News Fritz!Box: Telekom setzt Fritz!OS 7.29 fürs Telefonieren voraus

[ookee]

Bist Du sicher? Mir fällt gerade kein Grund dafür ein warum sie spätestens auf dem Telekomserver entschlüsselt werden sollten.

@0-8-15 User hat ja schon die entsprechenden technischen Richtlinien der Telekom erwähnt. In Table 4-2 auf Seite 43 der 1TR114 Annex V steht es ganz eindeutig:

End-to-access-edge media security using SDES. Mandatory to be supported.
[…]
End-to-end media security using SDES. not supported by the Deutsche Telekom network

Damit die End-to-access-edge-Verschlüsselung überhaupt funktioniert, muss das Endgerät diese übrigens explizit mit entsprechenden Headern anfordern. Wenn man einfach nur (ohne diese 3GPP-e2ae-Besonderheiten) versucht eine verschlüsselte RTP-Verbindung auszuhandeln, schlägt das fehl. (Genau genommen könnte es sein, dass man auf diese Weise tatsächlich eine end-to-end-Verschlüsselung aufbauen kann, falls das Endgerät des Angerufenen das auch unterstützt. Aber selbst falls das funktioniert, wäre es witzlos, weil man bei SRTP-SDES dadurch keinen Sicherheitsgewinn hätte - der Schlüsselaustausch erfolgt über die Signalisierung, die auf der Telefonieplattform in jedem Fall entschlüsselt vorliegt.)

 

[Nore Ply]

Eine Lesebrille tut es im Zweifel auch:

Zu verstehen was man da liest kann aber auch ein nicht zu unterschätzender Vorteil sein. Im zitierten Absatz geht es um die zum Zweck der Überwachung ausgeleiteten Daten, keineswegs um alle.

Auf das Durchlesen der verlinkten Dokumente verzichte ich mal. Mit Schwurblern Zeit zu verbringen ist wie Tauziehen mit einem Baum zu spielen - es macht nicht wirklich Spaß. Over and out.
Nachtrag: @ookee: Danke für die Erklärung!

 

[I'm unknown]

Auf das Durchlesen der verlinkten Dokumente verzichte ich mal.

Nun ja, wenn die Fakten egal sind...

Mit Schwurblern Zeit zu verbringen ist wie Tauziehen mit einem Baum zu spielen - es macht nicht wirklich Spaß. Over and out.

...kommt das bei raus.

Du musst die Spezifikation nicht akzeptieren, das reicht wenn es die Geräteentwickler machen .

 

[Sylver]

Bei meiner FritzBox 7362 SL ist das letzte Update trotz Supportende 2019 die Ver. 7.13 von 11/21. Die ist ja nicht betroffen, wäre aber sehr ärgerlich wenn ich die obwohl sie problemlos läuft wegen so was mal in die Tonne kloppen müßte.

 

[0-8-15 User]

Zu verstehen was man da liest kann aber auch ein nicht zu unterschätzender Vorteil sein.

Ja, nur offenbar bin ich nicht allein mit meinem Verständnis der Sachlage:

Eine Ende-zu-Ende-Verschlüsselung muss aufgrund der Gesetzeslage in den entsprechenden Ländern durch die Gesprächspartner selbst eingerichtet werden, da Telekommunikationsanbieter gesetzlich verpflichtet sind, Behörden auf gerichtliche Anordnung hin den Zugriff auf Gespräche zu ermöglichen. Daher dürfen beispielsweise Provider, die dem deutschen Telekommunikationsgesetz unterliegen, keine automatische Ende-zu-Ende-Verschlüsselung ermöglichen.

Easybell schreibt beispielsweise absolut unmissverständlich:

Gespräche in andere Netze werden jedoch nur unverschlüsselt vom jeweiligen Betreiber akzeptiert.

keineswegs um alle

Dann erklär mir mal bitte, was die Telekom deiner Meinung nach mit dem verschlüsselten Datenstrom (zu dem niemand außer Dir und der Telekom den Schlüssel hat) macht? Richtig! Entschlüsseln ...

