Безопасность на транспортном уровне дейтаграмм - Datagram Transport Layer Security
Безопасность на транспортном уровне дейтаграмм (DTLS) это протокол связи что обеспечивает безопасность за дейтаграмма -основанные приложения, позволяя им общаться таким образом, который разработан[1][2] предотвращать подслушивание, вмешательство, или же подделка сообщений. Протокол DTLS основан на транслировать ориентированный Безопасность транспортного уровня (TLS) и предназначен для предоставления аналогичных гарантий безопасности. Дейтаграмма протокола DTLS сохраняет семантику базового транспорта - приложение не страдает от задержек, связанных с потоковыми протоколами, а потому, что оно использует UDP, приложение должно иметь дело с переупорядочивание пакетов, потеря дейтаграммы и данных больше, чем размер дейтаграммы сетевой пакет. Поскольку DTLS использует UDP, а не TCP, он позволяет избежать «проблемы срыва TCP»,[3][4] при использовании для создания VPN-туннеля.
Определение
Следующие документы определяют DTLS:
- RFC 6347 для использования с Протокол пользовательских датаграмм (UDP),
- RFC 5238 для использования с Протокол управления перегрузкой дейтаграмм (DCCP),
- RFC 5415 для использования с Контроль и предоставление беспроводных точек доступа (CAPWAP),
- RFC 6083 для использования с Протокол передачи управления потоком (SCTP) инкапсуляция,
- RFC 5764 для использования с Безопасный транспортный протокол в реальном времени (SRTP) впоследствии называется DTLS-SRTP в черновике с Безопасный протокол управления транспортировкой в реальном времени (SRTCP).[5]
DTLS 1.0 основан на TLS 1.1, а DTLS 1.2 основан на TLS 1.2. Нет DTLS 1.1; этот номер версии был пропущен, чтобы согласовать номера версий с TLS.[2]
Реализации
Библиотеки
| Выполнение | DTLS 1.0[1] | DTLS 1.2[2] |
|---|---|---|
| Ботан | да | да |
| cryptlib | Нет | Нет |
| GnuTLS | да | да |
| Расширение защищенного сокета Java | да | да |
| LibreSSL | да | Нет |
| libsystools[6] | да | Нет |
| MatrixSSL | да | да |
| mbed TLS (ранее PolarSSL) | да[7] | да[7] |
| Услуги сетевой безопасности | да[8] | да[9] |
| OpenSSL | да | да[10] |
| PyDTLS[11][12] | да | да |
| Python3-dtls[13][14] | да | да |
| RSA BSAFE | Нет | Нет |
| s2n | Нет | Нет |
| SChannel XP / 2003, Vista / 2008 | Нет | Нет |
| SChannel 7 / 2008R2, 8/2012, 8.1 / 2012R2, 10 | да[15] | Нет[15] |
| SC канал 10 (1607), 2016 | да | да[16] |
| Безопасный транспорт OS X 10.2–10.7 / iOS 1–4 | Нет | Нет |
| Безопасный транспорт OS X 10.8–10.10 / iOS 5–8 | да[17] | Нет |
| SharkSSL | Нет | Нет |
| tinydtls [18] | Нет | да |
| Waher.Security.DTLS [19] | Нет | да |
| wolfSSL (ранее CyaSSL) | да | да |
| @ nodertc / dtls [20][21] | Нет | да |
| java-dtls[22] | да | да |
| пион / дтлс[23] (Идти) | Нет | да |
| калифорний / скандий[24] (Ява) | Нет | да |
| SNF4J[25] (Ява) | да | да |
| Выполнение | DTLS 1.0 | DTLS 1.2 |
Приложения
- Cisco AnyConnect VPN-клиент использует TLS и изобрел VPN на основе DTLS.[26]
- OpenConnect является клиентом с открытым исходным кодом, совместимым с AnyConnect, и ocserv сервер, поддерживающий (D) TLS. [27]
- Cisco InterCloud Fabric использует DTLS для формирования туннеля между частной и общедоступной вычислительной средой / вычислительной средой поставщика.[28]
- ZScaler 2.0 (популярное решение ZTN) использует DTLS для туннелирования [29]
- F5 Сети Edge VPN-клиент использует TLS и DTLS[30]
- Citrix Systems NetScaler использует DTLS для защиты UDP[31]
- Веб-браузеры: Гугл Хром, Опера и Fire Fox поддержка DTLS-SRTP[32] за WebRTC
Уязвимости
В феврале 2013 года два исследователя из Лондонского университета Ройял Холлоуэй обнаружили атаку.[33] что позволило им восстанавливать открытый текст из DTLS-соединения с использованием OpenSSL-реализации DTLS, когда Цепочка блоков шифра был использован режим шифрования.
Смотрите также
Рекомендации
- ^ а б Рескорла, Эрик; Модадугу, Нагендра (апрель 2006 г.). Безопасность на транспортном уровне дейтаграмм. Дои:10.17487 / RFC4347. RFC 4347.
- ^ а б c Рескорла, Эрик; Модадугу, Нагендра (январь 2012 г.). Дейтаграмма Transport Layer Security версии 1.2. Дои:10.17487 / RFC6347. RFC 6347.
- ^ Титц, Олаф (2001-04-23). «Почему TCP поверх TCP - плохая идея». Получено 2015-10-17.
