с закрытым ключом) с длиной ключа 256 бит, т.е. в два раза длиннее, чем в PGP. Вероятность взлома такого ключа методом лобовой атаки (подбор по словарю) оценивается не ранее 2150-2200 г.г., а многие специалисты по криптографии уверены, что взлома алгоритма с длиной ключа от 256 бит даже теоретически маловероятен.
В-третьих, все IP-сеансы связи Skype (кроме звонков на обычные телефонные номера) не идут через Сall-center, т.е в данном случае невозможен перехват звонков на аппаратуре сервера Skype. Учитывая, что взломать Skype методом лобовой атаки невозможно, единственный способ (теоретичекий) получить доступ к информации применить критографическую атаку, известную под названием “человек посередине”, или “Man-In-The-Middle attacks”. Однако этот метод практически трудноприменим к IP-телефонии, поскольку смысл этого метода в том, что в канал связи между двумя абонентами вклинивается кто-то третий. Например, разговаривают Борис и Сергей. ФСБ хочет прослушать их разговор и для этой цели использует атаку “человек посередине”. Во время звонка Сергея Борису, ФСБ подставляет свой ключ Сергею, выдавая его за ключ Бориса, а при ответе Бориса, подставляет ему свой ключ, вместо ключа Сергея. Таким образом трафик Сергея сначала попадает на компьтер ФСБ, там расшифровывается с помощью подменённого ключа, и по идее далее должен отправляться в зашифрованном виде на компьютер Бориса. Но в голосовой связи такая атака не применима, т.к. будут просто гигантские задержки на расшифровку трафика и подмену ключей. Атака “человек посередине” может эффективно применяться при расшифровке только письменной информации, направляемой путём электронной почты, когда задержки не будут замечаться какой-либо стороной, участвующей в переписке. Стоимость организации такой атаки для перехвата переписки двух человек измеряется сотнями тысяч долларов за каждый день перехвата.

В-четвёртых, встройка т.н. бэкдора (мастер-ключа) в алгоритм AES практически невозможна в силу особенностей этого алгоритма. Факт того, что Skype не публикует исходники своей программы абсолютно не свидетельствует о том, что в программу изначально встроен мастер-ключ. Многие компании, выпускающие известные во всём мире криптографические продукты не публикуют исходники своих программ, например, как немецкая компания SecurStar, выпускающая такие криптобестселлеры, как DriveCrypt Plus Pak, SecurSolo и PhoneCrypt.
Короче, статья написана конкурентами Skype, которые пытаются дискредитировать удачный продукт и на этой волне заработать себе очки. Skype самая надёжная программа в плане конфиденциальности переговоров между абонентами, использующими канал РС-РС.
Дмитрий
14.09.2008 в 11:13