Raoul Harlacher RH Michael Koch MK Erstellt am: :01:00 Letztmals gespeichert: :20:00

Transkript

1

2 VoIP Security Trust Manager Dokumentbeschreibung Dieses Dokument beschreibt eine Software welche es möglich macht eine online Zertifikatsüberprüfung durchzuführen. Dieser sogenannte Trust Manager soll eine Erweiterung für den Soxy VoIP Security Proxy darstellen, um dort eine Man in the middle Attacke verhindern zu können. Vollständiger Projektname VoIP Integration into the Privasphere Secure Messaging Service Trust Manager Status: Final Release Dokument Eigenschaften Dokumentname: Soxy VoIP Security.docx Dokumentgrösse: '79'8 Bytes Ersteller: Raoul Harlacher RH Michael Koch MK Erstellt am: :0:00 Letztmals gespeichert: :0:00 Dokumentinformationen Datum Version Änderungen Autor Dokument erstellt RH Beschreibung der Arbeit und Konzept RH Szenario ergänzt RH Zustände des Trust Managers RH Ergänzungen im Client RH Korrekturen RH Anforderungen von Privasphere ergänzt RH Qualitätssicherungskapitel beschrieben RH Trustmanager Ablauf RH Trustmanager Beschreibung RH Trustmanager Funktionsbeschreibung RH Abstract & Management Summary RH & MK Dokumentabschluss MK

3 VoIP Security Trust Manager Inhalt ABSTRACT 8 MANAGEMENT SUMMARY 9. AUSGANGSLAGE 9. VORGEHEN 9. ERGEBNISSE 0. AUSBLICK.. AUTOMATISCHES MUC VERSENDEN.. EINMALIGE ÜBERPRÜFUNG DES ZERTIFIKATS ZIELE UND NUTZEN DES PROJEKTS. AUFGABENSTELLUNG. ZIELE. NUTZEN.. MAN IN THE MIDDLE PROBLEM. SOFTWARENAME PROJEKTMANAGEMENT. WOCHENPLAN. RISIKOANALYSE. MONATSÜBERSICHT. QUALITÄTSZIELE UND RISIKEN IM PROJEKT 6.. QUALITÄTSZIELE FÜR DAS PRODUKT UND PROZESSE 6.. PROZESSE 6. QUALITÄTSRISIKEN 6.6 QS MASSNAHMEN GEMÄSS KRITIKALITÄTEN UND IT SICHERHEIT 7.6. VERWENDETE RICHTLINIEN ODER NORMEN 7.6. EINSTUFUNGSBEDINGTE QS MASSNAHMEN 7.7 ENTWICKLUNGSBEGLEITENDE QUALITÄTSSICHERUNG 7.7. ZU PRÜFENDE PRODUKTE 7.7. ZU PRÜFENDE AKTIVITÄTEN 7.8 SPEZIFISCHE KONTROLLMASSNAHMEN 7.8. EINGANGSKONTROLLE VON FERTIGPRODUKTEN 7.8. ÄNDERUNGSKONTROLLE 7.8. KONTROLLE VON BEARBEITUNGSKOMPETENZEN 7.8. KONTROLLE DES KONFIGURATIONSMANAGEMENTS 7 KONZEPT 8

4 VoIP Security Trust Manager. GRUNDIDEE 8. TRUST MANAGER KOMMUNIKATIONSABLAUF 8 6 SZENARIO 9 6. CALLER / CALLEE 9 6. ZUSTÄNDE KONDITIONEN ZUSTAND NR. VOLL VERSCHLÜSSELT UND BEGLAUBIGT ZUSTAND NR. NICHT VERSCHLÜSSELT ZUSTAND NR. NICHT VERSCHLÜSSELT ZUSTAND NR. VERSCHLÜSSELT JEDOCH NICHT BEGLAUBIGT ZUSTAND NR. VERSCHLÜSSELT JEDOCH NICHT BEGLAUBIGT 6..7 ZUSTAND NR. 6 VERSCHLÜSSELT JEDOCH NICHT BEGLAUBIGT 6..8 ZUSTAND NR. 7 UNVERSCHLÜSSELT 6..9 ZUSTAND NR. 8 UNVERSCHLÜSSELT 6. TRUST LIST 6. BENUTZERINTERAKTIONEN 6.. REGISTRATION ÜBER WEB GUI 6.. BEI DER INSTALLATION ÜBER COMMAND LINE ODER WEB GUI 6.. IM BETRIEB ÜBER WEB GUI 6. TRUST MANAGER INTERAKTION 6.. BEI DER INSTALLATION 6.. IM BETRIEB (SIEHE AUCH 6. ZUSTÄNDE) 7 EVALUATION 7. BETRIEBSSYSTEM 7. PROGRAMMIERSPRACHE 7.. PRIMÄRE VARIANTE MIT CURL UND SHELL SKRIPT 7.. SEKUNDÄRE VARIANTE MIT RUBY MIT XML RPC 7. INFRASTRUKTUR 7.. HARDWAREAUFBAU 7.. RECHNERSYSTEME 7.. VERSIONSKONTROLLSYSTEM KOMMUNIKATION 6 8 KONZEPT DES TRUST MANAGERS 7 8. BESCHREIBUNG SYSTEMABLAUF ABLAUF AUS BENUTZERSICHT FUNKTIONS CHECKLISTE 7 9 IMPLEMENTATION TRUSTMANAGER 8

5 VoIP Security Trust Manager 9. KOMPONENTEN TRUSTMANAGER.SH TRUSTMANAGER.CONF CERTGENERATOR MESSAGES 9 9. PROGRAMMAUFRUF UND RÜCKGABEWERT 9 9. FUNKTIONEN FUNKTION HASHCALC FUNKTION VALIDATE CALLER FUNKTION UPLOADCERT 9.. FUNKTION SENDMAIL 9.. FUNKTION SORT 9..6 FUNKTION MAIN 0 IMPLEMENTATION SOXY INTEGRATION 0. NEUE KLASSE KEYAGGREMENTCERT 0.. KEYAGREEMENTCERT.H 0.. KEYAGREEMENTCERT.CPP 0. INTEGRATION VON KEYAGREEMENTCERT 0.. CALLSESSION.CPP MIKEYMESSAGEDK.H MIKEYMESSAGEDK.CPP 8 0. ANPASSUNG AUTHENTICATE() FUNKTION MIKEYMESSAGEDK::AUTHENTICATE 9 SERVER. FUNKTIONEN.. VERIFIKATION DER BENUTZER UND ZERTIFIKATE.. VERWALTUNG DER BENUTZER UND ZERTIFIKATE. SCHNITTSTELLEN.. STATUS CODES TESTS. PERFORMANCE.. STATISTIK.. FAZIT.. SOURCE TRIALS 6. RUBY SERVER 6. RUBY CLIENT 6

6 6 VoIP Security Trust Manager SCHLUSSFOLGERUNGEN 7. ZUSAMMENFASSUNG DER RESULTATE 7.. KONZEPT 7.. TRUST MANAGER 7.. SOXY INTEGRATION 7. BEURTEILUNG UND BEDEUTUNG 7. VERGLEICH ZU ANDEREN KONZEPTEN 7. WEITERES VORGEHEN 7. KOMMUNIKATIVES FAZIT 8 LINUX UBUNTU SERVER. DISTRIBUTION. SOURCES.LIST ANPASSEN. PACKAGES UND UPGRADE. BENUTZERVERWALTUNG. INTERFACE KONFIGURATION.6 SSH AUF GRUPPE UND SSH ROOT LOGIN DEAKTIVIEREN 6 VORBEREITUNG SOXY 6. WGET 6. SCP 7 AUTOMATISCHE INSTALLATION 8 MANUELLE INSTALLATION 8. BIBLIOTHEKEN UND SOFTWAREKOMPONENTEN 8. INSTALLATION SOXY 8. SOXY SOURCE ANPASSUNGEN 9 ZUSÄTZLICHE SOFTWARE 6 9. CURL 6 9. SER 6 0 INSTALLATION MAILSERVER 7 INSTALLATION WEBSERVER 8. SOFTWARE PAKETE 8. KONFIGURATION 8

