Megtörték a Skype titkosítását?

Azt állítja egy csoport, sikeresen visszafejtették a Skype féltve őrzött titkosítását, amellyel a kommunikációt védte. A csoport közzétette a kódot, mert szerinte hakcerek már hozzájutottak, az értelmezésben azonban nem segítenek. A Skype már egy ideje tud az esetről.

A Skype titkosítási megoldásának visszafejtéséről Sean O'Neil számolt be az Enrupt, a szimmetrikus kriptoalgoritmus honlapján, a Skype Reverse Engineering Team nevében - az oldal jelenleg nem elérhető hibaüzenet miatt, de a Google cache tárolja. A bejegyzés szerint a kód bár valószínűleg nem egyezik meg teljesen a Skype binárisa által hordozott kóddal, de száz százalékosan kompatibilis azzal, vagyis erre alapozva Skype-kompatibilis chat- és VoIP-klienseket is lehetne készíteni, amire eddig nem volt lehetőség.

O'Neil szerint a visszafejtéssel és a Skype titkosítását utánzó kód alapján megoldható, hogy a Skype forgalmat valaki dekódolja, vagyis lehallgathassa a beszélgetéseket, amire eddig nem volt lehetőség. Médiajelentések alapján a nemzetbiztonsági szolgálatok több országban is jelezték a Skype felé, hogy mutassák meg a Skype lehallgathatóságának módját. A legutóbbi ilyen esetet India adta, ahol a Skype mellett a Research in Motion és a Google is kapott hatósági felhívást egy helyi lap, a Hindu Business Line szerint, hogy ezen rendszerek is lehallgathatóak legyenek az indiai hatóságok számára. A Skype alapvetően zárt politikát folytat, vagyis nem teszi közzé szoftverének működését, és nem teszi lehetővé azt sem, hogy Skype-kompatibilis klienseket fejlesszenek mások.

A visszafejtést elérők azonban nem segítenek a kód értelmezésében, és azt sem mondják el, hogyan lehetséges a Skype adatforgalmának visszafejtése. O'Neil annyit közölt, hogy a felhasználó azonosítására, vagyis az autentikációs szerverrel történő kommunikációkor AES-256 kulccsal titkosít a kliens, míg a kliensek egymás közti forgalmazásakor, vagyis chatelések, VoIP és videohívások során többrétegű, egymásba ágyazott titkosításról lehet szó, ahol az RC4 algoritmus TCP, UDP és DH-384 változatát AES-256 csatornába ágyazzák.

A Skype eddig nem kommentálta a fejleményeket, így nem tudni, milyen ellenlépéseket terveznek, és mikorra. Az eset furcsasága, hogy a közzétett kód működését és a támadási felületeket O'Neil és csapata csak egy hónapokkal későbbi, berlini hackerkonferencián szándékozik részletezni.