Skype hat so ziemlich jeder auf seinem Computer installiert und das Produkt ist auch eine gute Sache. Auch in öffentlichen Bereichen kann man getrost chatten, reden und Daten austauschen, ohne sich Sorgen zu machen, dass beispielsweise im WLAN jemand mit Wireshark die Daten mitschneidet und auswertet. Auch im kabelgebundenen LAN ist dies von Vorteil. Also verschlüsselt sind die Daten und damit ist es sicher? Gewiss nicht. Genauer gesagt, nein.
Skype mag zwar die Daten von dem Nutzersystem verschlüsseln, aber wer hat denn nun den Schlüssel zum entschlüsseln? Ja gut, den hat der Gesprächspartner, aber wer noch? Diese Frage lässt sich nicht wirklich klären, der Phantasie ist hier keine Grenze gesetzt, da niemand wirklich genau weiß, wie Skype arbeitet.
Skype sagt, dass die Daten mit AES mit einem 256 Bit Schlüssel verschlüsselt werden. Dazu soll der Schlüssel mittels RSA mit einem 1024 bis 2048 Bit Schlüssel ausgetauscht werden. Gut, am Ende gibt es, ich sage mal, einen Session-Key der 256 Bit groß ist. Wie der Schlüssel zustande kommt, ist nicht gesagt.
Überlege man sich eine Möglichkeit. Ein AES Schlüssel wird aus dem Hashwert des Benutzernamens gebildet. Natürlich wäre das keine gute Idee, das doch der Benutzername auf jeden Fall bekannt ist. Na gut, der Hashwert des Benutzernamens bilden, davon die Hälfte der Zeichen mit der anderen Hälfte XORen und dazu etwas anderes hinzufügen. Etwas besser, nicht das Gelbe vom Ei, besonders, weil Teile in jedem Fall bekannt sind und ein Bruteforce nicht mehr in die weiteste Ferne rückt. Was gesagt werden soll: Eine gute Verschlüsselung ist wertlos, wenn die Erzeugung des Schlüssels murks ist oder er in falsche Hände gerät.
Schlimm wird es auch, wenn bekannt ist, wie das Schlüsselkomponieren zustande kommt. Wenn dieses noch dazu führt, den Schlüsselraum von 256 Bit auf ich sage mal 32 Bit zu reduzieren, dann sozusagen Gute Nacht. Nun, keiner weiß, wie Skype arbeitet und da noch keiner das Programm seziert hat, wird auch keiner sagen können, wie das nun geht mit der Schlüsselerzeugung.
Jetzt ein weiterer Aspekt. Wo befindet sich der Session Key? Normalerweise ist der ein geteiltes Geheimnis zweier Gesprächspartner. Wenn ein Dritter diese Schlüssel besitzt, so kann er einfach mit entschlüsseln, also mithören. Keiner weiß, ob die Software nicht irgendwo den Schlüssel an einer Stelle dem Server übermittelt oder nicht. Fakt ist, dass die chinesische Version das TOM-Skype eine Abhörfunktion beinhaltet. Im Jahre 2008 deckten Menschenrechtsaktivisten der Forschergruppe „Citizen Lab“ der Universität Toronto auf, dass in China Skype Nachrichten auf gewisse Begriffe untersucht und diese speichert. Auch wurden laut Citizen Lab in diesem Zusammenhang Informationen mit persönlichen Daten, wie Benutzernamen, IP-Adresse oder die Telefonnummern mit protokolliert. Der Benutzer muss davon ausgehen, dass die Infrastruktur, auch hierzulande funktioniert. Ob das stimmt oder nicht, weiß niemand. Natürlich würde auch niemand so etwas zugeben. Nun stellt sich vermutlich jede Zweite die Frage, in wie weit dies relevant ist, da ja der Normalverbraucher nichts geheimes oder verwerfliches ausspricht. Nun ja, wir haben hier nicht umsonst ein Telekommunikationsgeheimnis. Spätestens, wenn hochprivate Daten der Normalverbraucher in Google auftauchen und öffentlich diskutiert wird, ändert sich die Sensibilität. Privatsphäre ist ein freiheitliches Gut.
Kurt Sauer, der Leiter der Sicherheitsabteilung von Skype, antwortete auf die durch ZDNet gestellte Frage, ob Skype die Gespräche abhören könnte, ausweichend: „Wir stellen eine sichere Kommunikationsmöglichkeit zur Verfügung. Ich werde Ihnen nicht sagen, ob wir dabei zuhören können oder nicht.“ Persönlich finde ich solch eine Antwort sehr interessant. Wo lang werden die Pakete eigentlich geroutet? Nicht immer direkt von A nach B.
Ein anderer technische Gedanke. Skype verfügt über sehr intensiven Systemzugriff. Daten lesen, Webcam aktivieren, Sound und so weiter. Im Prinzip lädt sich jeder Benutzer eine unbekannte Software auf sein System (weil keiner weiß, was sie genau eigentlich kann, bzw. alles so unsichtbar macht) und vertraut, dass sie nicht böse nicht. Vielleicht ist sie das auch nicht, vielleicht ist sie auch die interessanteste Art und Weise, die mit dem Wort Spionage beschrieben werden kann. Wieviele Firmen haben Skype im Betrieb? Skype ist sehr intensiv gegen Debugging und Analysen geschützt. Viele versteckte Integritätsprüfungen testen, ob etwas verändert worden ist oder nicht. Wenn ja, verhält sich das Programm anders. Letztendlich ist das Disassemblieren von Skype eine wirklich üble Angelegenheit. Das spricht nicht immer für ein gutes Gefühl, diesem Programm teils administrative Rechte zu geben. Auch die Fähigkeit durch NAT und Firewall sich durchzuwurschteln, erscheint einigen Benutzern als unheimlich. Allerdings ist das STUN Protokoll nichts neues und auch viele andere Produkte haben ähnliche Fähigkeiten.