 

[iron_monkey]

Bleibt die Frage, ob sie alle Kunden kontaktieren oder nur die mit FB. Und wenn letzteres, nur die mit Leihgerät?

Ich wurde per Brief angeschrieben und habe meine Fritzbox 7530 selber gekauft, meine FW Version war tatsächlich nicht die neuste.

 

[Engaged]

Bei meiner FritzBox 7362 SL ist das letzte Update trotz Supportende 2019 die Ver. 7.13 von 11/21. Die ist ja nicht betroffen, wäre aber sehr ärgerlich wenn ich die obwohl sie problemlos läuft wegen so was mal in die Tonne kloppen müßte.

Die ist nicht betroffen weil die sowieso keine verschlüsselte Telefonie unterstützt, habe die hier auch noch als Schubladen Router aber mach mir da keine Sorgen. 😅

 

[Nore Ply]

Ja, nur offenbar bin ich nicht allein mit meinem Verständnis der Sachlage:

WT...? Ok, das sehe ich zum ersten Mal. Und halte es für eine Falschaussage. Eine E2E-Verschlüsselung aktiv zu verhindern kann der Gesetzgeber meines Erachtens aktuell dem Provider nicht vorschreiben.Dazu fehlt ihm die gesetzliche Handhabe. Ich lasse mich natürlich jederzeit gerne durch Nennung der Fundstelle vom Gegenteil überzeugen. Und nein "das steht im Internet" gilt ebensowenig wie "das steht im TKG". Gesetz, Paragraph, Abschnitt...wer behauptet das ein solcher Gesetzesgrundlage existiert sollte sie ja wohl kennen und daher auch benennen können.

Easybell schreibt beispielsweise absolut unmissverständlich:

Da geht es erstens um Gespräche in andere Netze und zweitens um Vereinbarungen.

Dann erklär mir mal bitte, was die Telekom deiner Meinung nach mit dem verschlüsselten Datenstrom (zu dem niemand außer Dir und der Telekom den Schlüssel hat) macht?

Die in der Frage versteckte Nebenbedingung beantwortet die Frage.

 

[486erdeluxe]

Die verschlüsselte Telefonie ist normalerweise ausgeschaltet. Man kann diese aber manuell aktivieren.
Ganz unten im Screenshot zu sehen. Ich hab diese bei mir aktiviert. Es muss für jede Rufnummer aktiviert werden, die man nutzt.
Anhang anzeigen 1196133

Anschluß bei O2, realisiert über die Telekom, hab den untersten Tab gar nicht, ist also immer verschlüsselt die Telefonie oder eher nicht weil O2 immer mithören will?)

7,29 ist hier aktuell, ungebrandete Kiste eigentlich, 7590

 

[0-8-15 User]

Und halte es für eine Falschaussage.

Dann nenn mir doch mal einen deutschen Telekommunikationsdienst (nach TKG), der eine automatische Ende-zu-Ende Verschlüsselung anbietet.

Ich lasse mich natürlich jederzeit gerne durch Nennung der Fundstelle vom Gegenteil überzeugen.

Hier (ab Seite 21): https://www.bundesnetzagentur.de/DE...ntur/WAR/Stellungnahmen/Stellungnahme_OTT.pdf

Da geht es erstens um Gespräche in andere Netze und zweitens um Vereinbarungen.

Es geht darum, dass der RTP-Datenstrom zwischen den Betreibern komplett unverschlüsselt abläuft und man dementsprechend keinen Aluhut braucht, um einzusehen, dass jeder, der auf der Leitung sitzt, direkt mithören kann.

Die in der Frage versteckte Nebenbedingung beantwortet die Frage.

Die Nebenbedingung ergibt sich daraus, dass eben nachweislich (siehe Schnittstellenbeschreibung) keine Ende-zu-Ende Verschlüsselung zum Einsatz kommt.

