webrtc.org er koden på computeren?

[gtr]

http://www.webrtc.org/

webrtc er googles modstykke til skype.

Google siger, det er open source.

På https://www.getonsip.com/ kan man teste webrtc.

Webrtc koden, hvor er den installeret hende?
Er den i browseren eller på den hjemmeside
man åbner?
Kan man lave det som en addon til firefox?

Kan man lave det som et alm program, der installeres
på computeren? Ligesom jitsi, ekiga eller
lignende?

Webrtc har ikke valgt zrtp som kryptering, men
et andet krypteringssystem.

Da webrtc er open source, kan programmører, der
evner zrtp, kode et webrtc program med zrtp?

Hvis webrtc ikke kan installeres som et
selvstændigt program på computeren, kan jeg
ikke se, at zrtp kan indbygges på en
verificerbar og sikker måde.

Tak.

[AJenbo]

WebRTC er en åben browser standart. Pt. er den implementere i Chrome, Firefox og Opera. Det er selve implementeringen der kan være open source.

WebRTC er beregnet til at en hjemmeside let kan lave en chat funktion, protokolden køre p2p og ikke via hjemmesiden. Der er ikke noget der står i vejen for at en ikke-browser kan kommunikere med en WebRTC klient. Da WebRTC jo er implementeret i browseren, som er et selvstændigt program på computeren, ser jeg ikke hvad du mener med at den ikke skulle være sikker.

Selve protokolden som benyttes i WebRTC er Jingle, og så vidt jeg kan se kan det allerede lade sig gøre at køre zrtp over Jingle, og der findes vist også allerede et temmelig stort udvalg af ikke-borwsere som understøtter protokolden. Du skal nok nærmere se WebRTC som en mulighed for at en hjemme side kan lave et skin/tema til den indbygget Jingle VoIP klient i browseren.

[gtr]

Tak for svar.

Jeg leder efter et alternativ til skype. Et alternativ,
der har indbygget zero knowledge encryption.
Hvad jeg har læst mig til er, at zrtp kombineret
med srtp er det eneste system, der
mht krypteringen er uafhængigt af certifikater,
hjemmesider eller servere, man ikke selv
bestemmer over.
Det eneste program jeg har fundet, der under-
støtter zrtp og srtp, er jitsi, og der kan
jeg alene få audio til at virke.
Anden softphone software med zrtp og srtp,
kan jeg ikke få til at virke.

Jenbo, hvis du svarer, må du gerne svare så præcist,
som muligt. Jeg vil gerne kende strukturen i
softwaren så nøjagtigt, som muligt.

Dvs al webrtc softwaren er inde i browseren, og
ligger lokalt på computeren?
Og man kan derfor ikke lave et separat
webrtc softphone program, som fx jitsi?

Når jitsi starter, skaber jitsi automatisk
forbindelsen til den valgte sip server,
og forbindelsen til brugerens sip konto?

Når man går ind på getonsip websiden,
skaber man forbindelsen til getonsip's
sip server, og når man indtaster
brugernavn og kodeord, skaber man
forbindelsen til sip kontoen?

For jitsi gælder, at opkaldet kører med jitsi
softphone softwaren på computeren?

Og med getonsip kører softphone softwaren også
på computeren, men inde i browseren, dvs fx
firefox?

Hvordan bygger man zrtp og srtp ind i
webrtc i firefox? Gør man det med en addon?

Hvilke programmører kan kode den software?

Hvis du siger, at webrtc allerede har indbygget
zrtp og srtp, vil jeg gerne vide, hvordan man
bruger det med getonsip? Kan jeg finde ud af
det ved at ringe til et andet getonsip
nummer, og se om zrtp og srtp proceduren
udføres?
Hvis webrtc er opbygget, så fx zrtp kører på
hjemmesiden, dvs hjemmesidens server, ville
det betyde, at krypteringssystemet ville være
usikkert, fordi serverens adm ville kunne
manipulere softwaren.
Det var det jeg mente med usikker.

Ssl certifikater er ikke sikre, fordi den,
der kontrollerer certifikaterne,
egenhændigt kan manipulerer dem.

Men hvis zrtp og srtp ligger på
computeren, kan en person udefra ikke
manipulere softwaren?

[AJenbo]

Jenbo, hvis du svarer, må du gerne svare så præcist,
som muligt.

Det prøver jeg da også. P.s. der er automatisk linje deling, der er lidt besværligt at læse din tekst når du laver dem manuelt midt i sætninger osv.

