Interested Article - Tcpcrypt

cathleen
  • 2021-05-24
  • 1

tcpcrypt — расширение протокола TCP , добавляющее в TCP возможность оппортунистического шифрования трафика . В случае, если один из абонентов не поддерживает расширение tcpcrypt, устанавливается обычное TCP-соединение. Если оба абонента поддерживают tcpcrypt, данные шифруются незаметно для приложений (поддержка со стороны приложений не требуется; настройка не требуется (в отличие от VPN )).

Описание расширения

Расширение tcpcrypt создано для решения следующих задач:

Расширение tcpcrypt, в отличие от протоколов TLS и IPsec , не содержит средств аутентификации пользователей, но предоставляет поле «Session ID». «Session ID» может использоваться на более высоких уровнях сетевой модели OSI для реализации любых схем аутентификации (например, аутентификации с помощью паролей или аутентификации с помощью сертификатов PKI ).

Работа расширения tcpcrypt является прозрачной для приложений (то есть, для поддержки tcpcrypt модификация приложения не требуется). В случае работы по умолчанию (без аутентификации ) расширение не требует настройки. Однако, при работе без аутентификации расширение уязвимо для активной атаки человек посредине .

Большая часть работы по установке соединения (организации шифрования с использованием открытого ключа) выполняется на стороне клиента. Это сделано намеренно для уменьшения нагрузки на сервера и снижения вероятности DoS-атак .

Согласно исследованиям авторов, при использовании расширения tcpcrypt, по сравнению с TCP / TLS , нагрузка на сервера снижается за счёт более простой и быстрой процедуры рукопожатия ( англ. handshake ).

Расширение tcpcrypt использует TCP timestamps и добавляет в каждый пакет несколько своих TCP options. Из-за этого размер пакета увеличивается на 36 байт по сравнению с размером обычного TCP пакета. Если принять средний размер пакета TCP равным 471 байту , пропускная способность канала уменьшится на 8 %. Пользователи со скоростью канала, превышающей 64kbs, не должны заметить разницы, но работа пользователей dial up может существенно замедлиться.

История

Расширение tcpcrypt спроектировано командой из шести человек :

  • Andrea Bittau
  • Mike Hamburg
  • David Mazières
  • Dan Boneh
  • Quinn Slack

и представлено на 19-м собрании « USENIX security symposium» в 2010 году.

В июле 2010 был опубликован первый черновик спецификации, а в августе 2010 — исходные коды эталонной реализации . Представители организации « IETF » ознакомились с черновиком, но стандарт не приняли. Из-за этого проект не развивался до 2011 года .

В 2013‑2014 годах Эдвард Сноуден раскрыл информацию о массовой слежке АНБ и других правительственных организаций за пользователями интернета. IETF решила защитить пользователей от слежки путём создания безопасных протоколов интернета . Расширение tcpcrypt выполняло прозрачное шифрование всего трафика, и IETF проявила интерес к его стандартизации.

В марте 2014 года IETF создала список рассылки ( англ. mailing list ) для обсуждения tcpcrypt . В июне 2014 года IETF сформировала рабочую группу под названием «TCPINC» (от англ. TCP increased security ) для стандартизации расширения tcpcrypt и опубликовала новый черновик спецификации.

С черновиком ( англ. internet draft ) можно ознакомиться по (недоступная ссылка) .

Реализации

Реализации расширения tcpcrypt подготовлены для нескольких операционных систем : Linux , FreeBSD , Windows и Mac OS X . Все реализации:

Протокол IPv6 пока поддерживается только реализацией для ОС Linux .

Ожидается, что после стандартизации расширения tcpcrypt, встроенные реализации появятся во всех операционных системах.

См. также

Примечания

  1. Andrea Bittau; et al. (2010-08-13). (PDF) . 19th USENIX Security Symposium. {{ cite conference }} : Явное указание et al. в: |author= ( справка ) . Дата обращения: 25 марта 2015. Архивировано 18 ноября 2011 года.
  2. Michael Cooney (2010-07-19). . Network World . из оригинала 20 октября 2013 . Дата обращения: 25 марта 2015 .
  3. Пассивная ( англ. passive ) атака — прослушивание трафика.
    Активная ( англ. active ) атака — изменение трафика.
  4. Jake Edge (2010-08-25). . LWN.net . из оригинала 2 апреля 2015 . Дата обращения: 25 марта 2015 .
  5. "Sean McCreary and kc klaffy". . Дата обращения: 25 марта 2015. 2 апреля 2015 года.
  6. . tcpcrypt.org. Дата обращения: 25 марта 2015. 28 марта 2015 года.
  7. Mark Handley ( 09.09 . 2013 ). (Mailing list). из оригинала 27 июля 2014 . Дата обращения: 25 марта 2015 . Two years ago we failed to get much traction for the takeup of tcpcrypt. {{ cite mailing list }} : Проверьте значение даты: |date= ( справка )
  8. Richard Chirgwin ( 14.05 . 2014 ). . The Register . из оригинала 7 июля 2017 . Дата обращения: 29 сентября 2017 . {{ cite news }} : Проверьте значение даты: |date= ( справка )
  9. Mark Jackson ( 13.05 . 2014 ). . ISP Review. из оригинала 2 апреля 2015 . Дата обращения: 25 марта 2015 . {{ cite news }} : Проверьте значение даты: |date= ( справка )
  10. (Mailing list). IETF Secretariat. 24.03 . 2014 . из оригинала 24 сентября 2015 . Дата обращения: 25 марта 2015 . {{ cite mailing list }} : Проверьте значение даты: |date= ( справка )
  11. . Charter for Working Group . Дата обращения: 25.07 . 2014 . 29 марта 2015 года.
  12. Bittau, A. ( 21.07 . 2014 ), Cryptographic protection of TCP Streams (tcpcrypt) , IETF {{ citation }} : Проверьте значение даты: |date= ( справка ) ; Неизвестный параметр |coauthors= игнорируется ( |author= предлагается) ( справка ) ; Неизвестный параметр |draft= игнорируется ( справка )

Ссылки

  • (англ.) — официальный сайт проекта tcpcrypt.
  • — исходный код реализаций tcpcrypt для нескольких ОС .
  • (рус.) — О протоколе tcpcrypt
Источник —

cathleen
  • 2021-05-24
  • 1
  • Tags:

Same as Tcpcrypt

The title for the last searches