7 7 VoIP Security Trust Manager.. APACHE MODUL UND PORTS 8.. ZERTIFIKATE 8.. SITES AVAILABLE 8.. APACHE NEU STARTEN 60 ERSTELLUNG DER ZERTIFKATE MIT DEM CERTGENERATOR 6 REPOSITORY HANDLING 6 DEMO AUFBAU AN DER HSR 6. KONFIGURATION DES ALPHAS 6.. INTERFACE KONFIGURATION 6.. KONFIGURATIONSDATEIEN 6. KONFIGURATION DES BETAS 66. KONFIGURATION DER TELEFONE 66.. SNOM SNOM PERSÖNLICHE BERICHTE 70. PERSÖNLICHER BERICHT MICHAEL KOCH 70. PERSÖNLICHER BERICHT RAOUL HARLACHER 7 6 GLOSSAR 7 7 ABBILDUNGSVERZEICHNIS 7

8 8 VoIP Security Trust Manager Abstract Heutzutage wird immer öfters Voice over IP genutzt, obwohl die Kommunikation nicht verschlüsselt ist. Der Benutzer kann durch spezielle Software den Anruf verschlüsseln, jedoch nicht sicherstellen, dass keine Man in the Middle Attacke vorliegt. Diese Arbeit beschreibt wie ein VoIP Aufbau gemacht werden kann, um verschlüsselt und sicher zu kommunizieren. Um dies zu ermöglichen, mussten wir eine bestehende Secure SIP Proxy Software (Soxy mit einem Zertifikatsüberprüfungsteil ergänzen und konnten somit eine funktionierende Schnittstelle zu einer Zertifikats Autorisierungsstelle herstellen. Diese Autorisierungsstelle war die Partnerfirma Privasphere ( welche diesen Dienst anbietet. SSL privasphere SSL Internet RTP RTP alpha.soxy.ch beta.soxy.ch SRTP Um ein Telefongespräch zu verschlüsseln, wird eine Public Key Verfahren benötigt. Das Zertifikat wird beim Beginn des Anrufes ausgetauscht. Sobald dieses erfolgreich übertragen wurde, wird eine Anfrage an den Privasphere Server gemacht, ob das Zertifikat gültig ist und eine Vertrauensbeziehung zwischen den Beteiligten besteht. Eine Vertrauensbeziehung wird über einen sekundären Weg (Tel, SMS, Fax, Brief, ) getätigt. Falls das Zertifikat ungültig ist oder keine Vertrauensbeziehung besteht, wird automatisch ein Mail an die Beteiligten gesendet. Mit dieser Lösung kann eine Benutzer Authentisierung auf Zertifikatsebene durchgeführt werden, welche somit eine verschlüsselte, sichere Beziehung ermöglicht.

9 9 VoIP Security Trust Manager Management Summary. Ausgangslage Heutzutage wird immer öfters Voice over IP genutzt obwohl die Kommunikation nicht verschlüsselt ist. Der Benutzer kann durch spezielle Software den Anruf verschlüsseln, jedoch nicht komplett sicherstellen, dass kein Fremder den Anruf abhört. Es wird eine neue Variante benötigt die es möglich macht, einen Benutzer sicher zu authentisieren und zu beglaubigen. Hierfür existiert eine Firma, die eine solche Vertrauensbeziehung zwischen zwei Kunden ermöglicht und das Telefonieren übers Internet sicher macht. Um mit dieser Firma zu kommunizieren wird eine Erweiterung des bestehenden Secure SIP Proxy (Soxy) erstellt. Es wurden schon öfters Projekte Entwickelt, welche das VoIP Telefongespräch sicher machen sollen. Jedoch wurde noch nie ein Konzept mit einer Security Firma zusammen erstellt, welche dank deren Produkt eine komplett verschlüsselte und sichere Kommunikation erlaubt. Diese Arbeit interessierte uns sehr, da viele Aspekte zusammenfliessen, wie zum Beispiel SIP, C++ und Linux. Somit konnten wir uns in verschiedene Bereiche vertiefen und uns einen breiten Einblick in die Technologien verschaffen. Primäres Ziel war die Erstellung eines Zertifikatsauthentifizierungsprogramms, welches in die bestehende Proxy Software (Soxy) integriert wird. Als Zusatzziel sind die Anforderungen von Privasphere betreffend automatischem versenden von Einladungen und Ausgaben von Statusmeldungen auf das Telefon, definiert worden.. Vorgehen Diese Arbeit beschreibt wie ein VoIP Aufbau gemacht werden kann, um verschlüsselt und sicher zu kommunizieren. Um dies zu ermöglichen, mussten wir eine bestehende Secure SIP Proxy Software (Soxy mit einem Zertifikatsüberprüfungsteil ergänzen und konnten somit eine funktionierende Schnittstelle zu einer Zertifikats Autorisierungsstelle herstellen. Diese Autorisierungsstelle war die Partnerfirma Privasphere ( welche diesen Dienst anbietet. In erster Linie wurde eine Analyse der Soxy Implementation und zugleich die Evaluation für den Trustmanager gemacht. Danach begannen die Implementation des Trustmanagers und dessen Funktionen mit fortlaufenden Tests. Im nächsten Schritt kam die Integration in den Soxy mit zusätzlichem Aufbau und Vorbereitung für eine Demo. Als Ansprechperson hatten wir Prof. Dr. Andreas Steffen, der uns während dem ganzen Projekt betreute und uns für Fragen zur Verfügung stand. Mit ihm wurden auch die wöchentlichen Meetings und Korrekturen durchgeführt. Herr Dr. Ralf Hauser von der Firma Privasphere war der Auftraggeber der Arbeit. Über Meetings, Mail und Telefon wurden die Anforderungen bestimmt und Statusmeldungen durchgegeben. Die Qualitätskontrolle wurde durch Herrn Steffen erledigt, welcher auch kontinuierlich über den Status informiert wurde.

10 0 VoIP Security Trust Manager. Ergebnisse SSL privasphere SSL Internet RTP RTP alpha.soxy.ch beta.soxy.ch SRTP Abbildung Sicherheitskonzept Das Sicherheitsproblem liegt im Bereich von einer Man in the Middle Attacke, welches durch unsere Lösung behoben wird. Der Soxy Client macht nach der Übertragung vom Zertifikat eine verschlüsselte Anfrage an den Privasphere Server, um das Zertifikat zu validieren. Somit kann gewährleistet werden, dass keine unverschlüsselte Gespräche übers öffentliche Netz gehen und der Gesprächspartner wirklich derjenige ist, für den er sich ausgibt. Der Caller und der Callee werden per Mail über den Status informiert und allenfalls darauf hingewiesen, was zu ändern ist, um einen verschlüsselten Call zu tätigen. In vielen Bereichen war das Projekt sehr lehrreich für uns: den Security Bereich haben wir in diesem Projekt erst richtig kennengelernt der Umgang mit Linux konnte sehr vertieft werden und viele Zusammenhänge sind jetzt klar ersichtlich. Ausserdem konnten viele Linux spezifische Programme angewendet werden. die Shell Skriptsprache konnte einmal intensiv genutzt werden das Anwenden von C++ war ein ideale Repetition Unser Primär Ziel, das Man in the Middle Problem zu beheben, haben wir erreicht. Einziger Wermutstropfen war leider die Tatsache, dass wir den Soxy (noch ohne unseren eigenen Ergänzungen) nicht in Betrieb nehmen konnten. Deshalb war es uns nicht möglich, die Integration unserer eigenen Arbeit in die Soxy Umgebung zu testen.