 

[Engaged]

Anschluß bei O2, realisiert über die Telekom, hab den untersten Tab gar nicht, ist also immer verschlüsselt die Telefonie oder eher nicht weil O2 immer mithören will?)

7,29 ist hier aktuell, ungebrandete Kiste eigentlich, 7590

Der Anbieter muss dies auch unterstützen, über Telekom heißt ja nur dass die letzte Meile genutzt wird, die Technik dahinter ist ja o2 eigen, und es ist sowieso keine Ende-zu-Ende-Verschlüsselung, also nichts dramatisch wichtiges sondern eigentlich nur ein netter Zusatz.

 

[Nore Ply]

Dann nenn mir doch mal einen deutschen Telekommunikationsdienst (nach TKG), der eine automatische Ende-zu-Ende Verschlüsselung anbietet.

Brauche ich nicht. Denn aus dem fehlen eines Angebots lassen sich keine Schlüsse auf den Grund für das Fehlen des Angebots ziehen.

Hier (ab Seite 21): https://www.bundesnetzagentur.de/DE/Allgemeines/DieBundesnetz

Da steht nichts von einer Verpflichtung, E2E Verschlüsselung zu verhindern.

Es geht darum, dass der RTP-Datenstrom zwischen den Betreibern komplett unverschlüsselt abläuft

Ja, weil das so vereinbart wurde. Der Text gibt nicht her das es so ist weil es gesetzlich gefordert ist

Die Nebenbedingung ergibt sich daraus, dass eben nachweislich (siehe Schnittstellenbeschreibung) keine Ende-zu-Ende Verschlüsselung zum Einsatz kommt.

Womit immer noch das Gespräch zweier Kunden des Providers bleibt.

 

[0-8-15 User]

Brauche ich nicht.

Kannst du nicht.

Da steht nichts von einer Verpflichtung, E2E Verschlüsselung zu verhindern.

Das ergibt sich zwingend aus dem, was dort geschrieben steht:

Nach § 110 TKG muss ein Betreiber einer TK-Anlage, mit der öffentlich zugängliche TKDienste erbracht werden, auf eigene Kosten technische Einrichtungen zur Überwachung des Telekommunikationsverkehrs vorhalten. Möglich ist etwa die Bereitstellung einer entsprechenden Hard- und Software. Die grundlegenden technischen Anforderungen ergeben sich hierfür im Einzelnen aus der TelekommunikationsÜberwachungsverordnung. Sie sind auf die herkömmlichen TK-Dienste zugeschnitten. § 110 TKG dient dazu, den Sicherheitsbehörden Zugriff zu den Inhalten einer Echtzeitkommunikation wie z.B. eines Telefongesprächs oder einer Videokonferenz zu ermöglichen.

denn würde er sichere E2E Verschlüsselung anbieten, könnte er keinen Zugriff zu den Inhalten ermöglichen du Scherzkeks.

Ja, weil das so vereinbart wurde. Der Text gibt nicht her das es so ist weil es gesetzlich gefordert ist

Klassische Verlagerung der Diskussion auf einen Nebenschauplatz, nachdem klar wurde, dass deine ursprüngliche Aussage, es würde nicht pauschal entschlüsselt, sich als falsch herausgestellt hat.

 

[rezzler]

Brauche ich nicht. Denn aus dem fehlen eines Angebots lassen sich keine Schlüsse auf den Grund für das Fehlen des Angebots ziehen.

Wobei durchgehende Verschlüsselung natürlich ein gutes Argument fürs Marketing wäre.

Da steht nichts von einer Verpflichtung, E2E Verschlüsselung zu verhindern.

