Er zijn een aantal routes waarlangs cybercriminelen en hackers de VoIP-communicatie kunnen verstoren. Een van de meest verraderlijke aanvallen is de man-in-the-middle-aanval. Hier onderschept, stuurt en wijzigt een hacker in het geheim de communicatie tussen twee partijen die denken rechtstreeks met elkaar te communiceren.
Encryptie is de sleutel
De beste manier om u tegen dit soort aanvallen te beschermen en uw communicatie veilig te houden, is door een vorm van codering te gebruiken. ZRTP is een sleuteluitwisselingsprotocol waarmee VoIP-systemen onderling over veilige sleutels kunnen onderhandelen. In tegenstelling tot andere protocollen die hiervoor de signaalstroom gebruiken – waardoor de onderhandeling potentieel zichtbaar blijft voor afluisteraars – maakt ZRTP gebruik van de mediastroom, waardoor het onderscheppen veel moeilijker wordt.
ZRTP maakt gebruik van een algoritme genaamd Diffie-Hellman dat de noodzaak van certificaatbeheer en de bijbehorende overheadkosten vermijdt. De overeengekomen sleutels zijn tijdelijk, worden gebruikt om de mediastroom te versleutelen en worden vervolgens aan het einde van elk gesprek weggegooid, waardoor de veiligheid wordt vergroot en er geen sleutelbeheer meer nodig is.
Man-in-the-middle-bescherming
Er zijn ook specifieke functies die gericht zijn op bescherming tegen man-in-the-middle-aanvallen. MitM vertrouwt erop dat aanvallers de communicatie tussen twee partijen kunnen onderscheppen en berichten tussen hen kunnen doorgeven, zodat iedereen denkt dat ze een veilige verbinding met de ander hebben.
ZRTP beschermt hiertegen door het gebruik van korte authenticatiereeksen (SAS) en sleutelcontinuïteit. Dus hoe werkt dit? SAS wisselt een cryptografische hash van de Diffie-Hellman-waarden uit als een woordpaar op het display van het gebruikersapparaat – de woorden worden geselecteerd uit een PGP-lijst. Gebruikers vergelijken de strings door ze aan elkaar voor te lezen. Omdat SAS het potentieel heeft om meer dan 65,000 verschillende waarden te genereren, is het voor MitM-aanvallers vrijwel onmogelijk om daarin te slagen, omdat ze de juiste sleutelwaarde moeten raden om de oproep te kunnen onderscheppen.
Alsof dit nog niet veilig genoeg is, voegt key commitment extra zekerheid toe door een deel van de sleutel te gebruiken in daaropvolgende belangrijke overeenkomsten tussen dezelfde bellers. Dit maakt het nog moeilijker voor MitM-aanvallers, omdat voor een aanval kennis nodig is van het eerste gesprek tussen de partijen die gebruik maken van spraakafgifteproviders zoals IDT.
Uiteraard vergt dit wat werk van de gebruiker, maar door simpelweg een woordpaar te lezen, hebben ze de gemoedsrust dat ze een beveiligde lijn gebruiken en dat hun communicatie gecodeerd is.
Implementatie
Het implementeren van ZRTP kan op verschillende niveaus van de communicatiestructuur worden beheerd. Het is bijvoorbeeld mogelijk om het op sommige PBX-systemen te implementeren. Het is ook beschikbaar voor veel verschillende merken IP-telefoons. Er zijn ook zowel open source als commerciële implementaties beschikbaar voor installatie op een communicatiegateway, zodat ZRTP-gesprekken kunnen worden gevoerd met behulp van SIP-gebaseerde PBX en elke ZRTP-compatibele telefoon.
ZRTP kan ook op mobiele netwerken worden gebruikt; implementaties zijn beschikbaar voor Android, Blackberry, iOS en andere besturingssystemen voor mobiele telefoons. Wat uw telefoonsysteem ook is, ZRTP kan daarom worden gebruikt om uw oproepen te beschermen.
