Tcpcrypt

A tcpcrypt a TCP protokoll  kiterjesztése , amely lehetőséget ad a forgalom opportunista titkosítására a TCP számára [1] [2] . Ha az egyik előfizető nem támogatja a tcpcrypt kiterjesztést, normál TCP-kapcsolat jön létre. Ha mindkét előfizető támogatja a tcpcrypt-et, az adatok az alkalmazások számára transzparensen titkosítva lesznek (az alkalmazás támogatása nem szükséges; nincs szükség konfigurációra (a VPN -től eltérően )).

A kiterjesztés leírása

A tcpcrypt kiterjesztés a következő feladatok megoldására jött létre:

A tcpcrypt kiterjesztés a TLS- és IPsec -protokollokkal ellentétben nem tartalmaz felhasználói hitelesítési eszközöket , de egy "Session ID" mezőt biztosít. A "Session ID" az OSI hálózati modell magasabb szintjein használható bármilyen hitelesítési séma megvalósításához (például jelszavas hitelesítés vagy PKI -tanúsítványokkal történő hitelesítés ).

A tcpcrypt kiterjesztés működése átlátható az alkalmazások számára (vagyis a tcpcrypt támogatásához nincs szükség alkalmazásmódosításra). Az alapértelmezett esetben ( hitelesítés nélkül ) a bővítmény nem igényel konfigurációt. Ha azonban hitelesítés nélkül fut, a bővítmény ki van téve egy aktív [3] man-in-the-middle támadásnak .

A kapcsolatépítés (nyilvános kulcs segítségével történő titkosítás megszervezése) munka nagy részét a kliens oldalon végzik. Ez szándékosan történik, hogy csökkentsék a szerverek terhelését és csökkentsék a DoS támadások valószínűségét [4] .

A szerzők kutatása szerint a tcpcrypt kiterjesztés használatakor a TCP / TLS -hez képest a szerver terhelése csökken az egyszerűbb és gyorsabb kézfogási eljárásnak köszönhetően . 

A tcpcrypt kiterjesztés TCP-időbélyegeket használ, és több TCP-beállítást is hozzáad minden csomaghoz. Emiatt a csomag mérete 36 bájttal nő egy normál TCP-csomag méretéhez képest. Ha feltételezzük, hogy az átlagos TCP-csomag mérete 471 bájt [5] , akkor a kapcsolat átviteli sebessége 8%-kal csökken. A 64 kb/s- nál nagyobb sávszélességű felhasználók nem vehetnek észre különbséget, de a betárcsázós felhasználók jelentős lassulást tapasztalhatnak.

Történelem

A tcpcrypt kiterjesztést egy hat fős csapat tervezte [6] :

és bemutatták a 19. USENIX biztonsági szimpóziumon 2010-ben.

2010 júliusában megjelent a specifikáció első vázlata, 2010 augusztusában pedig a referencia implementáció forráskódja . Az " IETF " szervezet képviselői megismerkedtek a tervezettel, de a szabványt nem fogadták el. Emiatt a projekt csak 2011-ben fejlődött ki [7] .

2013 és 2014 között Edward Snowden nyilvánosságra hozott információkat az internetezők NSA és más kormányzati szervezetek általi tömeges megfigyeléséről. Az IETF úgy döntött, hogy biztonságos internetes protokollok létrehozásával megvédi a felhasználókat a felügyelettől [8] [9] . A tcpcrypt kiterjesztés átláthatóan titkosította az összes forgalmat, és az IETF érdeklődést mutatott a szabványosítás iránt.

2014 márciusában az IETF létrehozott egy levelezőlistát a  tcpcrypt megvitatására [10] . 2014 júniusában az IETF "TCPINC" néven (az angol  TCP fokozott biztonságból ) munkacsoportot hozott létre a tcpcrypt kiterjesztés [11] szabványosítására, és közzétette a specifikáció új tervezetét.

A tervezet ( angol  internet draft ) a [12] linken található  (elérhetetlen link) .

Megvalósítások

A tcpcrypt kiterjesztés implementációi több operációs rendszerre készültek : Linux , FreeBSD , Windows és Mac OS X. Minden megvalósítás:

Az IPv6 protokollt jelenleg csak a Linux implementáció támogatja .

A tcpcrypt kiterjesztés szabványosítását követően várhatóan minden operációs rendszeren megjelennek a beépített implementációk.

Lásd még

Jegyzetek

  1. Andrea Bittau; et al. (2010-08-13). A mindenütt jelenlévő szállítási szintű titkosítás (PDF) esete . 19. USENIX Biztonsági Szimpózium. Archiválva : 2011. november 18. a Wayback Machine -nél
  2. Michael Cooney . A mindenütt jelenlévő titkosítási technológia a láthatáron? , Network World  (2010. július 19.). Az eredetiből archiválva: 2013. október 20. Letöltve: 2015. március 25.
  3. Passzív támadás – a forgalom figyelése .  Aktív ( angolul active ) támadás - forgalomváltozás.
     
  4. Jake Edge . Szállítási szintű titkosítás a Tcpcrypt segítségével , LWN.net  (2010. augusztus 25.). Archiválva az eredetiből 2015. április 2-án. Letöltve: 2015. március 25.
  5. "Sean McCreary és kc klaffy". Trendek a nagy kiterjedésű IP forgalmi mintákban Az Ames Internet Exchange nézete . Letöltve: 2015. március 25. Az eredetiből archiválva : 2015. április 2.
  6. tcpcrypt - Rólunk . tcpcrypt.org. Letöltve: 2015. március 25. Az eredetiből archiválva : 2015. március 28..
  7. Mark Handley. Kernel javítás a Linux 3.10.10-hez? . Levelezőlista ( 2013.09.09 . ) _ Letöltve: 2015. március 25.
  8. Richard Chirgwin . Az IETF azt tervezi, hogy az összes jövőbeni internetes protokollt NSA-ellenőrzi , The Register  ( 2014. május 14. ) . Archiválva az eredetiből 2017. július 7-én. Letöltve: 2017. szeptember 29.
  9. Mark Jackson . Az IETF kötelezettséget vállal az államilag szponzorált tömeges internetfelügyelet akadályozására , ISP Review ( 2014. május 13. ). Archiválva az eredetiből 2015. április 2-án. Letöltve: 2015. március 25.
  10. Új, nem WG levelezőlista: Tcpcrypt – vitalista a TCP titkosításának hozzáadásához . Levelezőlista ( 2014.03.24 . ) _ Letöltve: 2015. március 25.
  11. TCP fokozott biztonság (tcpinc) . A munkacsoport chartája . Hozzáférés dátuma: 07.25 . 2014 . Az eredetiből archiválva : 2015. március 29.
  12. Bittau, A. ( 2014.07.21. ) , TCP - folyamok kriptográfiai védelme (tcpcrypt ) , IETF 

Linkek