Das kann man sich aus der Seite 21 und dem Anfang von Seite 22 denken:

Gegenwärtig wird im In- und Ausland intensiv darüber diskutiert, ob diese Vorgaben auf OTT-I-Diensteanbieter, die ebenfalls Echtzeitkommunikation wie Sprach- und Videotelefonie oder Messaging-Dienste ermöglichen, ausgedehnt werden sollen. Zwar können die Sicherheitsbehörden Zugriff auf die entsprechenden Datenpakete über den jeweils eingeschalteten Access-Provider als TK-Anlagenbetreiber erhalten. Dies hilft aber oft kaum weiter, weil die Online-Kommunikation wie bei Skype oder WhatsApp verschlüsselt erfolgt

Bei den "normalen" Überwachungsmaßnahmen vom TKG steht nichts von solchen Problemen...
Anmerkung von mir: Das war Stand 2016.

 

[Nore Ply]

Das ergibt sich zwingend aus dem, was dort geschrieben steht

Das ist erstmal nur Deine Interpretation. Aber ich stimme zu, es sieht ganz danach aus.
Dagegen spricht dass gegen dieses Kryptografieverbot durch die Hintertür m.W. noch niemand Einwand erhoben hat.

denn würde er sichere E2E Verschlüsselung anbieten, könnte er keinen Zugriff zu den Inhalten ermöglichen

Es geht mir nicht darum ob er sichere E2E-Verschlüsselung anbietet sondern ob er diese aktiv verhindert.

Daher dürfen beispielsweise Provider, die dem deutschen Telekommunikationsgesetz unterliegen, keine automatische Ende-zu-Ende-Verschlüsselung ermöglichen.

 

[0-8-15 User]

Dagegen spricht dass gegen dieses Kryptografieverbot durch die Hintertür m.W. noch niemand Einwand erhoben hat.

Es verbietet dir ja (noch) niemand selber Ende-zu-Ende zu verschlüsseln.

ob er diese aktiv verhindert

Davon war aber nie die Rede. Aktiv verhindern != Nicht anbieten (dürfen).

Womit immer noch das Gespräch zweier Kunden des Providers bleibt.

Die ursprüngliche Verschlüsselung endet auch da zwingend im ersten Knoten des Providernetzwerks:

end-to-access-edge security where SRTP is terminated in the first node in the core network.

 

[Nore Ply]

Das war doch mein Einstieg (bzgl. des Wiki Artikels). Dort steht er darf es nicht ermöglichen. Müsste es also aktiv verhindern. Gemeint war also vermutlich er darf es nicht anbieten.

 

[0-8-15 User]

Im dem Wiki Artikel steht im darauf folgenden Satz:

Es ist jedoch in verschiedenen Ländern in der Regel nicht verboten, selbst für eine durchgehende Verschlüsselung zu sorgen. Dazu müssen die Endgeräte auf beiden Seiten entsprechend ausgestattet sein. In der Regel kommt dann auch SRTP zum Einsatz, es wird jedoch durch ein anderes Protokoll gesteuert, zum Beispiel durch ZRTP.

 

[Andi07]

Die verschlüsselte Telefonie ist normalerweise ausgeschaltet. Man kann diese aber manuell aktivieren.
Ganz unten im Screenshot zu sehen. Ich hab diese bei mir aktiviert. Es muss für jede Rufnummer aktiviert werden, die man nutzt.
Anhang anzeigen 1196133

 

[Andi07]

Die verschlüsselte Telefonie ist normalerweise ausgeschaltet. Man kann diese aber manuell aktivieren.
Ganz unten im Screenshot zu sehen. Ich hab diese bei mir aktiviert. Es muss für jede Rufnummer aktiviert werden, die man nutzt.
Anhang anzeigen 1196133

Hallo mr999 und Hallo zusammen!

Ist das eine DSL-Box?
Ich habe zwar eine Kabel-Box, bin aber auch bei der Telekom, aber diese Einstellung gibt es bei mir nicht. Diese direkte Verschlüsselungs-Einstellung gibt es bei mir nur direkt im Zusammenhang mit DECT.

Woran liegt das bitte? Danke!
Laut meinem Anbieter wird über IP telefoniert.


Gruß Andi