11 VoIP Security Trust Manager. Ausblick.. Automatisches MUC versenden Falls beide Gesprächsteilnehmer bei Privasphere registriert sind, aber noch keine Vertrauenbeziehung zwischen den beiden besteht, wird das Gespräch einfach abgebrochen. Mit einem weiteren Privasphere Formular (ähnlich dem CallerVerify) könnte nun ein automatischer MUC Versand zu einer gespeicherten Telefonnummer programmiert werden. Man müssten dann diesem neuen Formular lediglich die Callee Adresse mitgeben und der MUC würde per SMS versendet werden. Bei Privasphere wurde ein RFE (Request for Enhancement) zur Erstellung eines solchen Formulars hinterlegt... Einmalige Überprüfung des Zertifikats In der momentanen Implementation wird bei jedem Gesprächsaufbau das Zertifikat mittels Trustmanager und Privasphere Datenbank überprüft. Auch dann, wenn schon einmal mit dem gleichen Gesprächspartner ein gesichertes Telefonat geführt wurde. Man könnte nun eine Überprüfung implementieren, die ein ankommendes Zertifikat mit den bereits einmal erhaltenen vergleicht. Falls das erhaltene Zertifikat mit einem gespeicherten übereinstimmt, kann der Trustmanager umgangen und direkt eine gesicherte Verbindung erstellt werden. Dies würde eine grosse Zeitersparnis ergeben.

12 VoIP Security Trust Manager Ziele und Nutzen des Projekts. Aufgabenstellung Die Firma Privasphere AG betreibt einen Secure Messaging Service für s, bei dem die Endkunden keine Zertifikate benötigen. Vertrauen wird auf der Basis von einmaligen Zugangscodes und früheren Kommunikationsbeziehungen etabliert. In Rahmen dieser Arbeit soll der durch HSR Studenten erstellte VoIP Security Proxy Server Soxy so erweitert werden, dass bei der Installation automatisch ein RSA Schlüsselpaar und ein dazugehöriges self signiertes MIKEY Zertifikat generiert wird, in das über die Privasphere Trust Infrastruktur global fallweise ein bilaterales Vertrauen etabliert werden soll. Dazu soll Soxy mit einer XML basierten Kommunikationsschnittstelle zum Privasphere Server ausgerüstet werden. Aufgabenstellung Einarbeitung in das Gebiet der VoIP Sicherheit basierend auf dem MIKEY Protokoll und in die Soxy Software Architektur. Verstehen der Funktionsweise des Privasphere Secure Messaging Service. Erstellen von Konzeptvarianten, wie Vertrauen in durch Soxy automatisch erzeugte, selbstsignierte MIKEY Zertifikate mittels des Privasphere Secure Messaging Service etabliert werden kann. Implementation und Test der optimalen Konzeptvariante.. Ziele Priorität Beschreibung Status Primär Trust Manager für die Kontrolle der Zertifikate durch Privasphere Ok Sekundär Einbinden der Lösung in Soxy Ausstehend Tertiär Komplettlösung der Software mit den zusätzlichen Features, Integration in den Soxy mit anschliessender Demo und Schulung Ausstehend. Nutzen Ein Telefongespräch über SIP ist im Moment nicht sicher. Die Einführung des Soxy Secure Proxy macht die Kommunikation abhörsicher während dem Gespräch, jedoch nicht beim Verbindungsaufbau. Hier besteht das Problem von einer Man in the middle Attacke. Die Firma Privasphere möchte einen Service anbieten, welcher eine Validierung der ausgetauschten Zertifikate durchführt. Durch diese Validierung kann mit Sicherheit festgestellt werden, ob die Person gegenüber wirklich die ist, als welche sie sich ausgibt. Jeder der sicher und verschlüsselt kommunizieren möchte, kann somit diesen Dienst abonnieren. Durch self signed Zertifikate kann auf eine kostenpflichtige Beglaubigung verzichtet werden. Das selfsigned Zertifikat wird bei Privasphere eingetragen und gilt als vertrauenswürdig, sobald eine Vertrauensbeziehung zwischen zwei Kommunikationspartnern hergestellt wird. Der Service wird durch Privasphere angeboten und kann mit kleinen Einschränkungen gratis genutzt werden. Jeder kann verschlüsselt kommunizieren ohne Kosten und ohne grossen Aufwand. Das Premium Paket umfasst ausserdem eine detaillierte Verwaltung der Benutzer und zusätzliche Services.

13 VoIP Security Trust Manager.. Man in the middle Problem Der Soxy arbeitet aktuell mit den DomainKeys. Sobald ein Caller einen Callee anruft und dessen Schlüssel nicht besitzt, wird eine Key Abfragee auf seinen DNS Server gemacht. Genau bei dieser Abfrage könnte einee Man in the middle Attacke durchgeführt werden, was somit ein Sicherheitsrisiko darstellt. Abbildung Soxy DomainKey. Softwarename Trustmanager Zertifikatsvalidierungssystem über eine verschlüsselt te Verbindung zu einem Server. Bildquelle: Soxy Dokumentation

14 VoIP Security Trust Manager Projektmanagement. Wochenplan W Arbeiten Abgaben Analyse, Informationsbeschaffung Aufbau, Codestudy, Planung Aufbau, Codestudy, Planung Aufbau, Codestudy, Planung Installationshandbuch Konzept / Lösungssuche Konzeptplan 6 Prototyp Client (MKoch) und Server (RHarlacher) 7 Prototyp Implementierung Prototyp 8 Implementierung der End Software 9 Implementierung der End Software 0 Implementierung der End Software Implementierung der End Software Softwaredemo & Testdokument Besprechung und Fehlerbehandlung Reserve Abschluss / Abgabe Präsentation Privapshere Verlängerung 6 Verlängerung Komplettdokument mit Software. Risikoanalyse Risiko Bewertungen (in Stunden) ID Risiko Auswirkung Massnahme Komplexität des Nur ein Teil des Projektes zu hoch, Projektes kann Technologie nicht durchgeführt werden verwendbar Hardware Problem, Server Client oder SVN Repository steigt aus Personal fällt aus wegen Streit, Militär, Krankheit, Unfall Projekt ist kurzfristig blockiert Projektverzug Kosten der Massnahme Max. Schaden WS des Eintreffens Eff. Schaden in Stunden Machbarkeitsstudie, Know How erarbeiten 8 0%.60 Backupszenario, Reservematerial 8 6 0%.60 Detaillierte Planung, klare Kommunikation 8 6 % 0.80 Prio Hoch Niedrig Niedrig Soxy läuft gar nicht oder nicht korrekt Zertifikatsüberprüfung ohne Soxy implementieren Von Soxy unabhängiges Konzept erstellen; mögliche spätere Einbindung 8 60% 9.0 Hoch Total Stunden in Arbeitspaketen enthalten 8 8 Total Rückstellungen 7.0 Rückstellungen im Verhältnis zum Projekt 8 %

15 VoIP Security Trust Manager. Monatsübersicht September Oktober November Dezember Ferien Ferien 6 Ferien 6 7 Ferien 7 8 Ferien Ferien MK Militär Michael Koch war knapp vier Wochen im Militär und hatte in dieser Zeit wenig bis fast gar keine Zeit am Projekt zu arbeiten. Es wurde eine Verlängerung von zwei Wochen bewilligt.

