2min

De ingewikkelde encryptiecode die wordt gebruikt om gesprekken van Skype te beschermen, is gedeeltelijk onthuld door cryptografie-experts onder leiding van Sean O’Neil. O’Neil is van mening dat de code al wordt uitgebuit door Skype-spammers.

De encryptiecode van Skype is gebaseerd op het RC4-algoritme en wordt gebruikt om clients en servers te beschermen tegen crackers en spammers en om te voorkomen dat derde partijen hun eigen IM-client kunnen bouwen om te gebruiken op het Skype-netwerk. Dat laatste wilde Skype overigens net mogelijk maken door middel van een openbare API.

De Skype-encryptie is een van de grootste uitdagingen geweest van de afgelopen tien jaar, maar het is O’Neil nu eindelijk gelukt een gedeelte te ontrafelen. In een blogpost op Reddit onder de naam "Skypes grootste geheim onthuld" doet hij aardig wat uit de doeken, maar niet alles.

Hij heeft de verduisterde Skype RC4-keyexpension in portable C uitgebracht. Medeoprichter en CEO van Scio Security Dug Song laat weten dat dit kan worden beschouwd als een gigantische doorbraak, maar dat nog niet gesteld kan worden dat de encryptie van Skype als gekraakt kan worden beschouwd.

Een gedeelte van de code is enkele maanden gelekt wat ertoe leidde dat deze misbruikt werd door hackers met kwaadaardige bedoelingen. Hij heeft dit vervolgens gemeld bij Skype, maar die heeft de melding ‘misbruikt’. Wat hier precies mee bedoeld wordt, is niet duidelijk.

De complete code, die hij dan maar meteen heeft uitgebracht gezien een groot gedeelte al gelekt was, mag overigens tegen betaling worden gebruikt in commerciële producten en is gratis voor educatieve doeleinden. Hij hoopt bij de volgende Chaos Communication Congress-conferentie in Berlijn te horen hoe deze code gebruikt kan worden om Skype-verkeer te ontsleutelen.

Overigens zijn overheden al jaren niet blij met Skype. Landen als Rusland en India storen zich eraan dat gesprekken ervan niet afgeluisterd kunnen worden, wat ertoe heeft geleid dat criminelen zelfs zijn overgestapt op de software.

Skype laat weten niet onder de druk te zijn van de openbaring. Het bedrijf denkt dat de code spam in de hand werkt en overweegt dan ook juridische stappen te ondernemen. "Hoewel we begrijpen dat mensen graag onze protocollen willen reverse-engineeren om de veiligheid te verbeteren, heeft het werk van deze individu juist het omgekeerde gedaan", zo vertelt Skype.

Tenslotte laat het bedrijf weten: "Deze code-uitgave brengt het hoge niveau van veiligheid van Skype geenszins in gevaar. Skype blijft een veilig en effectieve methode om wereldwijd te communiceren."