Über eine halbe Milliarde Menschen benutzen Skype für VoIP-Gespräche, Textnachrichten und Video-Chats. Mit ein Grund für die Beliebtheit ist die automatisch aktive Verschlüsselung sämtlicher Daten. Jetzt soll den geheimen Algorithmus der Programmierer Sean O´Neil per Reverse Engineering nachgebaut haben.
Algorithmus als Open-Source veröffentlicht
In einem Blogpost beschreibt O´Neil, dass Skype seit 10 Jahren "security by obscurity" ("Sicherheit durch Unnklarheit") anbietet, denn wie der Verschlüsselungs-Algorithmus genau aussieht, daraus macht die Firma bisher ein großes Geheimnis. Dass die Verschlüsselung so leicht nicht nachzubauen ist, liegt auf der Hand, denn seit mehreren Jahren beißen sich die Spezialisten daran die Zähne aus. O´Neil ist jetzt anscheinend der Durchbruch gelungen, er hat eine Open-Source-Bibliothek veröffentlicht, die die Skype-Verschlüsselung nachbaut.
Privatsphäre in Gefahr: Skype kombiniert verschiedene Verschlüsselungsarten, sagt aber nicht genau welche.
Wird Skype abgehört?
Doch was bedeutet das jetzt für Skype-Nutzer, können Skype-Gespräche jetzt abgehört werden? Nein, denn Skype kombiniert verschiedene Verschlüsselungsfunktionen, etwa den als sicher geltenden AES (Advanced Encryption Standard) mit 256 Bit Schlüssellänge für das Login. Die Kommunikation wird aber mit dem jetzt nachgebauten Algorithmus geschützt. Fakt ist, dass bis heute nicht geklärt ist, ob Skype nicht auch auf die verschlüsselten Daten selbst zugreifen kann, sich also eine Hintertür eingebaut hat.
Webseite nicht erreichbar
O´Neils Webseite ist seit gestern nicht mehr erreichbar, der angebotene Source-Code kann aber aus dem Netz geladen werden. Richtig ins Detail will O´Neil erst zwischen Weihnachten und Neujahr gehen, dann findet nämlich der nächste Chaos Communication Congress in Berlin (27C3) statt. Dort will er seine Ergebnisse präsentieren.
Freier Download: Den Source-Code des nachgebauten Skype-Algorithmus gibt es zum Download.
Code schon geklaut?
Kurios ist, dass O´Neil in seiner Ankündigung auch einen Grund angibt, warum er den Source-Code jetzt schon veröffentlicht und nicht erst zum Kongress aus dem Hut zaubert. Scheinbar sind zumindest Teile des Source-Codes schon vorab in fremde Hände geraten. Es soll auch schon erste Hacks und Spamangriffe auf Basis des Codes geben.
Das sagt Skype
Auf Nachfrage von CHIP Online erklärte Skype, dass sie rechtliche Schritte gegen O´Neil prüfen, weil dieser mit seiner Arbeit direkt Spam-Angriffe unterstützt. Außerdem stellt das Unternehmen klar, dass es den Security-Gedanken hinter dem Reverse-Engineering nachvollziehen kann, dass der vorliegende Fall aber klar zeigt, dass das auch komplett schief laufen kann.
Sichere Alternativen
Wer jetzt beim Einsatz von Skype ein mulmiges Gefühl hat, kann sich mit einer Alternative eindecken. So bietet
Zfone eine eingebaute Verschlüsselung für VoIP-Gespräche über Clients wie
X-Lite. Wer dem
Windows Live Messenger eine Verschlüsselungsmöglichkeit für Texte und Dateien spendieren möchte, kann zu
SimpLite greifen. (jg)