Basé sur un système de clés, Zfone détecte quand la communication est initialisée et génère une paire de clés entre les deux parties. Le chiffrement et le déchiffrement de la communication sont effectués à la volée. De plus, une petite interface graphique ayant pour but d'informer l'utilisateur sur la sécurité de la communication a été créée.
Zfone devrait fonctionner avec la plupart des clients VoIP compatibles SIP tels que Ekiga, WengoPhone ou Gizmo. Le protocole Zfone devrait apparaître peu à peu en standard dans certains clients VoIP pour autant que la licence le permette. En effet, si les sources sont disponibles pour Linux (il faut fournir une adresse email pour pouvoir télécharger), la licence n'est pas encore déterminée. Certaines parties de code sont soumises à un copyright détenu par Phil Zimmermann & Associates LLC.
Note : La version Windows est annoncée pour mi-avril.
NdM : Merci à jcs d'avoir proposé une dépêche complémentaire. Zfone se place comme un filtre (au niveau de la couche IP du système d'exploitation) entre le logiciel de téléphonie et Internet en interceptant les paquets SIP pour effectuer le chiffrement. Zfone a été testé avec les logiciels propriétaires X-Lite, Gizmo et SJphone.
Selon Philip Zimmermann, Zfone a l'avantage de ne pas se baser sur les architectures complexes à mettre en oeuvre telles que PKI, certificats X.509, autorités de confiance... qui ont - selon lui - empêché le décollage du mail sécurisé.
Le protocole utilisé, qui a été baptisé ZRTP, permet d'effectuer un échange de clés (key agreement en anglais) Diffie-Hellman dans un paquet RTP lors de l'intialisation de la communication. Le secret partagé ainsi obtenu entre les deux clients est ensuite utilisé pour initialiser une session SRTP (Secure RTP). ZRTP est donc parfaitement interopérable avec tous les logiciels utilisant le protocole SIP.
Le document décrivant ZRTP, co-écrit avec Alan Johnston (également co-auteur de la RFC 3261 qui définit le protocole SIP) et Jon Callas, directeur technique de PGP Corporation, a été proposé pour standardisation à l'IETF.
Aller plus loin
- Zfone (56 clics)
- Pour démarrer (22 clics)
- ZRTP: Extensions de RTP pour "Diffie-Hellman Key Agreement for SRTP" (22 clics)
# Questions techniques : overhead +Jingle/H.323
Posté par Nÿco (site web personnel) . Évalué à 3.
Ensuite, fonctionne-t-il (est-il facilement adaptable) sur les protocoles Jingle et H.323 ?
[^] # Re: Questions techniques : overhead +Jingle/H.323
Posté par jcs (site web personnel) . Évalué à 4.
À la louche, c'est faible. Les algo de chiffrement de flux (stream cipher) ne sont pas réputés pour être très rapides mais sur un PC actuel, ils peuvent cracher 1Mo/s en consommant moins de 1% du CPU. On est plus rapidement limité par son accès au net que par le CPU.
Au niveau réseau, l'échange de clé demande l'échange de quelques paquets. Mais il faudrait regarder en détail le protocole pour savoir combien de temps prend le Diffie-Hellman. Enfin au pire on a une petite latence lors de l'établissement de la connexion.
[^] # Re: Questions techniques : overhead +Jingle/H.323
Posté par Erwann . Évalué à 1.
Je n'ai pas encore eu le temps de lire le draft, mais pour ceux qui veulent, il est ici :
http://www.ietf.org/internet-drafts/draft-zimmermann-avt-zrt(...)
# ssl
Posté par M . Évalué à 3.
Dans ce cas pourquoi ne pas securiser avec TLS/DTLS ?
[^] # Re: ssl
Posté par M . Évalué à 2.
[^] # Re: ssl
Posté par ecyrbe . Évalué à 10.
Mais ce n'est pas SIP qui est chifrée ici, c'est la couche RTP... qui est plus ou moins indépendante de SIP vu que RTP est aussi utilisé dans H323 et bien d'autres protocoles de communication.
SIP est un protocole de signalisation d'appels, il n'encapsule pas les flux audios et vidéos. Les flux SIP transitent via des proxys SIP tandis que les flux RTP transitent généralement en Pear to Pear.
Voilà pourquoi une extension à RTP est proposée, elle permet une standardisation des échanges audios sécurisés, permettant l'interropérabilité des clients SIP (et pourquoi pas aussi aussi des clients H323).
[^] # Re: ssl
Posté par benoar . Évalué à 10.
Pour améliorer le transit des flux, mangez des poires ?
[^] # Re: ssl
Posté par M . Évalué à 3.
Pourquoi on ne peut pas utiliser DTLS dessus ?
[^] # Re: ssl
Posté par ecyrbe . Évalué à 6.
Donc ZRTP propose une variante pour l'échange le chiffrement Diffie-Hellman en ajoutant un SAS (short authentication string) avec un hash associé... ce qui permet de se passer du PKI.
L'idée est de ne plus dépendre d'un PKI et pour le monde du libre je trouve que la solution proposée n'est pas anodine et plutôt adaptée aux projets indépendants les uns des autres.
Car sinon chaque client devraient être géré par le même PKI ou bien pouvoir en faire cohabiter plusieurs à la fois ce qui devient le bordel car on a alors une tonne de certificats dont on a rien faire!
[^] # Re: ssl
Posté par jcs (site web personnel) . Évalué à 3.
[^] # Re: ssl
Posté par PLuG . Évalué à 0.
Je ne dis pas que réinventer a chaque fois c'est bien, mais ipsec ...
# Licence
Posté par Bonnefille Guilhem (site web personnel) . Évalué à 7.
Cette partie de l'info est surprennante. La licence est cette sorte de contrat qui est échangé entre le fournisseur et l'utilisateur. Pour moi, à partir du moment oùu il y a échange de logiciel (y compris sous forme de source) il y a une licence (un contrat) quand bien même elle serait implicite.
J'imagine donc qu'actuellement, c'est le droit d'auteur qui s'applique. Mais quel droit d'auteur ? De quel pays ?
Me paraît suspect voire dangeureux cette histoire.
Je connais des cas où, lorsque l'on demande à voir les sources d'un logiciel, le contrat qui est passé avec l'auteur consiste à accepter de ne jamais plus travailler dans ce domaine (enfin, je déforme, mais l'idée est là).
Attention donc, la licence protège aussi bien l'auteur que l'utilisateur.
# Sécurisation
Posté par gappse . Évalué à 1.
"Elle permet le cryptage SecureRTP de votre voix ainsi que celle de votre interlocuteur en utilisant une clé de 128 bits.
Le cryptage est disponible pour les appels sortants et entrants (en dehors de la Messagerie Vocale) entre :
- Deux terminaux VoIP Linksys bénéficiant de cette option
- Un terminal VoIP Linksys et le réseau téléphonique public (fixe, mobile, national et international)"
Et comme SJPhone par exemple fonctionne avec une ligne Phonesystems il n'y a pas besoins de rajouter Zfone.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.