16 6 VoIP Security Trust Manager. Qualitätsziele und Risiken im Projekt.. Qualitätsziele für das Produkt und Prozesse... Produkt Secure Soxy Extension Das Endprodukt stellt eine Anwendung dar, die ermöglicht ein Zertifikat online zu überprüfen und zu validieren. Ein gefälschtes Zertifikat wird erkannt und der Endbenutzer wird darüber informiert. Somit soll eine man in the middle Attacke verhindert werden. Als Qualitätsziel wird gesetzt, dass die Software unter verschiedenen Bedingungen funktioniert und auch verschiedene Zustände annehmen kann. Diese Zustände werden getestet und protokolliert. Daraus resultiert auch die tatsächliche Qualität der einzelnen Funktionen... Prozesse... Analyse und Definition Ziel in diesem Prozess ist es, genau herauszufinden, was der Kunde möchte, welche Funktionen und Szenarien erfüllt werden müssen. Das Risiko besteht darin, dass nicht genau erkannt wird, was der Kunde möchte. Als Qualitätssicherungsaspekt wird eine Softwarebeschreibung erstellt, welche der Kunde akzeptieren kann damit genaue Richtlinien für das Projekt existierten.... Szenarien erstellen Da es verschiedene Szenarien gibt, werden diese analysiert beschrieben und auch vom Kunden geprüft, so dass eine klare Anforderung mit Funktionsumfang existiert.... Prototyp erstellen Ein Prototyp der Sofware wird erstellt, um die Funktionen der Software aufzuzeigen. Dieser wird mit dem Kunden angeschaut und geprüft, ob dies seinen Erwartungen entspricht. Als QS Sicherung wird mit dem Kunden detailliert besprochen, was noch geändert werden muss und was für Erweiterungen er noch gerne möchte.... Entwicklungsprozess Der Prototyp wird erweitert, falls dieser brauchbar ist, und die restlichen Funktionen werden noch eingefügt. Der Kunde wird in den Entwicklungsprozess einbezogen und kann frühzeitig reagieren, falls etwas nicht seinen Wünschen entspricht.... Testen Für jedes Szenario wird ein Testcase erstellt, welches den Ablauf und das Resultat der spezifischen Funktion beschreibt.. Qualitätsrisiken Das grösste Risiko ist die Fehlinterpretation der Kundenwünsche. Es kann dann am Schluss eine zwar qualitativ gute Software existieren jedoch nicht die vom Kunden gewünschte. Dies kann umgangen werden, indem der Kunde massgeblich bei der Entstehung der Software dabei ist, respektive wenn dieser kontinuierlich informiert wird und sein Feedback geben kann.

17 7 VoIP Security Trust Manager.6 QS Massnahmen gemäss Kritikalitäten und IT Sicherheit.6. Verwendete Richtlinien oder Normen Es wurden die Standardprogrammierrichtlinien der spezifischen Programmiersprachen verwendet, unter anderem angelehnt an internationale Standards wie das wc Konsortium. Sicherheitsrichtlinien wurden von der Firma Privasphere vorgegeben, welche eingehalten werden müssen, insbesondere in Bezug auf die verschlüsselte Übertragung und Datengeheimhaltung..6. Einstufungsbedingte QS Massnahmen Höchste Stufe hat die Verschlüsselung: keine Daten werden unverschlüsselt übertragen, ebenso werden die CA Zertifikate überprüft..7 Entwicklungsbegleitende Qualitätssicherung.7. Zu prüfende Produkte Die einzelnen Komponenten werden geprüft, weil die Software abhängig ist von mehreren unabhängigen Komponenten. Erst eine geprüfte Komponente kann in das Hauptprogramm eingefügt werden. Diese Prozedur gewährleistet eine stabile Software mit bekannten Komponenten..7. Zu prüfende Aktivitäten Die Kommunikation zwischen Kunden, Entwickler und Betreuer ist stets zu prüfen, so dass jeder auf dem gleichen Informationsstand ist und auch über laufende Arbeiten informiert ist..8 Spezifische Kontrollmassnahmen.8. Eingangskontrolle von Fertigprodukten Dies betrifft die Komponenten, welche wir benutzen und nicht von uns entwickelt wurden. Funktionalität und Stabilität müssen vor dem Einsatz geprüft werden, um Überraschungen zu vermeiden..8. Änderungskontrolle Es wird ein SVN Repository verwendet, um ein komplette Übersicht über den Verlauf der Software und Dokumente zu erhalten. Ebenfalls kann jederzeit zu verschiedenen Releases und Versionen gesprungen werden..8. Kontrolle von Bearbeitungskompetenzen Das Team besteht aus zwei Mitarbeitern, die über die laufenden Arbeiten und die Planung berichten. Ausserdem wird eine Zeiterfassung über die durchgeführten Arbeiten erstellt..8. Kontrolle des Konfigurationsmanagements Jeder Mitarbeiter arbeitet in seinem eigenen Workspace, die Arbeitspakete werden durch beide Mitarbeiter zusammengeführt. Somit können Unklarheiten und Missverständnisse vermieden werden, zusätzlich dient dies auch als Information und Wissensaustausch.

18 8 VoIP Security Trust Manager Konzept. Grundidee Da wir sehr viel Zeit mit dem Aufsetzen von dem Soxy aufgewendet haben wurde entschieden, eine unabhängige Software zu erstellen, um weitere Kompatibilitätsprobleme zu vermindern. Diese sollte unabhängig von Distributionen und Versionskonflikten sein, um einen vielseitigen Einsatz zu ermöglichen. Die Grundidee ist ein Trust Manager zu erstellen, der von jeder Software mit folgenden Parameter aufgerufen werden kann:. Zertifikatspfad z.b. /home/rharlacher/cert/rharlacher.pem. Adresse des zu Authentifizierenden (SIP Adresse) Der Trust Manager sollte so einfach aufgebaut sein, dasss dieser auch direkt in den Sourcecode der tatsächlichen Software integriertt werden kann. Die Serversoftware empfängt die Daten und validiert diese auf Grund seiner bekannten Zertifikate in seiner Datenbank. Die Entwicklung des Servers wird Privasphere erledigen.. Trust Manager Kommunikationsablauf Der Trust Manager Ablauf wurde in Grün dargestellt und der vereinfachte Serverablauf in Blau. Die Grafik soll den Informationsfluss und Ablauf darstellen. Eine detaillierte Beschreibung für beide Seiten folgt in den weitern Kapiteln. Zertifikat prüfen oder erstellen SHA Hash von Zertifikat erstellen Verschl. Verbindung aufbauen Hash und Adresse senden Empfang der Daten Mailversand Validierung Fehlercode weitergeben Abbildung TM Kommunikationsablauf

