Tcpcrypt

tcpcrypt  este o extensie a protocolului TCP care adaugă capacitatea de a cripta oportunist traficul către TCP [1] [2] . Dacă unul dintre abonați nu acceptă extensia tcpcrypt, se stabilește o conexiune TCP obișnuită. Dacă ambii abonați acceptă tcpcrypt, datele sunt criptate transparent pentru aplicații (nu este necesar suportul pentru aplicații; nu este necesară nicio configurare (spre deosebire de VPN )).

Descrierea extensiei

Extensia tcpcrypt a fost creată pentru a rezolva următoarele sarcini:

Extensia tcpcrypt, spre deosebire de protocoalele TLS și IPsec , nu conține instrumente de autentificare a utilizatorilor , dar oferă un câmp „Session ID”. „Session ID” poate fi utilizat la nivelurile superioare ale modelului de rețea OSI pentru a implementa orice schemă de autentificare (de exemplu, autentificare cu parole sau autentificare cu certificate PKI ).

Funcționarea extensiei tcpcrypt este transparentă pentru aplicații (adică nu este necesară nicio modificare a aplicației pentru a suporta tcpcrypt). În cazul implicit (fără autentificare ), extensia nu necesită configurare. Cu toate acestea, atunci când rulează fără autentificare, extensia este vulnerabilă la un atac activ [3] man-in-the-middle .

Cea mai mare parte a muncii de stabilire a unei conexiuni (aranjarea criptării utilizând o cheie publică) se face pe partea clientului. Acest lucru se face în mod intenționat pentru a reduce sarcina pe servere și pentru a reduce probabilitatea atacurilor DoS [4] .

Conform cercetărilor autorilor, atunci când se folosește extensia tcpcrypt, în comparație cu TCP / TLS , încărcarea serverului este redusă datorită unei proceduri de strângere de mână mai simple și mai rapide . 

Extensia tcpcrypt folosește marcaje temporale TCP și adaugă câteva dintre opțiunile sale TCP la fiecare pachet. Din această cauză, dimensiunea pachetului este mărită cu 36 de octeți în comparație cu dimensiunea unui pachet TCP obișnuit. Dacă presupunem că dimensiunea medie a pachetului TCP este de 471 de octeți [5] , debitul legăturii va scădea cu 8%. Utilizatorii cu lățimi de bandă mai mari de 64 kb nu ar trebui să observe o diferență, dar utilizatorii dial-up pot experimenta încetiniri semnificative.

Istorie

Extensia tcpcrypt este concepută de o echipă de șase persoane [6] :

și a fost prezentat la cel de-al 19-lea simpozion de securitate USENIX în 2010.

În iulie 2010 a fost publicată prima schiță a caietului de sarcini, iar în august 2010, codurile sursă pentru implementarea de referință . Reprezentanții organizației „ IETF ” s-au familiarizat cu proiectul, dar standardul nu a fost acceptat. Din această cauză, proiectul nu s-a dezvoltat decât în ​​2011 [7] .

În 2013-2014, Edward Snowden a dezvăluit informații despre supravegherea în masă a utilizatorilor de internet de către NSA și alte organizații guvernamentale. IETF a decis să protejeze utilizatorii de supraveghere prin crearea de protocoale securizate de Internet [8] [9] . Extensia tcpcrypt a criptat în mod transparent tot traficul, iar IETF și-a arătat interesul în standardizarea acestuia.

În martie 2014, IETF a creat o listă de corespondență  pentru a discuta despre tcpcrypt [10] . În iunie 2014, IETF a format un grup de lucru numit „TCPINC” (din limba engleză TCP enhanced security ) pentru a standardiza extensia tcpcrypt [11] și a publicat o nouă versiune a specificației.  

Proiectul ( English  internet draft ) poate fi găsit la link  (link inaccesibil) [12] .

Implementări

Au fost pregătite implementări ale extensiei tcpcrypt pentru mai multe sisteme de operare : Linux , FreeBSD , Windows și Mac OS X. Toate implementările:

În prezent, protocolul IPv6 este acceptat doar de implementarea Linux .

Este de așteptat ca odată ce extensia tcpcrypt este standardizată, implementările încorporate vor apărea pe toate sistemele de operare.

Vezi și

Note

  1. Andrea Bittau; et al. (13.08.2010). Cazul pentru criptarea la nivel de transport omniprezent (PDF) . Al 19-lea simpozion de securitate USENIX. Arhivat pe 18 noiembrie 2011 la Wayback Machine
  2. Michael Cooney . Tehnologia de criptare omniprezentă este la orizont? , Network World  (19 iulie 2010). Arhivat din original pe 20 octombrie 2013. Preluat la 25 martie 2015.
  3. Atac pasiv - ascultarea traficului .  Atac activ ( în engleză activ ) - modificarea traficului.
     
  4. Jake Edge . Criptare la nivel de transport cu Tcpcrypt , LWN.net  (25 august 2010). Arhivat din original pe 2 aprilie 2015. Preluat la 25 martie 2015.
  5. „Sean McCreary și kc klaffy”. Tendințe în modelele de trafic IP pe arii extinse O vedere din Ames Internet Exchange . Preluat la 25 martie 2015. Arhivat din original la 2 aprilie 2015.
  6. tcpcrypt - Despre noi . tcpcrypt.org. Consultat la 25 martie 2015. Arhivat din original pe 28 martie 2015.
  7. Mark Handley. Patch kernel pentru Linux 3.10.10? . Lista de corespondență ( 09.09.2013 ) . Preluat: 25 martie 2015.
  8. Richard Chirgwin . IETF intenționează să protejeze NSA toate protocoalele de internet viitoare , The Register  ( 14 mai 2014 ) . Arhivat din original pe 7 iulie 2017. Preluat la 29 septembrie 2017.
  9. Mark Jackson . IETF se angajează să împiedice supravegherea în masă a internetului sponsorizată de stat , revizuire ISP ( 13 mai 2014 ) . Arhivat din original pe 2 aprilie 2015. Preluat la 25 martie 2015.
  10. Listă de corespondență nouă non-WG: Tcpcrypt -- Listă de discuții pentru adăugarea criptării la TCP . Lista de corespondență ( 24.03.2014 ) . Preluat: 25 martie 2015.
  11. Securitate sporită TCP (tcpinc) . Carta pentru grupul de lucru . Data accesului: 25.07 . 2014 . Arhivat din original pe 29 martie 2015.
  12. Bittau, A. ( 21.07.2014 ) , Cryptographic protection of TCP Streams (tcpcrypt ) , IETF 

Link -uri