Willkommen Gast. Bitte Einloggen oder Registrieren
Forum Logo
 
  ÜbersichtHilfeSuchenEinloggenRegistrieren  
 
Seiten: 1 2 3 4 
Thema versenden Drucken
Verschlüsselung mit TLS (Gelesen: 21697 mal)
deti
Junior Member
**
Offline



Beiträge: 93
Prien am Chiemsee
Geschlecht: male
Re: Verschlüsselung mit TLS
Antwort #15 - 17. Februar 2010 um 22:38
 
Kann mir jemand schreiben wie ich die nötigen Zertifikate für eine verschlüsselte Verbindung erstelle (mit Windows XP oder auf einem Linux Server oder im Internet)? Leider ist in der Anleitung unter Konfiguration => Zertifikate dazu nichts näheres zu erfahren, auch nicht ob eins, zwei oder alle drei Felder der Seite Zertifikatdateien enthalten müssen.

Muss bei SRTP ein Häkchen drin sein wenn die Verbindungsart TLS gewählt ist und Zertifikatsdateien da sind?

Muss die Gegenseite die selben Dateien zum entschlüsseln besitzen oder nur eine? Welche?

Ich möchte ausprobieren ob TLS Verbindungen ohne zwischengeschalteten Proxy/Registrar funktionieren und wie das geht.
Zum Seitenanfang
 
Homepage  
IP gespeichert
 
Phoner Admin
YaBB Administrator
*****
Offline



Beiträge: 6636
Geschlecht: male
Re: Verschlüsselung mit TLS
Antwort #16 - 18. Februar 2010 um 09:21
 
Zitat:
Kann mir jemand schreiben wie ich die nötigen Zertifikate für eine verschlüsselte Verbindung erstelle (mit Windows XP oder auf einem Linux Server oder im Internet)? Leider ist in der Anleitung unter Konfiguration => Zertifikate dazu nichts näheres zu erfahren, auch nicht ob eins, zwei oder alle drei Felder der Seite Zertifikatdateien enthalten müssen.

Wenn du zwei PhonerLite-Instanzen laufen hast, benötigst du kein einziges konfiguriertes Zertifikat. Die dafür notwendigen Zertifikate sind schon eingebaut.
Wann brauchst du ein Server-Zertifikat? Eigentlich nie. Wenn sich ein Fremdprodukt (z.B. ein anderes SIP-Telefon) zu dir per TLS verbinden will, so benötigst du unter Umständen ein Serverzertifikat. Ein solches Zertifikat beinhaltet jedoch deinen Rechnernamen oder deine Domain. Wenn also dieses andere Gerät diesen Rechnernamen mit dem Zertifikat abgleichen will, dann brauchst du ein Serverzertifikat genau für deinen Rechner/Domain. Ich gehe mal davon aus, dass dies nie der Fall sein wird. Normalerweise baut PhonerLite eine TLS-Verbindung zu einem anderen Server auf und deshalb ist PhonerLite selbst kein Server und benötigt folglich auch kein Server-Zertifikat.
Wann brauchst du ein Client-Zertifikat?Wenn sich PhonerLite zu einem SIP-Server verbindet und dieser eine Client-Zertifizierung verlangt, dann benötigst du ein Client-Zertifikat. Für diesen Fall bekommst du aber von deinem Anbieter ein solches Client-Zertifikat. Wenn dein Anbieter dir also keines hat zukommen lassen, dann benötigst du das auch nicht.
Die Zertifikats-Felder (und das für den privaten Schlüssel) lässt du also einfach leer. Erst wenn du eine spezielle Gegenstelle hast, dann benötigst du dies. Aber das würde dir schon gesagt werden (z.B. von deinem Provider bzw. SIP-Server). Für die Verschlüsselte Verbindung zwischen zwei PhonerLite-Instanzen benötigst du ebenfalls keine Angaben.

Zitat:
Muss bei SRTP ein Häkchen drin sein wenn die Verbindungsart TLS gewählt ist und Zertifikatsdateien da sind?