Dvs al webrtc softwaren er inde i browseren, og
ligger lokalt på computeren?
Og man kan derfor ikke lave et separat
webrtc softphone program, som fx jitsi?

Ja, det er inde i browseren.
WebRTC er en API der gøre hjemmesider istand til at lave softphones der kommunikere over Jingle. Det du skal bruge er der for en Jingle-softphone. WebRTC-softphone giver ingen mening, det ville være en softphone uden brugerflade.

Jeg kender værken jitsi eller getonsip så jeg har svært ved at svare på resten, men udmildbart lyder det rigtigt.

Hvordan bygger man zrtp og srtp ind i
webrtc i firefox? Gør man det med en addon?

Hvilke programmører kan kode den software?

Jeg kender ikke lagene godt nok, så det er enten nogen der kan c/c++ eller javascript.

Hvis du siger, at webrtc allerede har indbygget
zrtp og srtp

Det jeg skrev var at WebRTC bruger jingle og at zrtp har vært benyttet over jingle, det burde der for være teknisk muligt, mere ved jeg ikke.

Hvis webrtc er opbygget, så fx zrtp kører på
hjemmesiden, dvs hjemmesidens server, ville
det betyde, at krypteringssystemet ville være
usikkert, fordi serverens adm ville kunne
manipulere softwaren.

Javascript (som er det WebRTC er en API til) køre i browseren, så det afvikles alt sammen lokalt selv om du skal ind på en hjemmeside for at starte det. Du kunne også lave en softphone som blot er en .html fil som folk så skal åbne i deres browser.

[gtr]

Tak for svar.

De korte sætninger er mest fordi, jeg forstørrer bogstaverne.
Og da passer sætningslængden omtrent.

Præcise svar fra dig var ikke en kritik. Det var en opfordring.
Fordi jeg vil gerne undgå, at jeg har en opfattelse af, hvordan
webrtc fungerer. Og jeg senere finder ud af, at det virker på
en anden måde.

Fx understøtter getonsip dtls srtp, hvis samtalen er mellem
2, der anvender getonsip.
Men zimmermann siger, at dtls srtp ikke kan betegnes som
zero knowledge encrypted, fordi det baserer sig på
certifikater, og servere, der administrerer krypteringen.
Og ja, jeg ved, at zimmermann gerne vil sælge zrtp.

http://www.zfone.com/index.html
Zimmermann ville lave en slags schweizerkniv zrtp
til sip software phones. Men nogle skriver, at
zimmermann sluttede sig til silent circle.
Zfone hjemmesiden er der stadig, men der sker vist ikke
noget. Og jeg kan ikke downloade zfone softwaren.

Nogen siger, at twinkle kan det samme, men kun audio.

Jenbo, det jeg skriver nu gælder dig og andre, der
arbejder med computere. Du bestemmer selv, om du vil
svare.

Du skriver, du ikke kender jitsi. Hvad bruger I fagfolk
da?
Eller er I ligeglade med kryptering, eller mener man
ikke kan gøre noget?

Hvis jeg kunne finde ud af det, ville jeg selv
programmere softwaren. Da jeg ikke kan det, forsøger jeg
at finde software, der kan kryptere.

Eller har I et eller andet andet system, som vi andre
ikke kender til? Jeg kan ikke følge, hvorfor I ikke går
mere op i den side af software?

Getonsip har valgt dtls srtp. Jeg kan ikke vurdere, om
det er fordi man vil opnå samme resultat som skype?
Dvs krypteret, men ikke sikkert.
Men jeg læste også, at webrtc ikke skulle være
til hinder for zrtp srtp.

Jingle vil jeg prøve at finde. Men hvis du har forslag
til, hvad jeg kan forsøge, må du gerne skrive dem.

// Du kunne også lave en softphone som blot er en .html fil
som folk så skal åbne i deres browser.

Men den ville ikke være sikker mht zrtp?

[AJenbo]

De korte sætninger er mest fordi, jeg forstørrer bogstaverne.
Og da passer sætningslængden omtrent.

Det er fint at du skifter linje efter sætningerne, der hvor det bliver rodet er når du gør det midt i en sætning.

zimmermann siger, at dtls srtp ikke kan betegnes som
zero knowledge encrypted

Er problemet at det ikke er lige let for alle at sætte op eller er det en sikkerhed feature?

