Le créateur de PGP, célèbre logiciel de chiffrement d'e-mails, ne reste pas les bras croisés. Avec Zfone, Philip Zimmermann s'attaque à un domaine appelé à se développer : la sécurisation de la VoIP. Principal avantage de sa solution : elle ne nécessite pas d'infrastructure de PKI complexe ni de serveur de certificats tiers. Zfone exploite un nouveau protocole, ZRTP, proposé comme brouillon à l'IETF.

Elle fonctionne avec les téléphones logiciels exploitant le protocole SIP et exige que les deux interlocuteurs disposent de Zfone. La solution est incompatible avec Skype, « qui exploite un protocole propriétaire et fermé. J'ai choisi des standards ouverts », indique Philip Zimmermann. Zfone exploite l'algorithme de Diffie-Hellman, qui permet de créer une clé de chiffrement entre deux personnes sans qu'elles aient besoin au préalable d'échanger un secret, et qui ne nécessite pas d'authentification.

Avec Zfone, l'échange de clés s'opère lors de l'initialisation de la communication dans des paquets RTP ( RealTime Transport Protocol ), une fois que les interlocuteurs ont signalé leur présence grâce au protocole SIP et exprimé le souhait d'entamer une conversation. Zfone ajoute un système d'authentification simple, en affichant une chaîne de caractères que les interlocuteurs s'échangent vocalement, de façon à détecter une éventuelle attaque de type « Man in the middle ».

Lors d'un appel ultérieur, les interlocuteurs peuvent passer outre cette authentification, puisqu'une partie des clés échangées lors de l'initialisation est conservée en cache, après chiffrement, dans l'ordinateur de chaque interlocuteur. Encore en version bêta, Zfone fonctionne avec Mac OS X. Une version Linux est disponible, mais l'installation est plus complexe. Une version pour Windows est prévue prochainement.