Tcpcrypt

tcpcrypt on TCP - protokollan  laajennus , joka lisää mahdollisuuden salata liikennettä opportunistisesti TCP:hen [1] [2] . Jos yksi tilaajista ei tue tcpcrypt-laajennusta, muodostetaan tavallinen TCP-yhteys. Jos molemmat tilaajat tukevat tcpcryptia, tiedot salataan läpinäkyvästi sovelluksille (sovellustukea ei vaadita; konfigurointia ei vaadita (toisin kuin VPN )).

Laajennuksen kuvaus

tcpcrypt-laajennus luotiin ratkaisemaan seuraavat tehtävät:

• liikenteen salaus ;
• tietojen eheyden varmistaminen .

tcpcrypt-laajennus, toisin kuin TLS- ja IPsec -protokollat , ei sisällä käyttäjän todennustyökaluja , mutta tarjoaa "Session ID" -kentän. "Istuntotunnusta" voidaan käyttää OSI-verkkomallin korkeammilla tasoilla minkä tahansa todennusmallin toteuttamiseen (esimerkiksi todennus salasanoin tai todennus PKI -varmenteilla ).

Tcpcrypt-laajennuksen toiminta on läpinäkyvää sovelluksille (eli tcpcryptin tukemiseen ei vaadita sovelluksen muutoksia). Oletustapauksessa (ilman todennusta ) laajennus ei vaadi määrityksiä. Kuitenkin, kun laajennus suoritetaan ilman todennusta, se on alttiina aktiiviselle [3] man-in-the-middle -hyökkäykselle .

Suurin osa yhteyden muodostamistyöstä (salauksen järjestäminen julkisella avaimella) tehdään asiakaspuolella. Tämä tehdään tarkoituksella palvelinten kuormituksen vähentämiseksi ja DoS-hyökkäysten todennäköisyyden vähentämiseksi [4] .

Kirjoittajien tutkimuksen mukaan tcpcrypt-laajennusta käytettäessä TCP / TLS :ään verrattuna palvelimen kuormitus pienenee yksinkertaisemman ja nopeamman kättelymenettelyn ansiosta . 

tcpcrypt-laajennus käyttää TCP-aikaleimoja ja lisää useita TCP-vaihtoehtojaan jokaiseen pakettiin. Tästä johtuen paketin koko kasvaa 36 tavua verrattuna tavallisen TCP-paketin kokoon. Jos oletetaan, että TCP-pakettien keskimääräinen koko on 471 tavua [5] , linkin suorituskyky pienenee 8 %. Käyttäjien, joiden kaistanleveys on yli 64 kb/s, ei pitäisi havaita eroa, mutta puhelinverkkoyhteyden käyttäjät voivat kokea huomattavia hidastuksia.

Historia

tcpcrypt-laajennuksen on suunnitellut kuuden hengen tiimi [6] :

• Andrea Bittau
• Mike Hampuri
• Handley
• David Mazieres
• Dan Boneh
• Quinn Slack

ja esiteltiin 19. USENIX - tietoturvasymposiumissa vuonna 2010.

Heinäkuussa 2010 julkaistiin spesifikaation ensimmäinen luonnos ja elokuussa 2010 referenssitoteutuksen lähdekoodit . Organisaation " IETF " edustajat tutustuivat luonnokseen, mutta standardia ei hyväksytty. Tämän vuoksi hanketta ei kehitetty ennen vuotta 2011 [7] .

Vuosina 2013-2014 Edward Snowden paljasti tietoja NSA :n ja muiden valtion järjestöjen suorittamasta Internetin käyttäjien massavalvonnasta . IETF päätti suojella käyttäjiä valvonnalta luomalla suojattuja Internet-protokollia [8] [9] . Tcpcrypt-laajennus salasi läpinäkyvästi kaiken liikenteen, ja IETF osoitti kiinnostusta sen standardoimiseen.

Maaliskuussa 2014 IETF loi postituslistan  keskustellakseen tcpcryptistä [ 10] . Kesäkuussa 2014 IETF muodosti työryhmän nimeltä "TCPINC" ( englanninkielisestä sanasta  TCP lisätty turvallisuus ) standardoimaan tcpcrypt-laajennusta [11] ja julkaisi uuden luonnoksen spesifikaatiosta.

