On 07/14/10 10:42, Marco Ermini wrote: > Uhm, non conosco Skype, ma ad occhio, direi che al massimo AES-256 - > che è un algoritmo di criptazione simmetrica, lo ricordo - se è usato, > sarà usato per l'handshake,
Direi proprio che l'handshake non e' la fase in cui si usano piu' spesso protocolli simmetrici... ;-) In realta' pare che AES sia usato per le comunicazioni di messaging. > ma sicuramente non è usato per lo > streaming della comunicazione - non puoi certo usare un block cipher > per questo. Lo dici tu ;-) Un cifrario a blocchi puo' essere tranquillamente usato come un "finto" keystream generator (cfr. Schneier). Ad ogni modo, no, per lo stream di comunicazioni usano RC4 (dalle prime indiscrezioni di stampa) > Da quel che ho capito, Skype usa una versione "custom" dell'RC4, che > non è certo un grande algoritmo di criptazione - la forza praticamente > stava tutta nell'implementazione che è stata tenuta gelosamente > segreta. Anche qui, mica vero. Le debolezze trovate di RC4 dipendono dal modo in cui viene usato (con un IV+chiave e ripetizione degli stream, in WEP; con IV nulli in altre implementazioni rotte negli anni, etc). Per cui, se skype ha usato RC4 in modo corretto, potrebbe tranquillamente essere un sistema solido. > Ovviamente, come volevasi dimostrare, "security by obscurity" La obscurity la usavano per mantenere il sistema chiuso. Che l'abbiano usata per la security del protocollo e' ancora da dimostrare. -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
