Zabezpečení transportní vrstvy datagramu - Datagram Transport Layer Security
Zabezpečení transportní vrstvy datagramu (DTLS) je komunikační protokol který poskytuje bezpečnostní pro datagram aplikace založené na tom, že jim umožňuje komunikovat způsobem, který je navržen[1][2] aby se zabránilo odposlouchávání, manipulace nebo padělání zpráv. Protokol DTLS je založen na proud -orientované Zabezpečení transportní vrstvy (TLS) a je určen k poskytování podobných záruk zabezpečení. Datagram protokolu DTLS zachovává sémantiku podkladového přenosu - aplikace netrpí zpožděním spojeným s protokoly streamu, ale proto, že používá UDP, s aplikací se musí vypořádat doobjednávání paketů, ztráta datagramu a dat větších než je velikost datagramu síťový paket. Protože DTLS používá spíše UDP než TCP, vyhýbá se „problému s roztavením TCP“,[3][4] když se používá k vytvoření tunelu VPN.
Definice
Následující dokumenty definují DTLS:
- RFC 6347 pro použití s Protokol uživatele Datagram (UDP),
- RFC 5238 pro použití s Protokol kontroly zahlcení datagramu (DCCP),
- RFC 5415 pro použití s Řízení a poskytování bezdrátových přístupových bodů (CAPWAP),
- RFC 6083 pro použití s Stream Control Protocol přenosu (SCTP) zapouzdření,
- RFC 5764 pro použití s Zabezpečený přenosový protokol v reálném čase (SRTP) následně zavolal DTLS-SRTP v konceptu s Zabezpečený protokol pro řízení dopravy v reálném čase (SRTCP).[5]
DTLS 1.0 je založen na TLS 1.1 a DTLS 1.2 je založen na TLS 1.2. Neexistuje žádný DTLS 1.1; toto číslo verze bylo přeskočeno, aby bylo možné harmonizovat čísla verzí s TLS.[2]
Implementace
Knihovny
| Implementace | DTLS 1.0[1] | DTLS 1.2[2] |
|---|---|---|
| Botan | Ano | Ano |
| cryptlib | Ne | Ne |
| GnuTLS | Ano | Ano |
| Rozšíření Java Secure Socket | Ano | Ano |
| LibreSSL | Ano | Ne |
| libsystools[6] | Ano | Ne |
| MatrixSSL | Ano | Ano |
| mbed TLS (dříve PolarSSL) | Ano[7] | Ano[7] |
| Služby zabezpečení sítě | Ano[8] | Ano[9] |
| OpenSSL | Ano | Ano[10] |
| PyDTLS[11][12] | Ano | Ano |
| Python3-dtls[13][14] | Ano | Ano |
| RSA BSAFE | Ne | Ne |
| s2n | Ne | Ne |
| SChannel XP / 2003, Vista / 2008 | Ne | Ne |
| SChannel 7 / 2008R2, 8/2012, 8.1 / 2012R2, 10 | Ano[15] | Ne[15] |
| SChannel 10 (1607), 2016 | Ano | Ano[16] |
| Zabezpečený transport OS X 10.2–10.7 / iOS 1–4 | Ne | Ne |
| Zabezpečený transport OS X 10.8–10.10 / iOS 5–8 | Ano[17] | Ne |
| SharkSSL | Ne | Ne |
| maličkosti [18] | Ne | Ano |
| Waher.Security.DTLS [19] | Ne | Ano |
| wolfSSL (dříve CyaSSL) | Ano | Ano |
| @ nodertc / dtls [20][21] | Ne | Ano |
| java-dtls[22] | Ano | Ano |
| pion / dtls[23] (Jít) | Ne | Ano |
| kalifornium / skandium[24] (Jáva) | Ne | Ano |
| SNF4J[25] (Jáva) | Ano | Ano |
| Implementace | DTLS 1.0 | DTLS 1.2 |
Aplikace
- Cisco AnyConnect Klient VPN používá protokol TLS a vymyšlenou síť VPN založenou na DTLS.[26]
- OpenConnect je open source klient kompatibilní s AnyConnect a ocserv server, který podporuje (D) TLS. [27]
- Cisco InterCloud Fabric používá DTLS k vytvoření tunelu mezi soukromým a veřejným / poskytovatelem výpočetního prostředí[28]
- ZScaler 2.0 (populární řešení ZTN) používá pro tunelování DTLS [29]
- Sítě F5 Edge VPN Client používá TLS a DTLS[30]
- Systémy Citrix NetScaler používá DTLS k zabezpečení UDP[31]
- Internetové prohlížeče: Google Chrome, Opera a Firefox podpora DTLS-SRTP[32] pro WebRTC
Zranitelnosti
V únoru 2013 objevili útok dva vědci z Royal Holloway z University of London[33] což jim umožnilo obnovit holý text z připojení DTLS pomocí implementace OpenSSL DTLS, když Řetězení šifrovacích bloků bylo použito šifrování režimu.
Viz také
Reference
- ^ A b Rescorla, Eric; Modadugu, Nagendra (duben 2006). Zabezpečení transportní vrstvy datagramu. doi:10.17487 / RFC4347. RFC 4347.
- ^ A b C Rescorla, Eric; Modadugu, Nagendra (leden 2012). Zabezpečení datagramové transportní vrstvy verze 1.2. doi:10.17487 / RFC6347. RFC 6347.
