Как заявляют создатели Skype , эта программа шифрует или иначе сжимает информацию, которая передается по интернету. То есть, анализируя информационные пакеты, я не смог легко увидеть незакодированный, открытый текст моих сообщений. Но в то время, когда я могу с уверенностью сказать, что Skype надежен с точки зрения случайного подслушивания, я не могу сказать, может ли он защитить от более искушенного нападения.
Надежность информации, которая посылается в зашифрованном или сжатом виде, зависит от многих факторов, включая использование специальных алгоритмов шифрования и сжатия, как выбраны ключи кодирования и как происходит обмен этими ключами (известный как управление ключами), выполнения этих алгоритмов и протокола, использующего эти алгоритмы, а так же исполнения этих алгоритмов и протоколов в данном программном обеспечении.
Анализ информационных пакетов, пересылаемых между пользователями Skype, показывает, что комбинация этих протоколов используется для регистрации в сети, поиска других пользователей и выполнения телефонных звонков. Похоже, что программа использует HTTP-версию протокола для связи с Skype-сервером ui.skype.com (который, очевидно находится в Амстердаме), чтобы выполнять идентификацию пользователей и паролей и напрямую регистрироваться на сервере Skype. Модифицированная версия HTTP-протокола используется для передачи информации другим Skype-клиентам. В итоге, закодированный протокол используется для передачи голосовых и текстовых сообщений, а также файлов.
Используя Skype на компьютере Macintosh, я сделал звонок из Бостона ( штат Массачусетс, США) в Будапешт (Венгрия), в течение которого обменивался мгновенными сообщениями, а так же переслал файл. Все информационные пакеты были мной зафиксированы. Проанализировав их, я выяснил, что мой Skype-клиент в Бостоне сначала связался с компьютером в Великобритании очевидно для того, чтобы проверить, использую ли я самую последнюю версию Skype-клиента, а затем выполнить поиск в сети Skype, для того, чтобы найти нужного мне респондента.
(Технология, используемая Skype-ом для поиска и directory management, похожа на ту, которая используется системой под названием PeerEnabler компании Joltid, «первоначальные руководители и разработчики которой — выходцы из компании KaZaA и сети FastTrack peer-to-peer» Пресс-атташе Skype настаивают, что Skype не использует ни сеть PeerEnabler ни FastTrack, а другую программу с похожими характеристиками.)
После того, как поиск завершился, был произведен обмен серией информационных пакетов с компьютером в Венгрии, который продолжался на протяжение всего разговора. Все эти пакеты не поддались моей расшифровке. Возможно потому, что они были закодированы, либо сжаты недокументированной системой компрессии.
Исходя из анализа зафиксированных информационных пакетов, я могу сделать вывод, что в то время как текущий обмен информации между Skype-клиентами может быть закодирован, поиски от имени пользователей Skype , включая поиски необходимые для инициирования Skype вонков, поддаются наблюдению сетью Skype. Это означает, что даже непривилегированные участники сети могут проводить анализ трафика и определять, что один пользователь звонит другому. Неизвестно, позволяет принцип сети Skype просматривать некоторым узловыми точками все поисковые запросы и логи звонков, либо вместо этого каждый узловой пункт может видеть только часть общего траффика.
Что если Skype на самом деле использует шифрование?
Компания Skype заявляет, что ее системы используют алгоритм шифрования RSA для обмена ключами и 256-ти битовый AES для массовой кодировки. Однако Skype не публикует ни свои ключевые алгоритмы обмена, ни свой сетевой протокол, и, несмотря на постоянные запросы, отказывается раскрыть принцип, лежащий в основе идентификационной системы своих сертификатов, либо осуществления шифрования. Поэтому невозможно подтвердить заявления самой компании, касающиеся процесса шифрования. Вполне возможно, что данные хоть и закодированы, но не достаточно надежно.
Даже если Skype отокол и обеспечивает шифрование, возможно, что система Skype передает ключи кодировки по голосовым каналам (которые, возможно, закодированы другим набором ключей), либо по-другому архивирует ключи да жестком диске пользователя. Доступ к этим ключам дал бы возможность третьим лицам расшифровать записанные Skype говоры. Подобная функция условно-секретного ключа могла бы быть встроена в Skype либо для тестирования либо по просьбе полиции или разведывательных служб. Даже если на настоящий момент Skype не имеет таких наблюдательных функций, они могут быть добавлены в будущем, и модифицированный клиент потом будет распространен по сети Skype, либо всем пользователям либо тем, кто удовлетворяет определенным выбранным критериям.
