NFON bietet Kunden die VoIP-Verschlüsselung von Signalisierung und Medienströmen an. Hierbei werden der Verbindungsaufbau und anschließend die Sprachdaten verschlüsselt. Dies erfolgt Ende-zu-Ende, also ab dem Telefon bis in das Rechenzentrum von NFON, in der Ihre Telefonanlage betrieben wird.

Im Zuge der Endgeräteprovisonierung werden Zertifikatsdaten zur Absicherung der SIP-Signalisierung via TLS auf die Endgeräte geladen. Die Endgeräte registrieren sich dann an dem für sie verantwortlichen Verschlüsselungsgateway, welches in den mehrfach gesicherten Rechenzentren von NFON betrieben wird.

Im Zuge des über TLS (256 Bit AES) gesicherten Gesprächsaufbaus werden die Schlüssel für die spätere Verschlüsslung der Medienströme ausgetauscht (mittels SDES). Diese werden einmalig zur Absicherung der Gespräche verwendet. Gesicherte Gespräche werden – falls vom Endgerät unterstützt – im Display als gesichert angezeigt.

Die Strecke zwischen Endgerät und dem Rechenzentrum ist somit vollständig gesichert (also auch schon im LAN des Kunden). Das Verschlüsselungsgateway befindet sich im selben Netzwerk wie die Telefonanlagenserver. Da die Verschlüsselung ausschließlich IP basiert funktioniert sind Verbindungen ab dem Rechenzentrum in das öffentliche Telefonnetz (Fest und Mobilfunknetz) nicht verschlüsselt.

Die beschriebene Verschlüsselungslösung ist mit folgenden Endgeräten kompatibel:

• Systemtelefone
• DECT Telefone
  • Gigaset N670 IP Pro
  • Gigaset N870 IP Pro
• ATA's
  • Grandstream
  • Patton

Weitere Endgeräte, die durch die Verschlüsselungslösung unterstützt werden:

• Nsoftphone premium (Softphone) ab Version 8.0.0

Dadurch das die Verschlüsselung der Signalisierung schon auf dem Endgeräten erfolgt, haben Edge-Router beim Kunden keine Möglichkeit mehr, die Signalisierung mitzuverfolgen und damit dynamisch Ports für die Medienströme zu öffnen und zu schließen.

In dieser Konsequenz ist ein breiter Bereich an UDP Ports für ausgehenden Verkehr zu öffnen, alle Medienströme laufen zwingend über die Internetanbindung.

Sobald für einen Kunden Verschlüsselung aktiviert wird, werden alle zur Verschlüsselung zertifizierten Geräte automatisch auf diese umgestellt. Bei der Abrechnung werden immer nur die auch zur Verschlüsselung fähigen Geräte betrachtet.