SRTP und TLS sind zwei verschiedene Dinge. Per TLS wird der eigentliche Nachrichtenaufbau verschlüsselt. Per SRTP werden die Sprachdaten verschlüsselt. Beide Dinge stehen in keinem Zusammenhang - man kann sie also unabhängig voneinander nutzen. Der Schlüssel für SRTP wird nicht per Zertifikaten ausgehandelt, sondern steht mehr oder weniger im Klartext in den SIP-Nachrichten. Aus diesem Grund macht SRTP erst richtig sinn, wenn der Nachrichtenaustausch (SIP) per TLS verschlüsselt ist. SRTP ohne TLS wäre wie das Zuschließen der Haustür und den Schlüssel dann unter die Fußmatte zu legen. Immerhin abgeschlossen ist ja Smiley

Zitat:
Muss die Gegenseite die selben Dateien zum entschlüsseln besitzen oder nur eine? Welche?

Wie gesagt, wenn du einen Anbieter mit TLS-Unterstützung hast UND dieser ein Client-Zertifikat verlangt, so hat er dir dieses auch auf einem anderen Wege hat zukommen lassen. Wenn  nicht, dann brauchst du da auch nichts angeben.
Das hängt also immer von der Gegenstelle ab. Wenn beide Teilnehmer PhonerLite verwenden, dann brauchst du gar nichts konfigurieren.
Zum Seitenanfang
 
Homepage Phoner Admin Phoner Admin heiko.sommerfeldt 27419546  
IP gespeichert
 
deti
Junior Member
**
Offline



Beiträge: 93
Prien am Chiemsee
Geschlecht: male
Re: Verschlüsselung mit TLS
Antwort #17 - 19. Februar 2010 um 00:06
 
Danke für die ausführliche Antwort!

Phoner Admin schrieb am 18. Februar 2010 um 09:21:
SRTP und TLS sind zwei verschiedene Dinge. ....  Aus diesem Grund macht SRTP erst richtig sinn, wenn der Nachrichtenaustausch (SIP) per TLS verschlüsselt ist. ....

Verstehe ich das richtig:
Wenn nur TLS an ist, dann wird der Nachrichtenaufbau zwar veschlüsselt, die gesendeten Sprachdaten aber nicht, das heißt, dann brauche ich noch den Haken bei SRTP um ganz verschlüsselt zu sein?
Oder reicht TLS um alles zu verschlüsseln?

Phoner Admin schrieb am 18. Februar 2010 um 09:21:
Die Zertifikats-Felder (und das für den privaten Schlüssel) lässt du also einfach leer. ... . Für die Verschlüsselte Verbindung zwischen zwei PhonerLite-Instanzen benötigst du ebenfalls keine Angaben.

Hmmm, ich verstehe nicht viel von den Verschlüsselungstechniken, aber nach meinem Verständnis hat dann wohl jeder der PhonerLite hat auch die öffentlichen und privaten Schlüssel um Nachrichten zu ver- und entschlüsseln. Könnte dann nicht jemand der irgendwo zwischen den zwei miteinander redenden Instanzen von PhonerLite sitzt die Daten abhören und mit seinen PhonerLite-Schlüsseln entschlüsseln? Wäre da nicht ein privater Schlüssel sinnvoll, der z. B. auch mit einem Passwort gesichert ist, und ein zugehöriger öffentlicher Schlüssel wie sie z. B. mit PuTTYgen erzeugt werden können? Oder werden diese Schlüssel bei jedem PhonerLite neu generiert?

Und nun noch ne Frage:
Was ist/Wofür ist SAVP das erst anklickbar ist nachdem SRTP checked ist?
Zum Seitenanfang
 
Homepage  
IP gespeichert
 
Phoner Admin
YaBB Administrator
*****
Offline



Beiträge: 6636
Geschlecht: male
Re: Verschlüsselung mit TLS
Antwort #18 - 19. Februar 2010 um 08:42
 
Zitat:
Verstehe ich das richtig:
Wenn nur TLS an ist, dann wird der Nachrichtenaufbau zwar veschlüsselt, die gesendeten Sprachdaten aber nicht, das heißt, dann brauche ich noch den Haken bei SRTP um ganz verschlüsselt zu sein?

Genau!
Zitat:
Oder reicht TLS um alles zu verschlüsseln?

Eben nicht. Bei VoIP (SIP) hast du 2 Kommunikationskanäle pro Gespräch: Einmal der Verbindungsaufbau und die Aushandlung der Sprachparameter und dann eben die Sprachpakete selbst. Um komplett verschlüsselt zu arbeiten, brauchst du TLS und SRTP.