Skype использует шифрование, но не на достаточно высоком уровне. Даже если Skype и использует RSA, то неэффективное использование алгоритма не может обеспечить хорошую защиту. Из-за того, что на данный момент Skype еще не опубликовал свой протокол, невозможно утверждать, является ли протокол, использующий RSA, достаточно надежным или нет.
Необходимо принимать во внимание вышеописанную ситуацию. Разговор по Skype является значительно более конфиденциальным, чем разговор по традиционному аналоговому или ISDN-телефону. Прослушать эти разговоры может кто угодно, имеющий физический доступ к телефонной линии в любой точке между любой из говорящих сторон.
Надежность шифрования Skype в целом
Skype также более надежен, чем сегодняшние VoIP-системы, так как кодирование не является частью большинства VoIP-предложений. Тем не менее, VoIP-разговор возможно защитить, проведя VoIP-траффик через виртуальную частную сеть (VPN). Система, использующая VoIP через VPN, возможно является более надежной, чем Skype, при условии, что VPN правильно сконфигурирован.
Важно понять, что надежность Skype может быть подорвана наличием шпионских модулей spyware либо других видов отслеживающих программ, которые запущены на компьютере пользователя. Например, такие программы как Netbus и Back Orifice позволяют посторонним лицам включать микрофон компьютера и пересылать звукозапись через интернет на чужой компьютер. Такая программа может подслушивать не только Skype говоры, но и любые другие, которые происходят в офисе, в котором расположен компьютер с загруженной программой Skype.
Существуют другие моменты, касающиеся безопасности программы Skype, о которых пользователи должны быть осведомлены:
* Хотя производится впечатление, что Skype-клиент не записывает и не хранит Skype говоры, он может регистрировать историю текстовых сообщений в файле архива для каждого пользователя. Skype позволяет регистрировать выполненные разговоры по умолчанию, другими словами все текстовые сообщения записываются пока пользователь не предпринимает обратных действий. Эти файлы могут извлечены с помощью шпионских модулей spyware, других дистанционных приложений, либо при несанкционированном физическом доступе к компьютерной системе.
* Так как все пользователи Skype загружены в одно и то же так называемое «облако», любой пользователь Skype может узнать, находится ли любой другой пользователь в программе на данный момент.
* Похоже на то, что Skype пытается пересылать пакеты между участниками разговора напрямую через интернет, но если прямой путь недоступен, то не исключено что Skype вместо этого посылает пакеты через другие компьютеры, на которых работает данная программа. Эти компьютеры-посредники называются узловыми точками (суперузлами).
Невыяснено, могут ли узловые точки вести мониторинг голосового траффика, который через них проходит. Представители Skype утверждают, что подобный мониторинг невозможен из-за использования шифрования. Логично предположить, что действительно подобный мониторинг невозможен. Возможно, что работники компании Skype думают, что подобный мониторинг невозможен, но существует какой-либо недостаток в их протоколе либо устройстве системы, которые делают подобный мониторинг возможным. Многие подобные недостатки были найдены в других криптографических протоколах, после того как они были использованы.
* Функции SkypeIn и Skype Out могут использовать шифрование вплоть до Skype шлюза, но затем телефонные разговоры раскодируются и посылаются через стандартную телефонную сеть общественного доступа. То есть в этой точке звонки могут подвергаться нелегальному прослушиванию и мониторингу.
В конечном счете нужно помнить о том, что надежность систему Skype таже полностью зависит от совести программистов Skype и организации работы Skype-серверов. Возможно, что в системе есть лазейки, которые позволяют Skype либо другим компаниям подслушивать или записывать Skype говоры. Теоретически разработчики Skype могли даже встроить «лазейку» в систему, которая может использовать специальную программу для включения микрофона на компьютере, чтобы либо записывать все звуки в комнате на жесткий диск либо пересылать эти данные по интернету на другой компьютер. Подобные лазейки и ловушки так же могут быть внесены в любую Skype ограмму либо эти функции могут быть добавлены позже к Skype програм отдельных пользователей.
