Mechanizm szyfrowania Skype'a częściowo rozpracowany

Programista Sean O'Neil upublicznił otwartoźródłową bibliotekę dla Skype'a, która imituje zmodyfikowany algorytm szyfrowania RC4. Otóż firma Skype nieco przerobiła mechanizm generowania kluczy dla tego szyfru strumieniowego, czyniąc swój produkt niekompatybilnym z pozostałymi komunikatorami i tworząc w ten sposób zamknięty kryptosystem.

Jednak po pierwszych oględzinach zaprezentowanego kodu nie można jeszcze mówić o złamaniu Skype'a. Dopiero kolejne ekspertyzy wykażą, czy metody rozszerzania kluczy (key expansion) i generowania wektorów inicjujących są bezpieczne.

Specjaliści od inżynierii wstecznej całymi latami łamali sobie głowy przy rozpracowywaniu systemu szyfrowania Skype'a, którego szczegółów technicznych nigdy nie ujawniono. Do tej pory było wiadomo jedynie tyle, że komunikator posługuje się różnymi metodami zabezpieczania danych. Na przykład do połączeń z serwerami logowania używane są 256-bitowe klucze AES; podobnie jest w przypadku Skype SMS/Event Servera oraz Skype Search Servera. Z kolei superwęzły i klienty używają do szyfrowania właściwej komunikacji zmodyfikowanej wersji RC4.

Na razie nie dowiemy się więcej w tej sprawie. Prowadzona przez O'Neila strona internetowa, na której ekspert pochwalił się przełomowym osiągnięciem, jest obecnie nieosiągalna. Można jedynie (choć z trudnościami) pobrać bibliotekę Skype Library RC4 v1.108. Przedstawienie dalszych szczegółów O'Neil zapowiedział dopiero na grudzień. Wówczas na konferencji Chaos Communication Congress w Berlinie (27C3. zamierza pokazać wyniki swojej pracy.

Do tego czasu zainteresowane osoby mają możliwość przestudiowania i przetestowania upublicznionego kodu. Jednak użycie go do celów komercyjnych jest możliwe tylko po uprzedniej konsultacji z O'Neilem. W świecie kryptografii programista znany jest głównie jako projektant algorytmu mieszającego EnrRUPT.

wydanie internetowe www.heise-online.pl