Een team cryptografie-experts onder leiding van Sean O'Neil heeft de RC4-variant van Skype bestudeerd. O’Neil is bekend als maker van het EnRUPT-algoritme. Hij claimt dat de encryptie van Skype is uitgevogeld middels reverse engineering. Security-nieuwsblog The H stelt echter dat de beveiliging slechts deels is gekraakt.

De security-onderzoekers hebben Skype kunnen ontrafelen dankzij het openstellen van de programma-interface (api) door Skype zelf. Het bedrijf achter de bekende VoIP-client heeft dat gedaan om andere toepassingen te laten aanhaken, maar dan zonder de beveiliging prijs te geven. Dat laatste lijkt dus toch gebeurd te zijn.

Verborgen beveiliging

Skype gebruikt sinds het ontstaan een volledig eigen variant van encryptiemethode RC4 en combineert dat nog met andere beveiligingsmiddelen voor bijvoorbeeld de login. Tot op heden zijn experts er niet in geslaagd dat met reverse engineering te kraken of zelfs deels te ontrafelen.

O’Neil meldde op zijn blog, dat nu offline is door een MySQL-error: “Skype heeft de wereld security by obscurity weten te verkopen. En ik bedoeld dan hele, hele goede obscurity. Zo goed at bijna niemand in staat is geweest om het op basis van de vele Skype-binaries te reverse engineeren. Het is nu tijd om het geheim te onthullen.”

Uitgelekt

Die timing van de cryptografie-expert is echter mede ingegeven door een lek. De code voor de encryptiekraak is enkele maanden geleden per ongeluk naar buiten gekomen, bekent hij. Hackers zijn daar al mee aan de haal gegaan en bestoken Skype-gebruikers met spam. Het nu onthullen van de kraak moet de beveiligingswereld en Skype zelf de middelen geven om de communicatiesoftware weer dicht te timmeren, aldus O’Neil.

Ondertussen is Skype niet zo overtuigd van die redenering. Het bedrijf bevestigt dat de nu vrijgegeven code misbruikt kan worden om spamaanvallen uit te voeren. Het overweegt juridische stappen te ondernemen tegen O’Neil en zijn team.

“Wij menen dat het werk van Sean O’Neil, die voorheen bekend was als Yaroslav Charnovsky, spamaanvallen tegen Skype op directe wijze faciliteert, en we overwegen onze juridische opties nu”, verklaart het bedrijf aan ict-blog TechCrunch.

Broncode beschikbaar

De broncode voor de gedeeltelijke ontrafeling van de Skype-encryptie is online openlijk beschikbaar. De ontdekkers benadrukken dat dit alleen voor educatieve en niet voor commerciële doeleinden beschikbaar is. Partijen die Skype-compatibiliteit in hun producten willen, wordt wel aangeraden contact op te nemen met O’Neil.

In de broncode-bestanden valt te lezen dat de onderzoekers al in december vorig jaar met deze Skype-kraak bezig waren. Zij zullen meer details bekendmaken op de 27e editie van hackersconferentie Chaos Computer Congress (27C3) die in december dit jaar plaatsvindt.

Versus overheden

Skype gaat al jaren prat op de eigen encryptie die het toepast op het peer-to-peer verkeer van zijn VoIP-clientsoftware. De overheden van landen als Rusland en ook India storen zich daaraan. Hun opsporingsdiensten kunnen Skype-communicatie hierdoor niet afluisteren. Zij eisen openstellen of een eigen achterdeur en dreigen met een algeheel verbod. Overigens wil ook Europa Skype kunnen aftappen.

De eigen encryptie van Skype dient namelijk niet alleen voor de directe beveiliging van een gesprek tussen twee (of meer) Skype-gebruikers. Elke pc waarop Skype draait, werkt mee aan de bezorging van Skype-gesprekken, ook als de client zelf op dat moment geen gesprek voert. In theorie kan afluisteren dus op elke computer in het Skype-netwerk, maar de eigen encryptie verhindert dat.

Door de p2p-opzet veroorzaakt de software altijd enige mate van internetverkeer. Dat kan netwerkbeheerders een doorn in het oog zijn en daarom loopt Skype standaard via poort 80 die officieel alleen voor webverkeer is. Eerder hebben p2p-applicaties zoals Napster deze netwerktruc ook al uitgehaald.