19 9 VoIP Security Trust Manager 6 Szenario Dieses Kapitel beschreibt die unterschiedlichen Zustände welche bei einem Anruf auftreten können. Diese muss die Software abfangen können und jeweils die nötigen Schritte einleiten, um eine Kommunikation zu ermöglichen. Jeder Benutzer sollte bei Privasphere registriert sein, um eindeutig seine Identität zu bestätigen. Ein Eintrag bei Privasphere kann nur durch erfolgreiche Eingabe einer MUC (Message Unlock Code) der Gegenseite gemacht werden. Der Message Unlock Code wird über einen sekundären Kommunikationsweg (persönlich, Tel, SMS, Fax, Brief,..) übermittelt. 6. Caller / Callee Caller und Callee wollen miteinander kommunizieren, beide können ein Zertifikat besitzen und dieses bei Privasphere eingetragen haben oder nicht. Bei der Installation vom Soxy wird automatisch ein Zertifikat erstellt, somit besitzt der Caller schon ein Zertifikat. Jetzt ist noch zu prüfen, ob der Caller und Callee bei Privasphere registriert ist und ob der Callee ein Zertifikat besitzt 6. Zustände Abbildung Zertifikatsaustausch Nr A + Z + B + Z B + Z + Erklärung A bei P, B hat Zertifikat und ist bei P A nicht bei P, B kein Zertifikat, B somit nicht bei P 0 0 A bei P, B kein Zertifikat, B somit nicht bei P 0 A bei P, B hat Zertifikat aber nicht bei P 0 0 A nicht bei P, B hat Zertifikat 6 0 A nicht bei P, B hat Zertifikat und ist bei P A nicht bei P, B hat Zertifikat nicht installiert aber ist bei P 8 0 A bei P, B hat Zertifikat nicht installiert aber ist bei P A = Caller Zertifikat P = Bei Privasphere ist das Zertifikat eingetragen und beglaubigt B = Callee Zertifikat 6.. Konditionen Es wird nur ein Gespräch zugelassen, wenn Caller und Callee bei Privasphere sind und beide ein gültiges Zertifikat besitzen. Zudem müssen Caller und Callee zuvor eine MUC ausgetauscht haben, um eine Vertrauensbeziehung herzustellen. Die Anforderungen treffen nur auf Zustand Nr zu. Eine Lokale trust list kann als Cache Speicher verwendet werden, um die Anfragen an den Privasphere Server zu vermindern. Bei der trust list wird eine Gültigkeitsdauer der Einträge

20 0 VoIP Security Trust Manager angegeben z.b. Stunden. In der Beschreibung der Abläufe ist eine lokale trust list erwähnt, jedoch gilt diese als Zusatz und wird am Schluss des Projektes vielleicht noch implementiert. 6.. Zustand Nr. voll verschlüsselt und beglaubigt Dies ist der Wunschzustand bei jeder Übertragung: Caller und Callee besitzen ein gültiges Zertifikat welches durch Privasphere validiert wurde Ablauf Caller Anruf an Callee Anruf wird weitergeleitet Trust Managersystem Prüft Hash in seiner trust list Trust Manager vergleicht Hash mit lokaler Liste Trust Manager findet keinen Eintrag und sucht bei Trust Manager vergleicht Hash bei Kommunikation wird autorisiert 6.. Zustand Nr. nicht verschlüsselt Der Caller hat sein Zertifikat noch nicht durch Privasphere beglaubigen lassen. Ebenso hat der Callee kein Zertifikat und kein Eintrag bei Privasphere. Daraus resultiert, dass der Caller eine Einladung per Mail erhält, um sich bei Privasphere zu registrieren. Der Callee wird per Mail über das Sicherheitsrisiko informiert und auf die Privasphere Seite verwiesen Ablauf Caller Anruf an Callee Erhält Fehlermeldung > kein Call Trust Managersystem Prüft Hash in seiner trust list Trust Manager findet keine Einträge und sucht bei Trust Manager findet keine Einträge bei Kommunikation wird abgelehnt Anrufer wird informiert 6.. Zustand Nr. nicht verschlüsselt Der Callee hat sein Zertifikat durch Privasphere beglaubigen lassen. Jedoch hat er weder ein Zertifikat noch ist dies validiert. Dementsprechend wird der Callee per Mail über das Sicherheitsrisiko informiert und auf die Privasphere Seite verwiesen Ablauf Caller Anruf an Callee Erhält Fehlermeldung > kein Call Trust Managersystem Prüft Hash in seiner trust list Trust Manager findet keine Einträge und sucht bei Trust Manager findet keine Einträge bei Kommunikation wird abgelehnt Anrufer wird informiert 6.. Zustand Nr. verschlüsselt jedoch nicht beglaubigt Der Callee hat sein Zertifikat durch Privasphere beglaubigen lassen. Auf der Callee Seite existiert ein Zertifikat, jedoch nicht durch Privasphere validiert. Je nach Sicherheitsstufe wird jetzt eine verschlüsselte Kommunikation zugelassen oder nicht.

21 VoIP Security Trust Manager 6... Ablauf Caller Anruf an Callee Erhält Fehlermeldung > kein Call Trust Managersystem Prüft Hash in seiner trust list Trust Manager findet keine Einträge und sucht bei Trust Manager findet keine Einträge bei Kommunikation wird abgelehnt Anrufer wird informiert 6..6 Zustand Nr. verschlüsselt jedoch nicht beglaubigt Der Caller hat das Zertifikat noch nicht bei Privasphere beglaubigen lassen. Beim Callee existiert ein Zertifikat, jedoch noch nicht durch Privasphere beglaubigt. Es wird ein Mail an den Callee und den Caller gesendet Ablauf Caller Anruf an Callee Erhält Fehlermeldung > kein Call Trust Managersystem Prüft Hash in seiner trust list Trust Manager findet keine Einträge und sucht bei Trust Manager findet keine Einträge bei Kommunikation wird abgelehnt Anrufer wird informiert 6..7 Zustand Nr. 6 verschlüsselt jedoch nicht beglaubigt Der Caller hat sich noch nicht bei Privasphere beglaubigen lassen. Auf der Seite des Callees existiert ein durch Privasphere beglaubigtes Zertifikat. Ein wird an den Caller geschickt, welches ihn auf die fehlende Beglaubigung hinweist Ablauf Caller Anruf an Callee Erhält Fehlermeldung > kein Call Trust Managersystem Prüft Hash in seiner trust list Trust Manager findet Callee in der Liste Trust Manager findet keine Einträge und sucht bei Trust Manager findet Callee auf Kommunikation wird abgelehnt Anrufer wird informiert 6..8 Zustand Nr. 7 unverschlüsselt Der Caller hat kein Privasphere validiertes Zertifikat, jedoch der Callee. Da der Callee aber kein Zertifikat installiert hat, wird er informiert, dass er ein Zertifikat besitzt jedoch nicht verwendet. Die Abfrage vom Caller zum Privasphere Server kann dementsprechend auch ohne den Parameter (Zertifikats Hash) geschehen.