- ^ Хонда, Осаму; Осаки, Хироюки; Имасе, Макото; Ишизука, Мика; Мураяма, Джуничи (октябрь 2005 г.). Атикуззаман, Мохаммед; Баландин Сергей I (ред.). «Производительность, качество обслуживания и управление коммуникационными и сенсорными сетями нового поколения III». 6011: 60110H. Bibcode:2005SPIE.6011..138H. CiteSeerX 10.1.1.78.5815. Дои:10.1117/12.630496. S2CID 8945952. Цитировать журнал требует
| журнал =(помощь);| chapter =игнорируется (помощь) - ^ Peck, M .; Иго, К. (25 сентября 2012 г.). «Профиль Suite B для защиты на уровне передачи дейтаграмм / безопасного транспортного протокола в реальном времени (DTLS-SRTP)». IETF.
- ^ Жюльен Кауфманн. "libsystools: библиотека TLS / DTLS с открытым исходным кодом для Windows / Linux с использованием OpenSSL". Sourceforge.
- ^ а б "Выпущен mbed TLS 2.0.0". РУКА. 2015-07-13. Получено 2015-08-25.
- ^ «Примечания к выпуску NSS 3.14». Сеть разработчиков Mozilla. Mozilla. Получено 2012-10-27.
- ^ «Примечания к выпуску NSS 3.16.2». Сеть разработчиков Mozilla. Mozilla. 2014-06-30. Получено 2014-06-30.
- ^ «Начиная с версии 1.0.2». Проект OpenSSL. Проект OpenSSL. 2015-01-22. Получено 2015-01-26.
- ^ Рэй Браун. "pydtls - безопасность транспортного уровня дейтаграмм для Python". GitHub.
- ^ Рэй Браун. «DTLS для Python». Фонд программного обеспечения Python.
- ^ Рэй Браун / Mobius Software LTD. "pydtls - безопасность транспортного уровня дейтаграмм для Python". GitHub.
- ^ Рэй Браун / Mobius Software LTD. «DTLS для Python3 на основе PyDTLS». Фонд программного обеспечения Python.
- ^ а б «Доступно обновление, которое добавляет поддержку DTLS в Windows 7 SP1 и Windows Server 2008 R2 SP1». Microsoft. Получено 13 ноября 2012.
- ^ Джастинья. «Изменения TLS (Schannel SSP) в Windows 10 и Windows Server 2016». docs.microsoft.com. Получено 2017-09-01.
- ^ «Техническое примечание TN2287: проблемы взаимодействия iOS 5 и TLS 1.2». Библиотека разработчика iOS. Apple Inc.. Получено 2012-05-03.
- ^ Олаф Бергманн. "tinydtls". Фонд Затмения.
- ^ Питер Вахер. "Waher.Security.DTLS". Waher Data AB.
- ^ Дмитрий Цветцих. «Безопасная связь UDP с использованием DTLS в чистом js». GitHub.
- ^ Дмитрий Цветцих. «DTLS на чистом js». npm.
- ^ Mobius Software LTD. «Неблокирующая реализация Java DTLS на основе BouncyCastle и Netty». Mobius Software LTD.
- ^ Шон Дюбуа. "pion / dtls: реализация сервера / клиента DTLS 1.2 для Go". GitHub.
- ^ "californium / scandium: реализация сервера / клиента DTLS 1.2 для java и coap. Включает расширение идентификатора подключения". Фонд Затмения.
- ^ SNF4J.ORG. «Простая сетевая структура для Java (SNF4J)». GitHub.
- ^ «AnyConnect FAQ: туннели, поведение при повторном подключении и таймер бездействия». Cisco. Получено 26 февраля 2017.
- ^ «OpenConnect». OpenConnect. Получено 26 февраля 2017.
- ^ «Обзор архитектуры Cisco InterCloud» (PDF). Cisco Systems.
- ^ «ZScaler ZTNA 2.0 Tunnel». ZScaler.
- ^ «f5 Datagram Transport Layer Security (DTLS)». f5 сети.
- ^ «Настройка виртуального сервера DTLS». Citrix Systems.
- ^ «Заметки о взаимодействии WebRTC». Архивировано из оригинал на 2013-05-11.
- ^ Атаки восстановления открытого текста на датаграмму TLS
внешняя ссылка
- «Безопасность транспортного уровня (TLS) - Устав». IETF.
- Модадугу, Нагендра; Рескорла, Эрик (21 ноября 2003 г.). «Дизайн и реализация дейтаграммы TLS» (PDF). Стэнфорд Крипто Группа. Получено 2013-03-17.
- AlFardan, Nadhem J .; Патерсон, Кеннет Г. «Атаки восстановления открытого текста на датаграмму TLS» (PDF). Получено 2013-11-25.
- Гибсон, Стив; Ляпорт, Лео (2012-11-28). «Безопасность на транспортном уровне дейтаграмм». Безопасность сейчас 380. Получено 2013-03-17. Переходите к 1:07:14.
- Робин Зеггельманн Образец кода: эхо, генератор символов и отбросить клиент / серверы.
Статья основана на материалах, взятых из Бесплатный онлайн-словарь по вычислительной технике до 1 ноября 2008 г. и зарегистрированы в соответствии с условиями «перелицензирования» GFDL, версия 1.3 или новее.