Im Juli 1991 veröffentlichte Phil Zimmermann "Pretty Good Privacy (PGP)"; er wurde damit berühmt. Private E-Mails verschlüsseln zu können, und zwar so, dass sie niemand, auch nicht das Militär, lesen konnte - das hatte es bis dahin als frei zugängliche Software nicht gegeben.
Nun macht Zimmermann wieder auf sich aufmerksam: Er hat ein Kodierungsverfahren für Internet-Telefonie namens "zfone" entwickelt. Zfone basiert auf einem einfachen Prinzip: Computer, über die telefoniert werden soll, identifizieren sich in Echtzeit gegenseitig. Dabei arbeiten sie nach dem Diffie-Hellmann-Verfahren, bei dem die Computer einen Schlüssel vereinbaren, den sie gegenseitig auf Basis der ausgetauschten Informationen generieren. Öffentliche Schlüssel oder Zertifizierungsstellen sind nicht notwendig, so dass die Software mit jedem Server funktioniert.
Die SIP-unabhängige Verschlüsselung findet zwischen Zfone-Clients statt. Während dem VoIP-Gespräch fischt "zfone" die VoIP-Pakete aus dem Datenstrom, verschlüsselt beziehungsweise entschlüsselt diese und leitet sie weiter. Nach dem Gespräch werden die Schlüssel zerstört.
Das zugrunde gelegte Protokoll ZRTP stellt eine Erweiterung des RTP-Protokolls (Real-Time Transport Protocol) dar. Bei einer VoIP-Session wird das unverschlüsselte RTP-Protokoll benutzt, um mit ZRTP ein sogenanntes "Shared-Secret" auszuhandeln. Dieses wird dann zur Verschlüsselung der aufzubauenden SRTP-Verbindung ((Secure RTP) verwendet.
Zimmermann hat die ZRTP-Spezifikationen zum Zwecke der Standardisierung an die Internet Engineering Task Force (IETF) übermittelt. um sie als öffentlichen Standard anerkennen zu lassen.
Zum Problem sogenannter "Man-in-the-Middle"-Attacken schreibt Zimmermann auf seiner Webseite: "ZRTP schützt dagegen, indem es entweder eine kurze Authentifizierungskette bildet oder aber für die Schlüsselechtheit oder beides sorgt."
Doch Zimmermann warnt auch vor Naivität: "Es ist nicht die Aufgabe von ZRTP, die Identität desjenigen sicherzustellen, mit dem Sie telefonieren." Das sei die Sache der Telefonierenden selbst. Allerdings erkenne die Software neue Anrufe selbstständig und zeige dem Nutzer in einem kleinen Fenster an, ob das aktive Telefonat gesichert abläuft.
Im Übrigen wurde einst PGP in den USA für nicht exportierbar erklärt. Doch das Verbot, das bis zum Jahr 2000 auch weitere Software-Lösungen aus den USA betraf, beispielsweise Netscapes professionelle Browser-Lösung, war reichlich sinnlos: Zimmermann hatte die Software ins Internet gestellt. Das handelte ihm eine dreijährige Polizeiuntersuchung ein. In dieser Zeit mehrte sich nicht nur sein Ruf, sondern die Verschlüsselung sprang von 64 auf 128-Bit-Schlüssel und es entstand eine neue Industrie: Die der Handys.
Jetzt, da VoIP zum Renner wird - laut der jüngsten Erhebung der der Forschungsgruppe Wahlen vom vierten Quartal 2005 hat jeder zehnte deutsche Erwachsene schon VoIP verwendet -, dürften weltweit Geheimdienste auf die neue Software genauso grimmig wie damals auf PGP reagieren. Nicht entschlüsselbare Telefonanrufe passen nicht ins Konzept. Dazu sagte Zimmermann dem amerikanischen Magazin "Wired": "Wir haben in den 90er Jahren den Kampf gewonnen". Jetzt setzt er darauf, dass seine neue Software von Menschen verwendet wird, die "von der Erosion der Privatsphäre beunruhigt sind".
Zfone ist derzeit in der Betaphase und zum Download nach vorheriger Registrierung für Windows XP, Linux und MacOS X bereit gestellt. (wl)