Während SIP, das vermutlich bekannteste Protokoll zur Internettelefonie, unaufhaltsam auf dem Vormarsch ist, scheinen verschlüsselte Telefonate noch ein Buch mit sieben Siegeln zu sein – auch für den Autor dieses Blogs. Doch der Einstieg gelingt leichter als man denkt.
So wollte ich’s heute morgen dann doch wissen und habe meine ersten Gehversuche mit verschlüsselter Telefonie gemacht. Als Client dient mir ein snom D765, als Provider kommt easybell zum Zug. Auf die grundsätzliche Einrichtung der Telefonie soll hier nicht näher eingegangen werden, denn der easybell-Support hält dafür eine eigene Anleitung bereit. Informationen zur Verschlüsselung finden sich auf einer separaten Seite mit Experteneinstellungen und die Konfiguration im Endgerät ist dabei relativ trivial:
- Zunächst muss der SIP-Steuerkanal über TLS gesichert werden. In der snom-Weboberfläche kann dazu unter Identität | Login ein Outbound-Proxy eingetragen werden. In der Regel ist das Feld leer, außer der Anbieter setzt explizit einen Proxy voraus- ansonsten bitte einfach nochmals den Wert aus dem Feld Registrar einfügen.
- Die Verschlüsselung kann sodann explizit mit einem eigenen Parameter namens
transport=tls
aktiviert werden, der durch ein Semikolon getrennt nach dem Proxy eingetragen wird.
Aktivieren der TLS-Verschlüsselung - Die Verschlüsselung der SIP-Verbindung per TLS ist jedoch nur die halbe Miete, denn die auch die Sprachverbindung per RTP muss gesichert werden. Dazu auf die gleichnamige Registerkarte wechseln und folgende Optionen einstellen:
- RTP Verschlüsselung: an
- SRTP Auth-tag: AES-80
- RTP/SAVP muss bei mir auf aus stehen, da sonst keine Verbindung zustande kommt
Verschlüsselung der RTP-Verbindung
Eine erfolgreiche Verschlüsselung zeigt das Telefon während der Verbindung fortan durch ein kleines Schlosssymbol links unten im Display an, zusätzlich erscheint beim Druck auf die Message-Taste der Codec, gefolgt von (SRTP/TLS) im Display.
Allerdings: Man darf sich hier nicht in falscher Sicherheit wiegen. Zwar ist die Verbindung zum Provider jetzt gesichert, doch der Weg weiter zum gewünschten Teilnehmer in anderen Netzen ist oft nicht verschlüsselt – es sei denn, man baut eine direkte Verbindung zur Gegenstelle ohne zwischengeschaltete Gateways auf. Doch das ist dann ein Thema für ein eigenes Blogposting…
Ich bezweifel das es wirklich SRTP ist – da easybell selbst schreibt:
“easybell unterstützt SRTP nach RFC 3711.
Bitte beachten Sie jedoch, dass auch die VoIP-Gegenstelle hierzu in der Lage sein muss. Bitte konfigurieren Sie SRTP so, dass eine Verschlüsselung mit SRTP optional stattfindet. Wenn Sie die Verschlüsselung erzwingen, werden Gespräche zu Gegenstellen, die kein SRTP unterstützen, nicht gelingen. Eine Verschlüsselung der RTP-Daten nur bis zu unserer Plattform ist noch nicht möglich.
Stand: 23.05.2016”
Die “VoIP-Gegenstelle” ist dabei der Anschluss den du anrufen willst.
Ich hab das Thema länger nicht mehr angefasst, glaube mich aber zu erinnern, dass Verbindungen zu anderen easybell-Teilnehmern mit SRTP-fähigen Telefonen funktionieren, während ins Festnetz und zu Drittanbietern keine Verschlüsselung möglich ist, sichtbar durch das entsprechend fehlende Schloss-Symbol. Mir das Ganze mal wieder genauer anzusehen steht auf meiner Todo, aber leider eher hinten…