- ^ Titz, Olaf (2001-04-23). „Proč je TCP přes TCP špatný nápad“. Citováno 2015-10-17.
- ^ Honda, Osamu; Ohsaki, Hiroyuki; Imase, Makoto; Ishizuka, Mika; Murayama, Junichi (říjen 2005). Atiquzzaman, Mohammed; Balandin, Sergey I (eds.). „Výkon, kvalita služeb a řízení komunikačních a senzorových sítí nové generace III“. 6011: 60110H. Bibcode:2005SPIE.6011..138H. CiteSeerX 10.1.1.78.5815. doi:10.1117/12.630496. S2CID 8945952. Citovat deník vyžaduje
| deník =(Pomoc);| kapitola =ignorováno (Pomoc) - ^ Peck, M .; Igoe, K. (2012-09-25). „Suite B Profile for Datagram Transport Layer Security / Secure Real-time Transport Protocol (DTLS-SRTP)“. IETF.
- ^ Julien Kauffmann. "libsystools: Otevřená knihovna TLS / DTLS pro Windows / Linux pomocí OpenSSL". Sourceforge.
- ^ A b „uvolněna mbed TLS 2.0.0“. PAŽE. 13. 7. 2015. Citováno 2015-08-25.
- ^ „Poznámky k verzi NSS 3.14“. Mozilla Developer Network. Mozilla. Citováno 2012-10-27.
- ^ „Poznámky k vydání NSS 3.16.2“. Mozilla Developer Network. Mozilla. 2014-06-30. Citováno 2014-06-30.
- ^ „Od verze 1.0.2“. Projekt OpenSSL. Projekt OpenSSL. 2015-01-22. Citováno 2015-01-26.
- ^ Ray Brown. "pydtls - Zabezpečení transportní vrstvy datagramu pro Python". GitHub.
- ^ Ray Brown. „DTLS pro Python“. Softwarová nadace Python.
- ^ Ray Brown / Mobius Software LTD. "pydtls - Zabezpečení transportní vrstvy datagramu pro Python". GitHub.
- ^ Ray Brown / Mobius Software LTD. „DTLS pro Python3 na základě PyDTLS“. Softwarová nadace Python.
- ^ A b „Je k dispozici aktualizace, která přidává podporu pro DTLS v systému Windows 7 SP1 a Windows Server 2008 R2 SP1“. Microsoft. Citováno 13. listopadu 2012.
- ^ Justinha. „Změny TLS (Schannel SSP) ve Windows 10 a Windows Server 2016“. docs.microsoft.com. Citováno 2017-09-01.
- ^ „Technická poznámka TN2287: Problémy s interoperabilitou iOS 5 a TLS 1.2“. Knihovna vývojářů pro iOS. Apple Inc.. Citováno 2012-05-03.
- ^ Olaf Bergmann. "tinydtls". Eclipse Foundation.
- ^ Peter Waher. „Waher.Security.DTLS“. Waher Data AB.
- ^ Dmitrij Tsvettsikh. "Zabezpečená komunikace UDP pomocí DTLS v čistém js". GitHub.
- ^ Dmitrij Tsvettsikh. „DTLS in pure js“. npm.
- ^ Mobius Software LTD. „Neblokující implementace Java DTLS na základě BouncyCastle a Netty“. Mobius Software LTD.
- ^ Sean DuBois. "pion / dtls: implementace serveru / klienta DTLS 1.2 pro Go". GitHub.
- ^ "californium / scandium: implementace serveru / klienta DTLS 1.2 pro Java a Coap. Zahrnuje příponu ID připojení". Eclipse Foundation.
- ^ SNF4J.ORG. „Simple Network Framework for Java (SNF4J)“. GitHub.
- ^ „AnyConnect FAQ: tunely, opětovné připojení a časovač nečinnosti“. Cisco. Citováno 26. února 2017.
- ^ „OpenConnect“. OpenConnect. Citováno 26. února 2017.
- ^ „Architektonický přehled Cisco InterCloud“ (PDF). Systémy Cisco.
- ^ „Tunel ZScaler ZTNA 2.0“. ZScaler.
- ^ „Zabezpečení transportní vrstvy f5 datagramu (DTLS)“. Sítě f5.
- ^ "Konfigurace virtuálního serveru DTLS". Systémy Citrix.
- ^ „WebRTC Interop Notes“. Archivovány od originál dne 11. 5. 2013.
- ^ Obnova prostého textu útočí na TLS Datagramu
externí odkazy
- „Transport Layer Security (tls) - charta“. IETF.
- Modadugu, Nagendra; Rescorla, Eric (21. 11. 2003). „Návrh a implementace Datagram TLS“ (PDF). Stanford Kryptoskupina. Citováno 2013-03-17.
- AlFardan, Nadhem J .; Paterson, Kenneth G. „Obnova prostého textu útočí na TLS Datagramu“ (PDF). Citováno 2013-11-25.
- Gibson, Steve; Laporte, Leo (2012-11-28). „Zabezpečení transportní vrstvy datagramu“. Zabezpečení nyní 380. Citováno 2013-03-17. Přeskočit na 1:07:14.
- Robin Seggelmann Ukázkový kód: echo, generátor znaků a vyřazení klienta / serverů.
Tento článek je založen na materiálu převzatém z Zdarma online slovník výpočetní techniky před 1. listopadem 2008 a začleněno pod "licencování" podmínek GFDL, verze 1.3 nebo novější.