Zitat:
Hmmm, ich verstehe nicht viel von den Verschlüsselungstechniken, aber nach meinem Verständnis hat dann wohl jeder der PhonerLite hat auch die öffentlichen und privaten Schlüssel um Nachrichten zu ver- und entschlüsseln. Könnte dann nicht jemand der irgendwo zwischen den zwei miteinander redenden Instanzen von PhonerLite sitzt die Daten abhören und mit seinen PhonerLite-Schlüsseln entschlüsseln? Wäre da nicht ein privater Schlüssel sinnvoll, der z. B. auch mit einem Passwort gesichert ist, und ein zugehöriger öffentlicher Schlüssel wie sie z. B. mit PuTTYgen erzeugt werden können? Oder werden diese Schlüssel bei jedem PhonerLite neu generiert?

Nein! Der Normalfall ist der, dass sich PhonerLite zu einem SIP-Server verbindet - PhonerLite ist also nie der Server. Lediglich für den Sonderfall, dass sich ein anderes Endgerät direkt zu PhonerLite verbindet - dann wäre PhonerLite der Server. Aber selbst dann kommst du nie an den privaten Schlüssel des Zertifikats heran. Du kannst dich nicht mit PhonerLite ein eine fremde Verbindung einklinken.
Ich verstehe also deine Bedenken an dieser Stelle nicht. Solltest du (warum auch immer) trotzdem bedenken haben, so erstelle dir einfach selbst ein Server-Zertifikat. Dazu gibt es tausende von Anleitungen im Netz. Ein HTTPS-Server benötigt auch exakt solch ein Server-Zertifikat.

Zitat:
Und nun noch ne Frage:
Was ist/Wofür ist SAVP das erst anklickbar ist nachdem SRTP checked ist?

Nicht alle Gegenstellen unterstützen SRTP. Deshalb kann es zu Kompatibilitätsproblemen kommen, wenn man bei der Aushandlung SAVP (statt AVP) als Protokoll angibt. Andere Gegenstellen erwarten aber genau diese Angabe. Deshalb kann man bei aktiviertem SRTP über diesen Schalter das steuern.
Bei einer PhonerLite-zu-PhonerLite Verbindung ist das egal - PhonerLite versteht beide Varianten.
Zum Seitenanfang
 
Homepage Phoner Admin Phoner Admin heiko.sommerfeldt 27419546  
IP gespeichert
 
deti
Junior Member
**
Offline



Beiträge: 93
Prien am Chiemsee
Geschlecht: male
Re: Verschlüsselung mit TLS
Antwort #19 - 19. Februar 2010 um 21:14
 
Phoner Admin schrieb am 19. Februar 2010 um 08:42:
Ich verstehe also deine Bedenken an dieser Stelle nicht.

Ich hab eigentlich keine Bedenken, war nur ne Frage. Danke für die Antworten!



Phoner Admin schrieb am 19. Februar 2010 um 08:42:
Solltest du (warum auch immer) trotzdem bedenken haben, so erstelle dir einfach selbst ein Server-Zertifikat. Dazu gibt es tausende von Anleitungen im Netz. Ein HTTPS-Server benötigt auch exakt solch ein Server-Zertifikat.

- Dann wird eine Server-Zertifikat-Datei mit privater Schlüssel-Datei dem in PhonerLite eingebauten Zertifikat/privaten Schlüssel vorgezogen?

- Bei einem Server-Zertifikat muss immer der Server-Name angegeben werden, kann dieser Name für die Kommunikation von PhonerLite zu PhonerLite beliebig sein, oder sollte ein bestimmter verwendet werden?
- Da PhonerLite, in meinem Fall, zwar als Server agiert aber keine TopLevelDomain hat und die IP auch wechseln kann, trifft wohl zu was Du weiter oben geschrieben hast:
Zitat:
Ein solches Zertifikat beinhaltet jedoch deinen Rechnernamen oder deine Domain. Wenn also dieses andere Gerät diesen Rechnernamen mit dem Zertifikat abgleichen will, dann brauchst du ein Serverzertifikat genau für deinen Rechner/Domain.
Gleicht PhonerLite immer die Adresse im Zertifikat mit der ab von wo das Zertifikat kommt? Oder nur wenn ein Haken bei "überprüfe Zertifikat der Gegenstelle" gesetzt ist?

- Wofür ist "Lade Windows CA"?

- Werden selbst signierte Zertifikate akzeptiert?