Du skriver, du ikke kender jitsi. Hvad bruger I fagfolk
da?

Det korte svar er at jeg ikke rigtig bruger det og ikke bekymre mig for meget om det. Jeg har generelt ikke brug for telefoni/video chat. Største delen af min digitale kommunikation sker faktisk offentlig på det her forum
Det at jeg arbejder med IT til dagligt gør mig heller ikke til ekspert i kryptering, så at kalde mig for fagmand rammer nok lidt skævt.

Jingle vil jeg prøve at finde. Men hvis du har forslag
til, hvad jeg kan forsøge, må du gerne skrive dem.

Her er wiki link, der er yderligere links til en ~16 programmer der implementere det (der i blandt Jitsi): http://en.wikipedia.org/wiki/Jingle_%28protocol%29

// Du kunne også lave en softphone som blot er en .html fil
som folk så skal åbne i deres browser.

Men den ville ikke være sikker mht zrtp?

Den vi benytte WebRTC så hvis det kan lade sig gøre at køre zrtp med WebRTC så vil det også kunne lade sig gøre via en .html-fil så længe alle brikkerne er på plads i den browser man så anvender. Jeg vil tro du kan afvise at skabe forbindelsen hvis ikke zrtp er understøttet og så henvise til hvad brugeren skal gøre for at få det til at virke.

[AJenbo]

Hvis jeg kunne finde ud af det, ville jeg selv
programmere softwaren. Da jeg ikke kan det, forsøger jeg
at finde software, der kan kryptere.

Det er vel ikke for sent at lære?

[zob]

Uden at vide for meget om det kunne jeg forestille mig at kryptering af streamet lyd og video og følgende dekryptering kan være problematisk. Kryptering/dekryptering kan være processorintensivt og jeg gætter på at det vil skabe en forsinkelse i sådan en samtale der vil gøre den næsten praktisk umulig at gennemføre. Men jeg ved det ikke.

Jeg sværger til google hangouts. Så, som du kan forstå, er jeg ikke bekymret af natur.

[lath]

@gtr

Som IT professionel (IT ingeniør og datamatiker) vil jeg lige fortælle dig at det er meget få personer blandt de IT professionelle der er har dyb nok viden til at lave softwaren, der laver selve krypteringen og dekrypteringen.
Årsagen er den store risiko der er for at lave en lille bitte fejl sådan at krypteringen meget nemt kan brute-force dekrypteres.

En sådan lille fejl kan medføre en markant svækkelse af styrken af krypteringen. Sådan en fejl blev opdaget i 2008.
Det var en Debian udvikler der havde rettet i noget krypteringssoftwaren der bruges til sikker internetkommunikation (SSL, SSH, og VPN) i 2006. Udvikleren foretog rettelserne i krypteringssoftwaren på baggrund af analyserapporter fra et fejlfindingsværktøj, der hedder Valgrind.
Følgen af dette var af skulle rettes - 2 gange - og de opdateringer skulle så ud til alle.
Det var bare ikke nok for samtlige certifikater skulle også kendes ugyldige, og at nye certifikater skulle laves/udstedes for alle Debian + Ubuntu og alle afarter de Linux distroer - i hele verden. Men ikke nok med det, så måtte certifikaterne heller ikke bruges af software, der ikke var ramt af fejlen, fordi de så ville lave lige så usikker kommunikation, som debian softwaren der havde fejlen. Det samme gælder også for debian softwaren, hvor fejlen var rettet.

• http://www.version2.dk/artikel/kaempe-linux-hul-levede-i-aar-7271
• http://www.version2.dk/artikel/debian-arbejder-paa-hoejtryk-daemme-op-ssh-hul-7305

Det er derfor IT-professionelle holder sig fra at producere kryptografisk software/hardware (med mindre man er kryptolog), og i stedet bruger kryptografisk software/hardware med udførlig dokumentation for dens anvendelse.

Det fleste har viden nok til at anvende et kryptografisk API (kryptografisk software bibliotek lavet af en kryptolog), hvis det da ikke lige er lavet så indviklet at det mest af alt er umuligt at bruge for alle andre end lige netop kryptologer (hint: Java crypto libs).
For Javas vedkommende bruger nogle derfor The Legion of the Bouncy Castle: http://www.bouncycastle.org/

Vedrørende dine tanker om kryptering af lyd, og video med en mikroprocessor, så har du helt ret, for man bruger dedikeret hardware til især video, som har omkring 1000x ydelse i forhold til en heftig multi-core mikroprocessor.
Den dedikerede hardware skrives i et HDL programmeringssprog (VHDL, Verilog, SystemC), der med en oversætter og en signalrouter kan programmere programmerbar digital elektronik - det kunne være f.eks. en ASIC, eller en FPGA.

