doc/FAQ

   1 Frequently Asked Questions
   2
   3
   4 Q: What is SILC?
   5 A: SILC (Secure Internet Live Conferencing) is a protocol which provides
   6    secure conferencing services in the Internet over insecure channel.
   7    SILC is IRC like although internally they are very different.  Biggest
   8    similiarity between SILC and IRC is that they both provide conferencing
   9    services and that SILC has almost same commands as IRC.  Other than
  10    that they are nothing alike.
  11
  12    Biggest differences are that SILC is secure what IRC is not in any
  13    way.  The network model is also entirely different compared to IRC.
  14
  15
  16 Q: Can I use SILC with IRC client?  What about can I use IRC with SILC
  17    client?
  18 A: Answer for both question is no.  IRC client is in no way compatible
  19    with SILC server.  SILC client cannot currenly use IRC but this may
  20    change in the future if IRC support is added to the SILC client.
  21    After that one could use both SILC and IRC with the same client.
  22    Although, even then one cannot talk from SILC network to IRC network.
  23    That just is not possible.
  24
  25
  26 Q: How secure SILC really is?
  27 A: A good question which I don't have a answer.  SILC has been tried to
  28    make as secure as possible.  However, there is no security protocol
  29    or security software that has not been vulnerable to some sort of
  30    attacks.  SILC is in no means different from this.  So, it is suspected
  31    that there are security holes in the SILC.  These holes just needs to
  32    be found so that they can be fixed.
  33
  34    But to give you some parameters of security SILC uses the most secure
  35    crytographic algorithms such as Blowfish, RC5, Twofish, etc.  SILC
  36    does not have DES or 3DES as DES is insecure and 3DES is just too
  37    slow.  SILC also uses cryptographically strong random number generator
  38    when it needs random numbers.  Public key cryptography uses RSA
  39    and Diffie Hellman algorithms.  Key lengths for ciphers are initially
  40    set to 128 bits but many algorithm supports longer keys.  For public
  41    key algorithms the starting key length is 1024 bits.
  42
  43    But the best answer for this question is that SILC is as secure as
  44    its weakest link.  SILC is open and the protocol is open and in public
  45    thus open for security analyzes.
  46
  47    To give a list of attacks that are ineffective against SILC:
  48
  49       o Man-in-the-middle attacks are ineffective if proper public key
  50         infrastructure is used.  SILC is vulnerable to this attack if
  51         the public keys used in the SILC are not verified to be trusted.
  52
  53       o IP spoofing is ineffective (because of encryption and trusted
  54         server keys).
  55
  56       o Attacks that change the contents of the data or add extra
  57         data to the packets are ineffective (because of encryption and
  58         integrity checks).
  59
  60       o Passive attacks (listenning network traffic) are ineffective
  61         (because of encryption).  Everything is encrypted including
  62         authentication data such as passwords when they are needed.
  63
  64       o Any sort of cryptanalytic attacks are tried to make ineffective
  65         by using the best cryptographic algorithms out there.
  66
  67
  68 Q: Why SILC? Why not IRC3?
  69 A: Question that is justified no doubt of that.  I didn't start doing SILC
  70    to be replacement for IRC.  SILC was something that didn't exist in
  71    1996 or even today except that SILC is now released.  However, I did
  72    check out the IRC3 project in 1997 when I started coding and planning
  73    the SILC protocol.
  74
  75    But, IRC3 is problematic. Why? Because it still doesn't exist.  The
  76    project is at the same spot where it was in 1997 when I checked it out.
  77    And it was old project back then as well.  Couple of months ago I
  78    checked it again and nothing were happening.  That's the problem of IRC3
  79    project.  The same almost to happened to SILC as well as I wasn't making
  80    real progress over the years.  I talked to the original author of IRC,
  81    Jarkko Oikarinen, in 1997 and he directed me to the IRC3 project,
  82    although he said that IRC3 is a lot of talking and not that much of
  83    anything else.  I am not trying to put down the IRC3 project but its
  84    problem is that no one in the project is able to make a decision what
  85    is the best way to go about making the IRC3 and I wasn't going to be
  86    part of that.  The fact is that if I would've gone to IRC3 project,
  87    nor IRC3 or SILC would exist today.  I think IRC3 could be something
  88    really great if they just would get their act together and start
  89    coding the thing.  I hope that the release of SILC gives a boost to
  90    the IRC3 project as well.