2. Technical Sheet - VoIP
Protocolli di cifratura
End to End
(ZRTP) internet
End to Site (SRTP)
End-to-End encryption security (ZRTP)
La sicurezza è stabilita direttamente tra il telefono del chiamante e quello del ricevente senza la necessità di alcun dispositivo di rete nel mezzo per
decifrare la comunicazione. Per garantire la sicurezza punto a punto tra i telefoni usiamo ZRTP, il sistema standard open IETF (Internet Engineering Task
Force) di cifratura della voce inventato da Philip Zimmermann, che richiede una verifica “umana” per confermare che la comunicazione sia protetta.
End-to-Site encryption security (SRTP con scambio di chiavi SDES)
SRTP è il sistema standard open di cifratura della voce per proteggere le comunicazioni peer to peer, con l’invio delle chiavi crittografiche relative a una
chiamata attraverso la connessione di segnalazione sicura (SIP/TLS) che entrambi i peer stabiliscono con un VoIP PBX. Viene definita sicurezza end-to-site
perchè il PBX può decifrare il flusso fonico sicuro scambiato tra le due parti di una telefonata. In questo modello di sicurezza il PBX può monitorare e registrare
la comunicazione. Questo modello di sicurezza è richiesto per l’integrazione delle comunicazioni sicure in reti pre-esistenti di telefonia fissa tradizionale.
Protocolli di comunicazione
Utilizziamo solo protocolli di comunicazione standard IETF per massimizzare la compatibilità, la trasparenza e il ROI per l’integrazione in infrastrutture esistenti.
Per la segnalazione telefonica è usato il protocollo SIP (RFC3261), protetto dal canale di comunicazione TLS (RFC4346) con verifica dell'autenticità del server
tramite certificati digitali x509v3. Per il trasporto della voce è usato il protocollo standard RTP (RFC3550), con l’estensione di sicurezza SRTP (RFC3711). Un
sistema di offuscamento di protocollo proprietario è usato per superare eventuali blocchi VoIP. Un’estensione proprietaria di ZRTP consente la comunicazione
tramite PBX che non lo supportano.
Crittografia
Algoritmi di cifratura
ZRTP, SRTP e SIP/TLS utilizzano esclusivamente I migliori algoritmi simmetrici e asimmetrici di cifratura e di hashing.
· ZRTP utilizza AES256 in counter mode (CTR) per cifratura simmetrica secondo le regole di sicurezza FIPS 197 e ECDH 384 bit per cifratura asimmetrica
con scambio di chiavi Diffie-Hellman secondo i requisiti di sicurezza USA NSA Suite B e gli standard NIST SP800-56A e ECDSA FIPS 186-3. Può anche
essere configurato per utilizzare altri algoritmi di crittografia basati su ZRTP e in compatibilità con altri software che supportano ZRTP.
· SRTP usa AES128 in counter mode (CTR) come sistema di cifratura delle chiavi che sono poi autenticate dalle parti in un canale SIP con protezione TLS via PBX.
· TLS utilizza AES128 per la cifratura simmetrica della connessione SIP autenticando il server con un certificato digitale x509v3, la cui chiave RSA è a 2048 bit.
Generazione di numeri casuali
La generazione di numeri casuali avviene tramite un’imprevedibile sorgente fisica di entropia (campione di audio voce registrato dal microfono e free
running counters disponibili sul processore ARM) in accordo con i requisiti di sicurezza FIPS-186-2-CR1. È in seguito processato da un Deterministic
Random Bit Generation, in accordo con i requisiti di sicurezza NIST SP800-90.
Open source
Tutte le librerie e le tecnologie di cifratura utilizzate da PrivateGSM sono al 100% prive di backdoor. Il codice sorgente della libreria di sicurezza è fornito
gratuitamente in open source e ha avuto revisioni pubbliche da parte Philip Zimmermann e da una gran parte della comunità scientifica. La scelta open source
garantisce una soluzione politicamente neutrale e agevola le attività legate a revisioni del codice sorgente che possono essere effettuate in fase di valutazione.
Multimedia codec
Per migliorare la qualità della voce a seconda delle condizioni di rete, PrivateGSM supporta codec audio a banda ristretta che comprimono la voce che deve
essere cifrata e poi la inviano attraverso la rete. I codec supportati sono AMR-NB 4.75, AMR-NB 12.2. Per ridurre la richiesta di larghezza di banda e massimiz-
zare l’efficienza delle risorse radio utilizziamo tecniche di voice activity detection (VAD) che riducono la quantità di dati inviati mentre non si sta parlando.
Nota: su alcune piattaforme, sono supportati solo alcuni codec per via di limitazioni di piattaforma hardware.
Per ulteriori informazioni: support@privatewave.com www.privatewave.com