SDES on lyhenne sanoista Session Description Protocol Security Descriptions, joka voidaan kääntää SDP -tietoturvakuvauksiksi streamingille, joka on yksi Secure Real-time Transport SRTP -protokollan tärkeimmistä vaihtomenetelmistä . Internet Engineering Task Force ( IETF ) standardoi sen heinäkuussa 2006 nimellä RFC 4568. Arkistoitu 24. tammikuuta 2009 Wayback Machinessa .
Avainten siirtämiseen käytetään SDP - protokollan liitteitä SIP - Kutsuviesteissä. Tämä edellyttää SIP -palveluntarjoajan yksityisyyttä , minkä pitäisi varmistaa, että liite ei ole todennäköisen keskellä olevan miehen käytettävissä . Tämä voidaan saavuttaa käyttämällä TLS- siirtoa tai jotain muuta menetelmää, kuten S/MIME . TLS :n käyttö olettaa, että SIP -välityspalvelinketjun seuraavaan hyppyyn voidaan luottaa ja tämä täyttää kutsupyynnön turvallisuusvaatimukset. Tämän menetelmän etuna on, että se on erittäin helppo toteuttaa. Useat kehittäjät ovat jo ottaneet tämän menetelmän käyttöön. Vaikka jotkut kehittäjät eivät käytä riittävän turvallista avaintenvaihtomekanismia, tämän menetelmän käyttäminen de facto -standardina useimmissa sovelluksissa todella auttaa.
Havainnollistetaan tätä periaatetta esimerkillä, jossa puhelin lähettää soittopyynnön SIP - välityspalvelimelle. SIP - kutsupyynnön muoto ilmoittaa nimenomaisesti, että seuraava puhelu tulee tehdä turvallisena. Salausavain on base-64- koodattu SDP - liitteenä :
KUTSU sips:[email protected];user=phone SIP/2.0 Lähde: SIP/2.0/TLS 10.20.30.40:1055;branch=z9hG4bK-s5kcqq8jqjv3;rport Lähettäjä: "222" < sips:[email protected] >;tag=mogkxsrhm4 Vastaanottaja: < sips:[email protected];user=phone > Puhelutunnus: 3c269247a122-f0ee6wcrvkcq@CSCO79XX-000129287FC1 CSeq: 1 KUTSU Max eteenpäin: 70 Ota yhteyttä: < sip:[email protected]:1055;transport=tls;line=demoline >;reg-id=1 Käyttäjäagentti: CSCO79XX/8.3.2 Hyväksy: Application/sdp Salli: KUTSU, HYVÄKSY, PERUUTA, HEIKAI, VIITE, ASETUKSET, ILMOITTA, TILAA, PRACK, VIESTI, INFO Salli-tapahtumat: puhu, pidä, katso Tuetut: ajastin, 100rel, korvaa, soittaja Istunto-vanhenee: 3600;refresher=uas Min. SE: 90 Sisältötyyppi: sovellus/sdp Sisällön pituus: 477 v=0 o=juuri 2071608643 2071608643 IN IP4 10.20.30.40 s = soita c=IN IP4 10.20.30.40 t = 0 0 m = ääni 42501 RTP/AVP 0 8 9 18 4 101 a=crypto:1 AES_CM_128_HMAC_SHA1_32 inline:WbTBosdVUZqEb6Htqhn+m3z7wUh4RJVR8nE15GbN a=rtpmap:0pcmu/8000 a=rtpmap:8pcma/8000 a=rtpmap:9 g722/8000 a=rtpmap:18 g729/8000 a=rtpmap:4 g723/8000 a=rtpmap:101 phone-event/8000 a=fmtp:101 0-16 a=ptime:20 a=salaus:valinnainen a=sendrecvPuhelin vastaanottaa vastauksen välityspalvelimelta ja voi näin ollen järjestää kaksisuuntaisen (Tx / Rx) salatun yhteyden saatujen tietojen avulla:
SIP/2.0 200 Ok Lähde: SIP/2.0/TLS 10.20.30.40:1055; haara=z9hG4bK-s5kcqq8jqjv3;rport=62401; vastaanotettu=66.31.106.96 Lähettäjä: "222" < sips:[email protected] >;tag=mogkxsrhm4 Vastaanottaja: < sips:[email protected];user=phone >;tag=123456789 Puhelutunnus: 3c269247a122-f0ee6wcrvkcq@CSCO79XX-000413230A07 CSeq: 1 KUTSU Ota yhteyttä: < sip:[email protected]:5061;transport=tls > Tuetut: 100rel, korvaa Sallitut tapahtumat: katso Salli: INVITE, ACK, CANCEL, BYE, REFER, OPTIONS, PRACK, INFO Hyväksy: Application/sdp Käyttäjäagentti: Asterisk/1.4.21-1 Sisältötyyppi: sovellus/sdp Sisällön pituus: 298 v=0 o=- 349587934875 349587934875 IN IP4 10.0.0.1 s=- c=IN IP4 10.0.0.1 t = 0 0 m = ääni 57076 RTP/AVP 0 101 a=rtpmap:0pcmu/8000 a=rtpmap:101 phone-event/8000 a=fmtp:101 0-11 a=crypto:1 AES_CM_128_HMAC_SHA1_32 inline:bmt4MzIzMmYxdnFyaWM3d282dGR5Z3g0c2k5M3Yx a=ptime:20 a=sendrecvYleinen turvallisuusongelma on, että avainten vaihdon on tapahduttava ennen kuin ensimmäinen mediapaketti saapuu, jotta samat mediapaketit voidaan salata avaimilla. Ärsyttävien napsautusten välttämiseksi alussa ensimmäiset mediapaketit tulee jättää huomiotta. Tämä on yleensä hyvin lyhyt aika (alle 100 millisekuntia), joten tämä ei ole ongelma.
SDES-menetelmä ei tarjoa päästä päähän -median salausta. On kuitenkin kyseenalaista, kuinka realistinen tämä vaatimus on. Toisaalta lailliset lainvalvontaviranomaiset haluavat päästä käsiksi puhelinkeskustelujen sisältöön. Toisaalta monet muut parametrit - IP-osoitteet, porttinumerot, STUN -salasanat - saattavat vaatia suojaa DoS-hyökkäyksiltä .
Täydellisen mediaturvallisuuden takaamiseksi sinun on lisäksi ensin muodostettava suora luottamussuhde toisen osapuolen (tilaajan) kanssa. Jos käytät avaimenvaihtoinfrastruktuuria, jossa välissä on varmenneviranomainen, tulee aina yhteyden muodostukseen viive, jossa kummankin osapuolen on tunnistettava avaimensa sellaisessa viranomaisessa, mikä vaikeuttaa keskustelun aloittamista. Jos käytetään vertaisyhteyttä , toisen osapuolen tunnistaminen on vaikeaa. Esimerkiksi operaattori kehittää B2BUA- arkkitehtuuria ja tilaajat pakotetaan muodostamaan yhteyttä ei suoraan, vaan IP-PBX :n kautta . Tässä tapauksessa miehen "läsnäolo" mahdollisuus keskellä kasvaa, eikä täydellisestä turvallisuudesta voi puhua.