Video dekodning - udpakning af en komprimeret strøm af bits af video data - sker med et codec (en algoritme) i hardware, fordi det er billigst.

/Lars

[gtr]

Tak for svar.

Måske har jeg nu forstået, hvad en api er.
Api er en enhed af software i fx firefox, der indeholder funktioner,
som man kan anvende vha programordrer?

Jeg har læst mere om webrtc og sikkerhed.
Det er kompliceret. Jeg kan ikke finde ud af, om webrtc har en api, der understøtter
zrtp srtp.

Jeg kan heller ikke gennemskue, hvor en webrtc api instruks udføres. Om det er lokalt
på computeren, eller på serveren. Som jeg læste det, blev api'en kaldet på den
lokale computer, men udført på serveren.

Det må gøre det vanskeligt, at undestøtte zrtp på webrtc.
Zrtp krypteringen skal foregå på den lokale computer inden data
går til serveren?

[lath]

Måske har jeg nu forstået, hvad en api er.
Api er en enhed af software i fx firefox, der indeholder funktioner,
som man kan anvende vha programordrer?

Jeg er ikke helt sikker på at du har forstået det rigtigt, så jeg har lige fundet de danske og engelske wikipedia artikler om hvad et API er:

• Dansk artikel om API:
  Læs især afsnittet om"Koncept", da den er mere korrekt end indledningen i toppen af artiklen.
  http://da.wikipedia.org/wiki/Application_programming_interface
• Engelsk artikel om API:
  Den går mere i dybden end den danske artikel.
  http://en.wikipedia.org/wiki/Application_programming_interface

Jeg har læst mere om webrtc og sikkerhed.
Det er kompliceret. Jeg kan ikke finde ud af, om webrtc har en api, der understøtter
zrtp srtp.

Jeg kan heller ikke gennemskue, hvor en webrtc api instruks udføres. Om det er lokalt
på computeren, eller på serveren. Som jeg læste det, blev api'en kaldet på den
lokale computer, men udført på serveren.

Det må gøre det vanskeligt, at undestøtte zrtp på webrtc.
Zrtp krypteringen skal foregå på den lokale computer inden data
går til serveren?

Jeg har ikke sat mig ind i WebRTC, fordi jeg ikke har brug for det.

Hvad krypteringen angår, så kan jeg ikke udtale om den, fordi jeg ikke er kryptolog.

Jeg vil råde dig til at spørge på engelsk på StackOverflow websitet, fordi det er det bedste sted på internettet hvis du vil have svar på ikke-trivielle IT-relaterede spørgsmål.
Kryptologi er altid ikke-trivielt.

/Lars

[AJenbo]

Webrtc er en browser api ikke en web service, derfor kører den på din computer

[gtr]

Tak for svar.

Den engelske api wiki har jeg kigget på.

Når der på den danske api wiki står
"Et API definerer et sæt af kendte (dokumenterede), og
således eksternt brugbare funktioner, som andre
programmer kan bruge i forbindelse med udførsel af
en opgave.",
synes jeg, det passer med min forståelse af en api.

Api er meget udbredt?
Jeg kan se, at hardware producenter oplyser, når en api
til et bestemt software sytem bliver frigivet.
Bla. har jeg set en bundkort producent meddele, at der
er en api til firefox os.

Jeg stillde getonsip nogle spørgsmål.
Men getonsip svarede meget kortfattet.
De sagde, at getonsip er, hvad det er. Og der er ingen planer om,
at understøtte zrtp srtp.

Det er almindeligt, hvis man fortæller en udbyder, at der er en
bedre løsning, end den han udbyder, at udbyderen svarer
defensivt.
Mht sip softphones og zrtp srtp er det sket flere gange.
Men hvis en sip softphone ikke understøtter bedre kryptering
end skype, hvorfor så ikke anvende skype?

[AJenbo]

Hvis den er med åben kode (ikke nødvendigvis opensource) kan man jo tjekke efter bagdørge hvilke man ikke rigtig kan med skype.

[gtr]

Update
http://tools.ietf.org/html/draft-johnston-rtcweb-zrtp-01