22 VoIP Security Trust Manager Ablauf Caller Anruf an Callee Erhält Fehlermeldung > kein Call Trust Managersystem Prüft Hash in seiner trust list Trust Manager findet Callee in der Liste Trust Manager findet keine Einträge und sucht bei Trust Manager findet Callee auf Kommunikation wird abgelehnt Anrufer wird informiert 6..9 Zustand Nr. 8 unverschlüsselt Beide Parteien haben das Zertifikat beglaubigt, der Calleee hat jedoch kein Zertifikat installiert. Der Callee wird per Mail informiert, dass er ein Zertifikat besitzt jedoch nicht verwendet Ablauf Caller Anruf an Callee Erhält Fehlermeldung > kein Call Trust Managersystem Prüft Hash in seiner trust list Trust Manager findet Callee in der Liste Trust Manager findet keine Einträge und sucht bei Trust Manager findet Callee auf Kommunikation wird abgelehnt Anrufer wird informiert 6. Trust List Jeder durch MAC validierte Kunde wird in der trust list bei Privasphere eingetragen. Aktuell werden die Vertrauenswürdigen Adressen aufgelistet, zusätzlich würde dann noch eine Liste oder Flag mit den vertrauten SIP Adressen angezeigt. Abbildung Trusted List Web GUI

23 VoIP Security Trust Manager 6. Benutzerinteraktionen Hier wird beschrieben, wie der Benutzer mit dem System umgehen muss, welche Anforderungen und Wissen an den Benutzer gestellt werden um die Komplexität des Systems zu bestimmen. 6.. Registration über Web GUI Bei der Registration bei Privasphere wird ein Konto mit folgenden Informationen erstellt: Benutzername Passwort 6.. Bei der Installation über Command Line oder Web GUI Der Trust Manager benötigt folgende Informationen: / SIP Adresse Benutzername Passwort Optional: Zertifikat 6.. Im Betrieb über Web GUI Während dem Betrieb können folgende Aktionen durchgeführt werden: Überprüfung der trust list über das Web GUI MUC Eingabe über das Web GUI Autorisierung anfordern 6. Trust Manager Interaktion In diesem Teil wird beschrieben, was für Meldungen oder Benachrichtigungen der Trust Manager dem Benutzer zukommen lässt. 6.. Bei der Installation Überprüfung des Benutzernamens und Passwortes bei Privasphere Eine Status Meldung falls die Daten nicht verifiziert werden konnten. Überprüfung des Zertifikates, falls schon eines vorhanden ist Eine Meldung falls ein Fehler beim Zertifikat Upload / Überprüfung stattfand. 6.. Im Betrieb (siehe auch 6. Zustände) Fehler in einem Zustand: Eine Meldung wird an das SIP Telefon gesendet. Einladung: falls kein Profil bei Privasphere besteht Aufforderung: falls kein Zertifikat bei Privasphere gespeichert ist

24 VoIP Security Trust Manager 7 Evaluation Folgende Evaluationen wurden durchgeführt und geprüft mit den Vor und Nachteilen der einzelnen Varianten: 7. Betriebssystem Als Linux Distribution wurde ein Ubuntu Server 7. gewählt, da wir schon einige System im Einsatz haben und uns diese Distribution am geläufigsten ist. Ausserdem gewinnt dieses System immer mehr an Marktvolumen und wird weiterentwickelt. Ein Windows System wird nicht genutzt, weil der Soxy Trust Manager aktuell nur unter Linux einsatzfähig ist. 7. Programmiersprache Es wurden zwei Programmiersprachen mit je einem spezifischen Gateway überprüft. Da der Server von der Firma Privasphere realisiert wird und dort alles webbasiert verläuft, wird die. Variante mit dem Shellskript und der curl Erweiterung verwendet. 7.. Primäre Variante mit curl und Shell Skript 7... Programmiersprache Shell Skript bietet eine einfache Möglichkeit curl zu verwenden und ist systemnah. Das Skript könnte vom Soxy aufgerufen werden und erhält dann die nötigen Rückgabewerte. Mailversand und allfällige Nachrichten an das SIP Telefon wären ebenfalls möglich. Es existiert eine libcurl, die unter anderem auch in ein C++ Programm integriert werden könnte Gateway CURL ist ein Kommandozeilen Programm, welches den Transfer von Daten über HTTP/HTTPS ermöglicht. Dies entspricht genau unseren Anforderungen, vor allem in Bezug auf die verschlüsselte Übertragung. 7.. Sekundäre Variante mit Ruby mit XML RPC 7... Programmiersprache Das Basissystem ist eine Linux Distribution nach Wahl. Um die Kompatibilitätsprobleme so klein wie möglich zu halten, haben wir uns überlegt, Ruby mit XML RPC zu verwenden. Es werden lediglich zwei Pakete benutzt: ruby und libxmlrpc ruby. Ruby ist kompakt und sehr schnell, so dass Abfragen schnell getätigt werden können. C++ unterstützt auch XML RPC, welche mit dem Ruby Server kommunizieren könnte. Somit könnte der Trust Manager auch direkt in eine bestehende Software integriert werden Gateway XML RPC vs. SOAP Sowohl SOAP als auch XML RPC arbeiten mit XML Nachrichten und können für Remote Procedure Calls (RPC) eingesetzt werden. Überdies existieren für beide Implementationen in Ruby und C++. Beide Varianten würden also unsern Anforderungen entsprechen. Bei der Evaluation beider Systeme stellten wir fest, dass SOAP einiges umfangreicher und dadurch auch viel komplexer als XML RPC war. Der Funktionsumfang von XML RPC reicht jedoch völlig aus, um unsere Aufgabe zu erfüllen. Aus diesem Grund wäre das schlankere und einfachere XML RPC für uns besser geeignet.

25 VoIP Security Trust Manager 7. Infrastruktur 7.. Hardwareaufbau Die ganze Arbeitsumgebung wurde bei Raoul Harlacher aufgesetzt. Es waren drei Rechner und zwei SIP Telefone voll verfügbar für die Entwicklung und Tests. Auf jeden Rechner kann per SSH remote zugegriffen werden und somit auch von jedem anderem Standort gearbeitet werden. 7.. Rechnersysteme Abbildung 6 Testaufbau Mittel Notebook Mac Notebook Win SVN Server Backupserver HSR PC Soxy0 Soxy0 Privasphere local dev Privasphere Beschreibung Macbook Pro mit OSX Leopard IBM mit Windows XP und Ubuntu Digitec Serversystem mit Gentoo Digitec Serversystem mit Gentoo Standardrechner mit Gentoo und Windows Standardrechner mit Ubuntu Standardrechner mit Ubuntu Standardrechner mit Ubuntu Serversystem von Privasphere (keine weiteren Angaben)

26 6 VoIP Security Trust Manager 7.. Versionskontrollsystem Für die Versionskontrolle wird ein SVN Server verwendet. Das ganze basiert auf einem SVN Repository. Ein Repository ist ein Versionsverwaltungssystem, welches ursprünglich für die Softwareentwicklung entwickelt wurde. Die Dateien werden auf einem Server eingecheckt und mit einer Versionsnummer bzw. einer kurzen Beschreibung versehen. Andere Teilnehmer können auf jede beliebige Version des Dokumentes zugreifen. Bei allfälligen Fehlern kann jederzeit auf die Vorgängerversion zurückgesprungen werden. Mit Hilfe des Programmes Tortoise SVN von Tigris ( können die Dateien, wie bereits erwähnt, eingecheckt und mit den bereits vorhandenen Versionen verglichen werden. Arbeiten mehrere Projektmitglieder am selben Dokument, können die verschiedenen Änderungen zu einem neuen Dokument zusammengeführt werden. Jeder Benutzer verfügt über eigene Zugangsdaten (Benutzername/Passwort). Dadurch ist sichergestellt, dass lediglich autorisierte Benutzer Zugriff haben und jede Änderung des Benutzers ersichtlich ist. Die Kommunikation zum Server erfolgt in unserem Fall mittels SSL (Port ). Somit werden die Daten verschlüsselt übermittelt. Unsere Server sind alle mit RAID ausgerüstet, was eine hohe Ausfallsicherheit garantiert. Zusätzlich wird täglich ein Backup auf ein weiteres System, an einem anderen Standort gemacht. Es ist auch möglich mit einem herkömmlichen Webbrowser auf die Daten zuzugreifen. In diesem Fall, stehen jedoch nur die neuesten Versionen der jeweiligen Dateien zur Verfügung. 7.. Kommunikation Mittel Skype Sitzungen Team Meetings SMS Beschreibung Statusaustausch und Fragen Kurzbesprechungen und Fragen unter den Teammitgliedern Kontrolle und Besprechung mit Herrn Steffen Koordination der Arbeiten im Team Status und Pendenzenaustausch

