Popletený TCP - Obfuscated TCP

Popletený TCP (ObsTCP) byl návrh na transportní vrstva protokol, který implementuje oportunistické šifrování přes protokol kontroly přenosu (TCP). Byl navržen tak, aby zabránil hromadění odposlechy a škodlivé poškození provozu TCP na internetu Internet, s nižšími náklady na implementaci a složitostí než Zabezpečení transportní vrstvy (TLS). V srpnu 2008 IETF odmítl návrh možnosti TCP a navrhl, aby to bylo provedeno na aplikační vrstvě.^[1] Projekt byl neaktivní od několika měsíců později.

V červnu 2010 byl předložen samostatný návrh tcpcrypt byl předložen, který sdílí mnoho z cílů ObsTCP: být transparentní pro aplikace, oportunistické a nízké režijní náklady. Vyžaduje ještě menší konfiguraci (žádné položky DNS nebo záhlaví HTTP). Na rozdíl od ObsTCP poskytuje tcpcrypt také primitiva až do aplikace k implementaci autentizace a prevenci útoky typu man-in-the-middle (MITM).^[2]

Historický původ

ObsTCP byl vytvořen uživatelem Adam Langley. Koncept zamlžování komunikace TCP pomocí oportunistického šifrování se vyvinul několika iteracemi. Experimentální iterace ObsTCP používaly možnosti TCP v paketech 'SYN' k inzerci podpory pro ObsTCP, server reagující veřejným klíčem v 'SYNACK'. An IETF koncept protokolu byl poprvé publikován v červenci 2008. Pakety byly šifrovány pomocí Salsa20 / 8,^[3] a podepsané pakety s kontrolními součty MD5.^[4]

Současná (třetí) iterace používá speciální záznamy DNS (nebo metody mimo pásmo) k inzerci podpory a klíčů, aniž by upravovala činnost podkladového protokolu TCP.^[5]

Šifrovací funkce

ObsTCP je nízkonákladový protokol určený k ochraně provozu TCP, aniž by byl vyžadován certifikáty veřejného klíče, služby Certifikační autority nebo komplex Infrastruktura veřejného klíče. Je zamýšleno potlačit použití neorientovaného dohledu k vlečené nešifrované komunikaci, spíše než chránit před člověkem uprostřed útoku.

Tento software v současné době podporuje Salsa20 / 8^[3] streamovací šifra a Curve25519^[6] funkce Diffie Hellman eliptické křivky.

Srovnání s TLS / SSL / HTTPS

Vlastnosti	ObsTCP	SSL / TLS / HTTPS
Infrastruktura veřejného klíče	Nevyžaduje podepsaný certifikát veřejného klíče	Vyžaduje zakoupení podepsaného certifikátu veřejného klíče (nebo použití certifikátu s vlastním podpisem)
Podpora webového prohlížeče	Opravy verze Firefox dostupný^[7]	Široce podporované všemi populárními webovými prohlížeči
Podpora webového serveru	Vyžaduje opravy / aktualizace serveru pro lighttpd a Apache^[8]	Široce podporováno populárními webovými servery
Latence sítě	Žádné další zpáteční lety na jedno připojení (ačkoli DNS pro získání klíčové reklamy může být vyžadováno vyhledávání)	Jeden nebo dva další zpáteční lety na jedno spojení
Rychlost šifrování	Velmi rychlá kryptografie	Pomaleji
TCP port	Lze použít libovolný port TCP	Obvykle používá port 443, ale může použít libovolný port TCP
Bezpečnostní charakteristiky	Nebrání se nějakému muži uprostřed útoků	Odolává útokům člověka uprostřed

Navázání spojení

Server využívající ObsTCP inzeruje veřejný klíč a číslo portu.

A DNS „Záznam“ lze použít k inzerci podpory serveru pro ObsTCP (s a DNS „záznam CNAME“ poskytující „přátelské“ jméno). Místo toho lze také použít záznamy záhlaví HTTP nebo informace o sadě klíčů v mezipaměti.

Klient, který se připojuje k serveru ObsTCP, před připojením k serveru a šifrováním provozu analyzuje položky DNS, používá záznamy záhlaví HTTP nebo používá data v mezipaměti / mimo pásmo k získání veřejného klíče a čísla portu.

Viz také

Oportunistické šifrování
tcpcrypt (novější návrh s podobnými cíli)
Zabezpečení transportní vrstvy (TLS, také známý jako SSL)
IPsec

Reference

^ Adam Langley (2008-08-15). „Promiňte, lidi, myslím, že Obfuscated TCP zemřel“. Zmatený vývojový blog TCP.
^ Andrea Bittau; et al. (2010-08-13). Důvod pro všudypřítomné šifrování na úrovni přenosu (PDF). 19. bezpečnostní sympozium USENIX.
^ ^A ^b "Snuffle 2005". cr.yp.to. Citováno 2009-05-08.
^ Eddy, Wesley; Langley, Adam. "Rozšíření prostoru dostupného pro možnosti TCP". IETF. Citováno 2015-02-07.
^ „Popletená historie TCP“. Google. 2. října 2008. Archivovány od originál dne 8. 1. 2009. Citováno 2009-05-08.
^ „Curve25519: vysokorychlostní kryptografie eliptické křivky“. cr.yp.to. Citováno 2009-05-08.
^ „Popletení klienti TCP: Firefox“. Google. Citováno 2009-05-08.
^ "Instalace ObsTCP pomocí transportní vrstvy ObsTCP". Google. Citováno 2009-05-08.

[1] Adam Langley (2008-08-15). „Promiňte, lidi, myslím, že Obfuscated TCP zemřel“. Zmatený vývojový blog TCP.

[2] Andrea Bittau; et al. (2010-08-13). Důvod pro všudypřítomné šifrování na úrovni přenosu (PDF). 19. bezpečnostní sympozium USENIX.

[salsa-3] A ^b "Snuffle 2005". cr.yp.to. Citováno 2009-05-08.

[4] Eddy, Wesley; Langley, Adam. "Rozšíření prostoru dostupného pro možnosti TCP". IETF. Citováno 2015-02-07.

[5] „Popletená historie TCP“. Google. 2. října 2008. Archivovány od originál dne 8. 1. 2009. Citováno 2009-05-08.

[6] „Curve25519: vysokorychlostní kryptografie eliptické křivky“. cr.yp.to. Citováno 2009-05-08.

[7] „Popletení klienti TCP: Firefox“. Google. Citováno 2009-05-08.

[8] "Instalace ObsTCP pomocí transportní vrstvy ObsTCP". Google. Citováno 2009-05-08.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]