Bezpečnosť Skype - nezávislý audit

Kryptológ Tom Berson zverejnil správu o bezpečnosti Skype. Aj keď nakoniec (možno prekvapivo) je výsledok veľmi dobrý, v podstate potvrdzuje obavy uvedené v článku 10 důvodů proč nepoužívat Skype. Berson dostal audit Skype ako zákazku, mal možnosť vidieť zdrojové kódy a skúmal ich štyri mesiace. Záver v skratke:

• používajú sa známe a overené kryptografické primitíva (RSA, AES, atď.), čo je lepšie ako potajomky vyvíjať vlastnú šifru (na čo doplatilo napr. GSM)
• kryptografické primitíva aj key management sú dobre navrhnuté a implementované (čo znamená, že Berson v nich nebol schopný nájsť zásadnú chybu)
• Je odolný proti MITM, replay attack, hádaniu hesiel (timeout po niekoľkých neúspešných pokusoch na strane servera) až na „save password“ option
• Skype client neobsahuje backdoory a škodlivý software
• Skype je náchylný na DoS (čo nie je až také podstatné vzhľadom na to, že sa dá realizovať na TCP/IP vrstve), ale môže byť veľmi náchylný na útoky postrannými kanálmi (nesnažili sa proti tomu brániť)
• existuje single point of failure a tým je zrovna centrálna správa a centrálna certifikačná autorita, čiže kto ovláda centrum, ovláda celú sieť Skype. Naviac nie je mi známe, že by kľúč centrálnej certifikačnej autority mal obmedzenú platnosť a ako chcú riešiť jeho kompromitáciu.
• integer overflow pri dekódovaní, kryptoanalytická slabina použitia CRC kódu, bude opravené v nasledovných verziách

Vráťme sa ešte k útokom postrannými kanálmi. Podľa správy to vyzerá, že Skype trpí niekoľkými dosť vážnymi únikmi postrannými kanálmi. Postranné kanály je pomerne náročné zneužiť, ale dá sa to. Niektoré sú pomerne dobre známe (AES trpí nejakými), niektoré implementácie RSA nimi tiež trpeli. Prečo to zmieňujem? Pretože Skype vývojári sa snažili, aby ich software dobre bežal aj na slabších počítačoch, tak urobili niektoré optimalizácie (zrýchlia proces výpočtov, ale vyžarujú informácie o postranných kanáloch), Rabin-Millerov test prvočíselnosti je pomerne orezaný na slabších počítačoch (nízky počet iterácií). Konkrétne to znamená, že na každej zhruba 750-ej inštalácii Skype na slabších počítačoch bude modulus RSA tvoriť miesto dvoch prvočísiel aspoň jedno zložené číslo (na silnejších počítačoch klesne pravdepodobnosť pod 10^-16)).

Záver najzáveratejší: Ak neukladáte heslo a nemáte proti sebe protivníka typu NSA alebo políciu, ste zrejme v bezpečí. Na druhej strane, Berson neanalyzoval serverovú časť Skype protokolu, čiže je celkom možné, že za pomoci postranných kanálov sa dá zistiť privátny RSA kľúč certifikačnej autority Skype, na čom stojí a padá celý systém.

P.S.: Za privátny kľúč Skype CA ponúkam pozvanie na pivo ;-)