27 7 VoIP Security Trust Manager 8 Konzept des Trust Managers 8. Beschreibung In diesem Kapitel wird beschrieben, wie der Trust Manager implementiert ist, was er für Funktionen besitzt und wie diese angewendet werden. Voraussetzung für eine sichere Kommunikation sind folgende Parameter: CALLEE_OK_SHA CALLEE_TRUSTED CALLEE_OK_KEY 8.. Systemablauf Abbildung 7 Systemablauf TM 8.. Ablauf aus Benutzersicht Alice wählt die SIP Adresse von Bob auf dem Telefon Bob kann den Anruf entgegennehmen, sofern alle Voraussetzungen erfüllt sind Bob wird eine Mail Einladung erhalten, falls er nicht bei Privasphere ist Bob wird eine MUC per SMS oder Fax erhalten, falls er nicht mit Alice trusted ist Bob wird eine Mail Einladung erhalten, falls ein Parameter in seinem Profil fehlt Alice wird ein Mail erhalten, falls ein Sicherheitsproblem auftritt 8.. Funktions Checkliste Nr. Beschreibung Status Parametrisierung ok Hasherstellung ok Caller Zertifikatsprüfung & allenfalls upload ok Callee Überprüfung ok Mailbenachrichtigung ok 6 MUC automatisch versenden optional 7 Returncode ok

28 8 VoIP Security Trust Manager 9 Implementation Trustmanager 9. Komponenten Der Trustmanager ist modular aufgebaut und besteht aus folgenden Komponenten: Abbildung 8 TM Komponente 9.. Trustmanager.sh Der Trustmanager stellt das Hauptprogramm dar, welches die Analyse, Entscheidung und Aktionen übernimmt. Dieser greift auf die anderen Komponenten zu und steuert diese. Benachrichtigungen zum Caller und Callee werden automatisch über den lokalen Mailserver oder Privasphere getätigt. Bevor der Trustmanager gestartet werden kann, muss die Konfiguration im Trustmanager.conf und im certgenerator angepasst werden (siehe Kapitel Erstellung der Zertifkate mit dem certgenerator). 9.. Trustmanager.conf Dies ist die Konfigurationsdatei der Parameter vom Trustmanager #//////////////////////////////////////////////////////////////////// #Trustmanager Configuration File #//////////////////////////////////////////////////////////////////// #Caller login name CALLERLOGIN=mkoch #Caller password CALLERPASSWORD=zonkzonk #PATH for the caller certificate CALLERPATH=../mkoch cert.pem

29 9 VoIP Security Trust Manager 9.. certgenerator Der certgenerator wird vom Trustmanager aufgerufen, falls der Benutzer kein eigenes Zertifikat besitzt und eines erstellt werden muss. Folgende Funktionen unterstützt der certgenerator: Erstellung von self signed Zertifikaten SSL Signierungsanfrage (CSR) Erstellen von public und private Schlüsselpaaren 9.. Messages Die Nachrichtenvorlagen sind in einem separaten Ordner messages. Der Dateiname der Nachrichten ist identisch mit dem Fehlertitel, der von Privasphere empfangen und durch den Trustmanager interpretiert wird. Z.B. 0_CALLEE_NOT_EXISTING.txt Lediglich der Messagebody wird in den Textdateien gespeichert, der Mailheader wird vom System erstellt. Der Messagebody kann nach Belieben angepasst werden, eine mögliche Internationalisierung mit verschiedenen Sprachen wäre ein Zusatz für die Software. 9. Programmaufruf und Rückgabewert Der Trustmanager kann von einer beliebigen Software gestartet werden, die Aufrufe im Betriebssystem unterstützt. Folgende Syntax wird für den Aufruf genutzt: #./trustmanager.sh [Callee Adresse] [Callee Zertifikat] Beispiel: #./trustmanager.sh Der Trustmanager hat nur zwei Rückgabewerte, entweder wird 0 zurückgeliefert, wenn eine sichere Kommunikation gewährleistet werden kann, oder es wird geliefert falls eine Sicherheitsanforderung nicht erfüllt werden konnte. 9. Funktionen In diesem Kapitel werden die Funktionen des Trustmanagers detailliert beschrieben. 9.. Funktion hashcalc Die Funktion hashcalc berechnet den SHA Hash vom übergebenen Zertifikat. Mittels openssl (Zeile ) kann der Hash erstellt werden. Dieser wird durch cut d zugeschnitten, so dass nur noch der Wert gespeichert werden kann. In shell script kann leider kein String übergeben werden, somit wird der berechnete Hash in einer globalen Variable gespeichert #//////////////////////////////////////////////////////////////////////////////////////// #//Function hashcalc #//////////////////////////////////////////////////////////////////////////////////////// hashcalc() { echo "::ZERTPATH: $" if [! f $ ]; then echo "::No Callee Cert available: $" exit else TMPHASH=`openssl x09 sha in $ noout fingerprint cut d"=" f` echo "::HASHVALUE: $TMPHASH" fi }

30 0 VoIP Security Trust Manager Funktion Validate Caller #//////////////////////////////////////////////////////////////////////////////////////// #//Function validate caller #//////////////////////////////////////////////////////////////////////////////////////// validatecaller() { hashcalc `cat trustmanager.conf grep CALLERPATH cut d"=" f` CALLERHASH=$TMPHASH } CALLERSTATUS=`curl k " echo "::CALLERSTATUS return: $CALLERSTATUS" #Response Test if [ z "$CALLERSTATUS" ]; then echo "::Caller not registered at Privasphere or Server down" sendmail $CALLERADDRESS "Privasphere request" "00_CALLER_NOT_REGISTERED" exit fi CALLERRET=`echo $CALLERSTATUS cut d" " f` CALLERRET=`echo $CALLERSTATUS cut d" " f` if [ $CALLERRET eq ]; then echo "::Caller not registered" sendmail $CALLERADDRESS "Privasphere request" "00_CALLER_NOT_REGISTERED" exit fi #Check if only one return value is returned if [ $CALLERRET eq $CALLERRET ]; then echo "::nur Rueckgabewert" case "$CALLERRET" in 0) echo "::Caller no key > cert upload" uploadcert ;; ) echo "::Caller diff sha > cert upload" uploadcert ;; esac else #Check if more than one return value is returned echo "::Multiple return values" case "$CALLERRET$CALLERRET" in ) echo "::Caller ok sha and ok key" ;; ) echo "::Caller ok sha but invalid key > cert upload" uploadcert exit 0 ;; ) echo "::Caller diff sha and invalid key > cert upload" uploadcert ;; esac fi Liest aus allen gängigen Formaten Statusüberprüfung Login und Server Kontrolle. Fallunterscheidung. Fallunterscheidung

