La privacidad en las comunicaciones se ha vuelto un tema delicado e incluso un handicap ante ataques cada vez más sofisticados aprovechando vulnerabilidades y permisos recurrentes e incontrolados de aplicaciones tanto en versiones de escritorio como en aplicaciones móviles para sistemas operativos como Android o IOS.
¿Que es la encriptación ZRTP para VOIP? ZRTP es un protocolo que te ofrece encriptación en ambos extremos para comunicaciones de voz sobre datos evitando ciertas vulnerabilidades de las llamadas convencionales.
El estadounidense Philip Zimmerman tras el exito de su software de encriptación para emails en los años 90, la suite PGP (Preety God Privacy), siguió desarrollando aplicaciones de encriptación centrandose a partir del 2004 en la seguridad de la telefonía a traves de internet o VOIP.
Fruto de ese desarrollo surge el protocolo ZRTP ( Zimmerman Real Time Protocol ) y creó las primeras soluciones de uso comercial como Zfone Project cuyo SDK tuvo gran aceptación tanto en clientes VoIP (software), firmware para teléfonos VoIP (hardware), servidores PBX VoIP, clientes VoIP móviles y servidores SBC ( Session border controller) que se encargan de la vigilancia y defensa de redes VOIP basadas en SIP.
¿Como funciona este protocolo? En la mayoría de los entornos de voz sobre IP (VoIP), los datos multimedia se envían a través de la red sin protección y, por lo tanto, se pueden escuchar fácilmente.
En la mayoría de los entornos de voz sobre IP (VoIP), los datos multimedia se envían a través de la red sin protección y, por lo tanto, pueden escucharse a escondidas. Para asegurar la conversación, SRTP (Protocolo seguro de transmisión en tiempo real), RFC 3711 ha evolucionado como un estándar ampliamente aceptado dado que proporciona encriptación y verificación de la integridad de los datos, así como funcionalidad de derivación de claves.
SRTP no implementa un procedimiento de acuerdo de claves, lo que significa que una clave maestra secreta debe ser proporcionada por algún otro mecanismo. PGP hizo posible proteger la conversación por correo electrónico sin la necesidad de una PKI (Infraestructura de clave pública).Del mismo modo, ZRTP es un protocolo de acuerdo de claves que permite cifrarado de datos multimedia de las conexiones VoIP sin depender de una PKI.
Sistema de intercambio de llaves Diffie-Hellman (DH) ZRTP utiliza el sistema de intercambio de claves Diffie-Hellman (DH) [Diffie and Hellman 1976] para configurar una llave secreta compartida.
Dado que se sabe que DH es vulnerable a los ataques man-in-themiddle (MitM), ZRTP implementa varios mecanismos para detectar un ataque en curso. La contramedida más importante es la denominada Cadena de autenticación corta (SAS). Este es básicamente un valor hash criptográfico calculado sobre la llave secreta compartida y se muestra a los usuarios finales a través de una interfaz de usuario.
Protocolo de iniciación de sesión (SIP) SIP se utiliza para establecer, eliminar, redirigir o controlar VoIPconexiones. Similar a HTTP, es un protocolo basado puramente en texto que contieneun encabezado que consta de varios campos y un cuerpo opcional.
La Información sobre las sesiones de medios se lleva a cabo en el “body” y es descrito por la Sesión de Protocolo de Descripción (SDP). El “body” SDP se utiliza para intercambiar información como los protocolos de transporte de medios utilizados, direcciones IP, números de puerto y códecs entre los pares.
Una vez que se establece una sesión, los datos multimedia se transportan entre el usuario agentes por SRTP o su versión no segura RTP. A diferencia de los mensajes SIP que generalmente se enrutan a través de varios proxies SIP, los datos SRTP pueden ser transportado directamente entre los agentes de usuario. Por eso es común hablar sobre dos planos diferentes: el plano de señalización, que comprende SIP y SDP tráfico, que se utiliza para administrar llamadas y configurar parámetros de sesión. Por otra parte, el plano de medios apunta el canal que se utiliza para transportar datos como voz o video.
¿ZRTP es tan seguro? Debido a su naturaleza peer to peer, ZRTP resuelve el problema de autentificación y acuerdo de claves entre los puntos finales de VoIP de forma muy solvente sin depender de una gestión centralizada PKI
Dos puntos finales pueden comunicarse de forma segura
simplemente configurando softphones o dispositivos de hardware compatibles con ZRTP.
“La red” en el medio no tiene que proporcionar nada, ya que en realidad ZRTP es agnóstico.
Esta simplicidad pone la barrera de entrada muy baja. Dado que el acuerdo clave es verdaderamente de un extremo a otro, los socios de comunicación no tienen que confiar en ninguna infraestructura o componente intermedio.
Es sumamente importante llevar a cabo una autenticación SAS al contactar a alguien por primera vez y verificar el indicador SAS verificado para la conexión con la que ya se ha transportado el SAS fuera. Sin hacer esto, un ataque MitM (Man in the middle) puede resultar sencillo de realizar.