Danke für Deine Zeit!
Zum Seitenanfang
 
Homepage  
IP gespeichert
 
Phoner Admin
YaBB Administrator
*****
Offline



Beiträge: 6636
Geschlecht: male
Re: Verschlüsselung mit TLS
Antwort #20 - 24. Februar 2010 um 09:04
 
Zitat:
Dann wird eine Server-Zertifikat-Datei mit privater Schlüssel-Datei dem in PhonerLite eingebauten Zertifikat/privaten Schlüssel vorgezogen?

Wenn du ein Zertifikat konfigurierst, dann wird auch dieses verwendet.

Zitat:
Bei einem Server-Zertifikat muss immer der Server-Name angegeben werden, kann dieser Name für die Kommunikation von PhonerLite zu PhonerLite beliebig sein, oder sollte ein bestimmter verwendet werden?

Das ist das Problem. Das hängt von der Gegenstelle (dem Client) ab, ob dieser die Domains verifiziert. PhonerLite tut dies nicht.
PhonerLite überprüft lediglich die Gültigkeit des Zertifikats gegenüber dem Aussteller (CA - Certificate Authority, also dem Aussteller des Zertifikats). Ob der kontaktierte Server und der Name im Zertifikat übereinstimmen, das überprüft PhonerLite nicht.

Zitat:
Da PhonerLite, in meinem Fall, zwar als Server agiert aber keine TopLevelDomain hat und die IP auch wechseln kann, trifft wohl zu was Du weiter oben geschrieben hast:
Gleicht PhonerLite immer die Adresse im Zertifikat mit der ab von wo das Zertifikat kommt? Oder nur wenn ein Haken bei "überprüfe Zertifikat der Gegenstelle" gesetzt ist?

Wie oben beschrieben, überprüft PhonerLite die Domain (bzw. den Rechnernamen) nicht. Erst wenn die Option "überprüfe Zertifikat der Gegenstelle" aktiv ist, überprüft PhonerLite die Gültigkeits des Zertifikats gegenüber der dem CA (siehe oben).

Zitat:
Wofür ist "Lade Windows CA"?

Um die Zertifikate überprüfen zu können, benötigt PhonerLite die Zertifikate der Zertifizierungsstellen (CA - Certificate Authority). PhonerLite hat das Root-Zertifikat von "CACert" (siehe www.cacert.org) eingebaut. Zertifikate von dieser Zertifizierungsstelle können also selbständig überprüft werden. Mit der oben genannten Option importiert PhonerLite die Zertifizierungsstellen, welche in Windows konfiguriert sind.
Nur mal so am Rande. Browser wie Mozilla Firefox verwalten selbständig auch Listen von Zertifizierungsstellen - die selbstverständlich von denen in Windows konfigurierten (und vom Internet-Explorer verwendeten) abweichen. In PhonerLite wollte ich keine solche Konfiguration nochmal einbauen, weshalb eben die von Windows verwendet wird. Das Importieren kann etwas dauern, weshalb man diese Option eben auch abschalten kann.

Wenn du PhonerLite zu PhonerLite rufst, brauchst du all diese Optionen nicht beachten.


Zitat:
Werden selbst signierte Zertifikate akzeptiert?

Selbst signierte Zertifikate sind ganz normale Zertifikate, die du selber erzeugt hast, also du auch der Aussteller bist. Das dazugehörige Aussteller-Zertifikat (CA) kannst du ganz normal in Windows als "vertrauenswürdig" einstufen und dann wird auch dieses akzeptiert. Wenn du auf PC A ein solches Zertifikat erzeugst, dann musst du dieses auch auf PC B das Aussteller-Zertifikat importieren und als "vertrauenswürdig" einstufen. Das hat aber nichts mit PhonerLite zu tun, sondern ist normale Windows-Konfiguration.
Zum Seitenanfang
 
Homepage Phoner Admin Phoner Admin heiko.sommerfeldt 27419546  
IP gespeichert
 
deti
Junior Member
**
Offline



Beiträge: 93
Prien am Chiemsee
Geschlecht: male
Re: Verschlüsselung mit TLS
Antwort #21 - 24. Februar 2010 um 09:56
 
Vielen, vielen Dank für Deine ausführlichen Informationen!!! Vorerst sind damit all meine Fragen zur Verschlüsselten Kommunikation beantwortet!
Smiley
Zum Seitenanfang
 
Homepage  
IP gespeichert
 
deti
Junior Member
**
Offline



Beiträge: 93
Prien am Chiemsee
Geschlecht: male
Re: Verschlüsselung mit TLS
Antwort #22 - 02. März 2010 um 14:01
 