Luonnos ( englanninkielinen  internet luonnos ) löytyy linkistä  (inacaccessible link) [12] .

Toteutukset

Tcpcrypt-laajennuksen toteutuksia on valmisteltu useille käyttöjärjestelmille : Linux , FreeBSD , Windows ja Mac OS X. Kaikki toteutukset:

• työskennellä käyttäjätilassa ;
• katsotaan kokeellisiksi , ja käyttäjät ovat raportoineet niiden olevan epävakaita .  

IPv6 - protokollaa tukee tällä hetkellä vain Linux - toteutus .

On odotettavissa, että kun tcpcrypt-laajennus on standardoitu, sisäänrakennetut toteutukset näkyvät kaikissa käyttöjärjestelmissä.

Katso myös

• TCP
• SSL / TLS
• IPsec
• VPN
• DTLS
• Obfuskoitu TCP on aikaisempi yritys toteuttaa opportunistinen salaus TCP :lle.

Muistiinpanot

1. ↑ Andrea Bittau; et ai. (13.8.2010). Ubiquitous Transport-tason salauksen (PDF) tapaus . 19. USENIX Security Symposium. Arkistoitu 18. marraskuuta 2011 Wayback Machinessa
2. ↑ Michael Cooney . Onko kaikkialla läsnä oleva salaustekniikka horisontissa? , Network World  (19. heinäkuuta 2010). Arkistoitu alkuperäisestä 20. lokakuuta 2013. Haettu 25. maaliskuuta 2015.
3. ↑ Passiivinen hyökkäys – liikenteen kuunteleminen .  Aktiivinen ( englanniksi active ) hyökkäys - liikennemuutos.
    
4. ↑ Jake Edge . Kuljetustason salaus Tcpcryptillä , LWN.net  (25. elokuuta 2010). Arkistoitu alkuperäisestä 2. huhtikuuta 2015. Haettu 25. maaliskuuta 2015.
5. ↑ "Sean McCreary ja kc klaffy". Suuntaukset laaja-alaisen IP-liikenteen kuvioissa Näkymä Ames Internet Exchangesta . Haettu 25. maaliskuuta 2015. Arkistoitu alkuperäisestä 2. huhtikuuta 2015. (määrätön)
6. ↑ tcpcrypt - Tietoja meistä . tcpcrypt.org. Haettu 25. maaliskuuta 2015. Arkistoitu alkuperäisestä 28. maaliskuuta 2015. (määrätön)
7. ↑ Mark Handley. Ytimen korjaustiedosto Linux 3.10.10:lle? . Postituslista ( 09.09.2013 ) . _ Haettu: 25. maaliskuuta 2015. (määrätön)
8. ↑ Richard Chirgwin . IETF suunnittelee NSA-suojattua kaikki tulevat Internet-protokollat , The Register  ( 14. toukokuuta 2014 ) . Arkistoitu alkuperäisestä 7. heinäkuuta 2017. Haettu 29.9.2017.
9. ↑ Mark Jackson . IETF sitoutuu vaikeuttamaan valtion sponsoroimaa Internet-massavalvontaa , ISP Review ( 13. toukokuuta 2014 ) . Arkistoitu alkuperäisestä 2. huhtikuuta 2015. Haettu 25. maaliskuuta 2015.
10. ↑ Uusi ei-WG-postituslista: Tcpcrypt - Keskustelulista salauksen lisäämiseksi TCP:hen . Postituslista ( 24.3.2014 ) _ _ Haettu: 25. maaliskuuta 2015. (määrätön)
11. ↑ TCP:n parannettu suojaus (tcpinc) . Työryhmän peruskirja . Käyttöönottopäivä : 25.07 . 2014 . Arkistoitu alkuperäisestä 29. maaliskuuta 2015. (määrätön)
12. ↑ Bittau, A. ( 21.07.2014 ) , TCP-virtojen salaussuojaus (tcpcrypt ) , IETF 

Linkit

• tcpcrypt.org  (englanniksi)  on tcpcrypt-projektin virallinen verkkosivusto.
• https://github.com/scslab/tcpcrypt/  - lähdekoodi tcpcrypt-toteutuksiin useille käyttöjärjestelmille .
• tcpcrypt-protokolla - kokonaisliikenteen salaus  (rus.)  - Tietoja tcpcrypt-protokollasta