31 VoIP Security Trust Manager 9.. Funktion uploadcert In dieser Funktion wird das Zertifikat von dem Caller auf Privasphere hinauf geladen und der Returnvalue ausgewertet. Der Aufruf kann nur durch die Funktion validatecaller gemacht werden, und nur im Fall wenn der Zertifikats Hash auf dem Server nicht identisch ist #//////////////////////////////////////////////////////////////////////////////////////// #//Function uploadcert #//////////////////////////////////////////////////////////////////////////////////////// uploadcert() { CERTSTATUS=`curl k F "login=$calleraddress" F "password=$password" F "file=@$callercert" " dev.privasphere.com/certupload."` echo "::Certstatus: $CERTSTATUS Callercert: $CALLERCERT" } #Response Test if [ z "$CERTSTATUS" ]; then echo "::Could not upload certificate" sendmail $CALLERADDRESS "Privasphere request" "0_CERTUPLOAD_FAILED" exit fi CERTRET=`echo $CERTSTATUS cut d" " f` if [ $CERTRET eq ]; then echo "::Certupload successfull" else echo "::Could not upload certificate" sendmail $CALLERADDRESS "Privasphere request" "0_CERTUPLOAD_FAILED" exit fi Transfer des Zertifikats Statusüberprüfung Auswertung 9.. Funktion sendmail Diese Funktion wird nur aufgerufen, falls ein Fehler bei der Sicherheitsprüfung entstanden ist. Über den lokalen Mailserver wird je nach Fehler ein vordefiniertes Mail versendet #//////////////////////////////////////////////////////////////////////////////////////// #//Function sendmail #//////////////////////////////////////////////////////////////////////////////////////// sendmail() { TO=$ SUBJECT=$ MESSAGE="./messages/$.txt" } `mail s "$SUBJECT" "$TO" < $MESSAGE` echo "::Mail sended: $TO" echo "::Subject: $SUBJECT" echo "::Body: `cat $MESSAGE`" exit

32 VoIP Security Trust Manager 9.. Funktion sort Parameter RET, RET und RET werden in dieser Funktion sortiert. Der Returncode von Privasphere ist nicht nach Wert aufsteigend sortiert (z.b. 6 oder 6 ). Falls keine Sortierung nach Wert gemacht würde, müssten alle Varianten geprüft werden, was eine grosse Fallunterscheidung zur Folge hätte. Es wurde geprüft, ob ein Bubblesort Algorithmus eingesetzt werden sollte. Der Code wäre jedoch gleich aufwändig gewesen. Weil maximal Werte geprüft werden müssen, wurde dieser Ansatz gewählt. Bei Shellscript existiert keine Möglichkeit, ein Array als Rückgabewert zu erstellen, daher wurden die Werte global gespeichert #//////////////////////////////////////////////////////////////////////////////////////// #//Function sort #//////////////////////////////////////////////////////////////////////////////////////// sort() { if [ $RET gt $RET ]; then if [ $RET gt $RET ]; then TMP=$RET RET=$RET RET=$TMP if [ $RET gt $RET ]; then TMP=$RET RET=$RET RET=$TMP fi else TMP=$RET RET=$RET RET=$TMP fi fi } if [ $RET gt $RET ]; then if [ $RET gt $RET ]; then TMP=$RET RET=$RET RET=$TMP if [ $RET gt $RET ]; then TMP=$RET RET=$RET RET=$TMP fi else TMP=$RET RET=$RET RET=$TMP fi fi

33 VoIP Security Trust Manager 9..6 Funktion Main Folgender Sourcecode zeigt die Main Funktion von dem Trustmanager #//////////////////////////////////////////////////////////////////////////////////////// #//Main Function #//////////////////////////////////////////////////////////////////////////////////////// validatecaller hashcalc $CERTPATH CALLEEHASH=$TMPHASH STATUS=`curl k " echo "::Return Request: $STATUS " #Response Test if [ z "$STATUS" ]; then echo "::Caller not registered at Privasphere or Server down" sendmail $CALLERADDRESS "Privasphere request" "00_CALLER_NOT_REGISTERED" exit fi RET=`echo $STATUS cut d" " f` RET=`echo $STATUS cut d" " f` RET=`echo $STATUS cut d" " f` sort echo "::Return : $RET :: Return : $RET :: Return : $RET" #Pruefung ob nur ein Rueckgabewert existiert if [ $RET eq $RET ]; then echo "::Only one return value" case "$RET" in 0) echo "::Callee not existing" sendmail $CALLEEADDRESS "$LOGIN wants to reach you" "0_CALLEE_NOT_EXISTING" ;; ) echo "::Callee not confirmed" sendmail $CALLEEADDRESS "Privasphere Request" "0_CALLEE_MAIL_N_CONFIRMED" ;; ) echo "::Callee no key" sendmail $CALLEEADDRESS "Privasphere Request" "0_CALLEE_NO_KEY" ;; ) echo "::Callee not trusted" sendmail $CALLEEADDRESS "Privasphere Request" "0_CALLEE_NOT_TRUSTED" #muc automatisch senden ;; ) echo "::Callee diff sha" sendmail $CALLERADDRESS "Privasphere Security error" "0_CALLEE_DIFF_SHA" ;; ) echo "::Callee OK sha" ;; 6) echo "::Callee trusted" ;; 7) echo "::Callee closed" sendmail $CALLERADDRESS "Privasphere Response" "06_CALLEE_CLOSED" sendmail $CALLEEADDRESS "Privasphere Request" "07_CALLEE_CLOSED" ;; 8) echo "::Callee OK key" ;; Statusüberprüfung des Callee Login und Server Kontrolle Zuschneiden der Resultate. Fallunterscheidung

34 VoIP Security Trust Manager ) echo "::Callee invalid key" sendmail $CALLERADDRESS "Privasphere Security Error" "09_CALLEE_INVALID_KEY" ;; *) echo "::Unknown return value" exit ;; esac else #Fallunterscheidung der Szenarien falls mehrere Rueckgabewerte echo "::Multiple return value" case "$RET$RET$RET" in ) echo "::Callee not confirmed and no key" sendmail $CALLEEADDRESS "$LOGIN wants to reach you" "0_CALLEE_NOT_EXISTING" ;; ) echo "::Callee no key and not trusted" sendmail $CALLEEADDRESS "$LOGIN wants to reach you" "0_CALLEE_NO_KEY" #muc automatisch senden ;; 6) echo "::Callee no key but trusted" sendmail $CALLEEADDRESS "Privasphere Request" "0_CALLEE_NO_KEY" ;; ) echo "::Callee not trusted and diff sha" sendmail $CALLEERADDRESS "Privasphere Request" "07_CALLEE_INVALID_KEY" #muc automatisch senden ;; ) echo "::Callee not trusted but ok sha" sendmail $CALLEEADDRESS "Privasphere Security Error" "0_CALLEE_NOT_TRUSTED" #muc automatisch senden ;; 7) echo "::Callee not trusted and closed" sendmail $CALLERADDRESS "Privasphere Security Error" "0_CALLEE_NOT_TRUSTED" #muc automatisch senden ;; 6) echo "::Callee diff sha but trusted" sendmail $CALLERADDRESS "Privasphere Security Error" "0_CALLEE_DIFF_SHA" sendmail $CALLEEADDRESS "Privasphere Security Error" "0_CALLEE_DIFF_SHA" ;; 7) echo "::Callee diff sha and closed" sendmail $CALLEEADDRESS "Privasphere Security Error" "0_CALLEE_DIFF_SHA" ;; 6) echo "::Callee ok sha and trusted > ready for secure communication" exit 0 ;; 7) echo "::Callee ok sha but closed" sendmail $CALLERADDRESS "Privasphere Response" "06_CALLEE_CLOSED" sendmail $CALLEEADDRESS "Privasphere Request" "07_CALLEE_CLOSED" ;; 68) echo "::Ready for secure communication" exit 0 ;; *) echo "::Unknown return value" exit ;; esac fi echo "::Wertepaar: $RET$RET$RET:". Fallunterscheidung