Noch eine Nachfrage, werden "Nachrichten" auch verschlüsselt übertragen? Mit TLS oder muss auch SRTP an sein?
Zum Seitenanfang
 
Homepage  
IP gespeichert
 
Phoner Admin
YaBB Administrator
*****
Offline



Beiträge: 6636
Geschlecht: male
Re: Verschlüsselung mit TLS
Antwort #23 - 02. März 2010 um 15:18
 
Du meinst mit "Nachrichten" diese Kurzmitteilungen, also den Pseudo-Chat? Ja, der würde bei TLS ebenfalls verschlüsselt übertragen.
SRTP dient nur zur Verschlüsselung der Sprachpakete.
Zum Seitenanfang
 
Homepage Phoner Admin Phoner Admin heiko.sommerfeldt 27419546  
IP gespeichert
 
deti
Junior Member
**
Offline



Beiträge: 93
Prien am Chiemsee
Geschlecht: male
Re: Verschlüsselung mit TLS
Antwort #24 - 02. März 2010 um 17:36
 
Phoner Admin schrieb am 02. März 2010 um 15:18:
Du meinst mit "Nachrichten" diese Kurzmitteilungen, also den Pseudo-Chat?

Ja.

Danke!
Zum Seitenanfang
 
Homepage  
IP gespeichert
 
deti
Junior Member
**
Offline



Beiträge: 93
Prien am Chiemsee
Geschlecht: male
Re: Verschlüsselung mit TLS
Antwort #25 - 20. März 2010 um 00:22
 
Phoner Admin schrieb am 12. Mai 2007 um 21:20:
Mich wundert immer wieder, dass beim Thema Sicherheit/Verschlüsselung überall die Schlagworte TLS und SRTP fallen, aber es scheinbar niemand unterstützt.

Gibt es inzwischen Provider die TLS unterstützen?
Zum Seitenanfang
 
Homepage  
IP gespeichert
 
Phoner Admin
YaBB Administrator
*****
Offline



Beiträge: 6636
Geschlecht: male
Re: Verschlüsselung mit TLS
Antwort #26 - 20. März 2010 um 07:56
 
Zum Seitenanfang
 
Homepage Phoner Admin Phoner Admin heiko.sommerfeldt 27419546  
IP gespeichert
 
deti
Junior Member
**
Offline



Beiträge: 93
Prien am Chiemsee
Geschlecht: male
Re: Verschlüsselung mit TLS
Antwort #27 - 22. März 2010 um 00:36
 
Wenn der eine TLS für die Verbindung zum SIP-Server benutzt und der andere nicht, dann wäre die Übertragung des Schlüssels für SRTP ja nur scheinbar sicher, ich Wirklichkeit aber nicht oder?
Gibt es eine Möglichkeit zu überprüfen ob der angerufene auch TLS benutzt um ggf. den Ruf abzubrechen oder zumindest darauf hingewiesen zu werden, dass der Ruf nicht wirklich sicher ist?
Zum Seitenanfang
 
Homepage  
IP gespeichert
 
Phoner Admin
YaBB Administrator
*****
Offline



Beiträge: 6636
Geschlecht: male
Re: Verschlüsselung mit TLS
Antwort #28 - 22. März 2010 um 19:53
 
Nein, das siehst du nicht. Dafür bräuchtest du sowas wie ZRTP, was ich aber aus Lizenzgründen nicht einbauen kann.
Zum Seitenanfang
 
Homepage Phoner Admin Phoner Admin heiko.sommerfeldt 27419546  
IP gespeichert
 
deti
Junior Member
**
Offline



Beiträge: 93
Prien am Chiemsee
Geschlecht: male
Re: Verschlüsselung mit TLS
Antwort #29 - 22. März 2010 um 23:34
 
Phoner Admin schrieb am 22. März 2010 um 19:53:
Dafür bräuchtest du sowas wie ZRTP, was ich aber aus Lizenzgründen nicht einbauen kann.

ZRTP hört sich interessant an und für den Anwender einfach und sicher! Hab mir mal die Seiten von Zfone gründlich durchgelesen. Werd bei Gelegenheit deren Produkt mal mit PhonerLite testen.

Phoner Admin schrieb am 22. März 2010 um 19:53:
... , was ich aber aus Lizenzgründen nicht einbauen kann.

Tja, PhonerLite ist halt kein OpenSource Projekt...
Zum Seitenanfang
 
Homepage  
IP gespeichert
 
Seiten: 1 2 3 4 
Thema versenden Drucken