Tcpcrypt

tcpcrypt er en udvidelse til TCP -protokollen , der tilføjer muligheden for opportunistisk at kryptere trafik til TCP [1] [2] . Hvis en af abonnenterne ikke understøtter tcpcrypt-udvidelsen, etableres en almindelig TCP-forbindelse. Hvis begge abonnenter understøtter tcpcrypt, krypteres dataene gennemsigtigt til applikationer (applikationsunderstøttelse er ikke påkrævet; ingen konfiguration er påkrævet (i modsætning til VPN )).

Beskrivelse af udvidelsen

tcpcrypt-udvidelsen blev oprettet for at løse følgende opgaver:

trafikkryptering ;
sikring af dataintegritet .

tcpcrypt-udvidelsen, i modsætning til TLS- og IPsec -protokollerne , indeholder ikke brugergodkendelsesværktøjer , men giver et "Session-ID"-felt. "Sessions-ID" kan bruges på højere niveauer af OSI-netværksmodellen til at implementere enhver godkendelsesordning (f.eks. godkendelse med adgangskoder eller godkendelse med PKI- certifikater ).

Betjeningen af tcpcrypt-udvidelsen er gennemsigtig for applikationer (dvs. ingen applikationsændring er nødvendig for at understøtte tcpcrypt). I standardtilfældet (uden godkendelse ) kræver udvidelsen ikke konfiguration. Men når den kører uden godkendelse, er udvidelsen sårbar over for et aktivt [3] man-in-the-middle- angreb .

Det meste af arbejdet med at etablere en forbindelse (arrangering af kryptering ved hjælp af en offentlig nøgle) foregår på klientsiden. Dette gøres med vilje for at reducere belastningen på serverne og reducere sandsynligheden for DoS-angreb [4] .

Ifølge forfatternes forskning reduceres serverbelastningen ved brug af tcpcrypt-udvidelsen sammenlignet med TCP / TLS på grund af en enklere og hurtigere handshake - procedure .

tcpcrypt-udvidelsen bruger TCP-tidsstempler og tilføjer flere af sine TCP-indstillinger til hver pakke. På grund af dette øges pakkestørrelsen med 36 bytes sammenlignet med størrelsen på en normal TCP-pakke. Hvis vi antager, at den gennemsnitlige TCP-pakkestørrelse er 471 bytes [5] , vil linkgennemstrømningen falde med 8%. Brugere med båndbredder større end 64 kbs bør ikke bemærke en forskel, men opkaldsbrugere kan opleve betydelige opbremsninger.

Historie

tcpcrypt-udvidelsen er designet af et team på seks personer [6] :

Andrea Bittau
Mike Hamburg
Handley
David Mazieres
Dan Boneh
Quinn Slack

og præsenteret på det 19. USENIX sikkerhedssymposium i 2010.

I juli 2010 blev det første udkast til specifikationen offentliggjort, og i august 2010 kildekoderne til referenceimplementeringen . Repræsentanter for organisationen " IETF " stiftede bekendtskab med udkastet, men standarden blev ikke accepteret. På grund af dette udviklede projektet sig først i 2011 [7] .

I 2013-2014 afslørede Edward Snowden oplysninger om NSA 's og andre regeringsorganisationers masseovervågning af internetbrugere. IETF besluttede at beskytte brugere mod overvågning ved at skabe sikre internetprotokoller [8] [9] . tcpcrypt-udvidelsen krypterede gennemsigtigt al trafik, og IETF viste interesse i at standardisere den.

I marts 2014 oprettede IETF en mailingliste for at diskutere tcpcrypt [ 10] . I juni 2014 dannede IETF en arbejdsgruppe kaldet "TCPINC" (fra det engelske TCP øget sikkerhed ) for at standardisere tcpcrypt-udvidelsen [11] og offentliggjorde et nyt udkast til specifikationen.

Udkastet ( engelsk internetudkast ) kan findes på linket (utilgængeligt link) [12] .

Implementeringer

Implementeringer af tcpcrypt-udvidelsen er blevet forberedt til flere operativsystemer : Linux , FreeBSD , Windows og Mac OS X. Alle implementeringer:

arbejde i brugerrummet ;
betragtes som eksperimentelle og rapporteres af brugere som ustabile .

IPv6-protokollen understøttes i øjeblikket kun af Linux - implementeringen .

Det forventes, at når tcpcrypt-udvidelsen er standardiseret, vil indbyggede implementeringer dukke op på alle operativsystemer.

Se også

TCP
SSL / TLS
IPsec
VPN
DTLS
Obfuscated TCP er et tidligere forsøg på at implementere opportunistisk kryptering for TCP .

Noter

↑ Andrea Bittau; et al. (2010-08-13). Sagen om allestedsnærværende kryptering på transportniveau (PDF) . 19. USENIX Sikkerhedssymposium. Arkiveret 18. november 2011 på Wayback Machine
↑ Michael Cooney . Er allestedsnærværende krypteringsteknologi i horisonten? , Network World (19. juli 2010). Arkiveret fra originalen den 20. oktober 2013. Hentet 25. marts 2015.
↑ Passivt angreb - lytning til trafik . Aktivt ( engelsk aktivt ) angreb - trafikændring.
↑ Jake Edge . Kryptering på transportniveau med Tcpcrypt , LWN.net (25. august 2010). Arkiveret fra originalen den 2. april 2015. Hentet 25. marts 2015.
↑ "Sean McCreary og kc klaffy". Tendenser i Wide Area IP-trafikmønstre En visning fra Ames Internet Exchange . Hentet 25. marts 2015. Arkiveret fra originalen 2. april 2015. (ubestemt)
↑ tcpcrypt - Om os . tcpcrypt.org. Hentet 25. marts 2015. Arkiveret fra originalen 28. marts 2015. (ubestemt)
↑ Mark Handley. Kernel patch til Linux 3.10.10? . Postliste ( 09.09.2013 ) . _ Hentet: 25. marts 2015. (ubestemt)
↑ Richard Chirgwin . IETF planlægger at NSA-sikre alle fremtidige internetprotokoller , The Register ( 14. maj 2014 ). Arkiveret fra originalen den 7. juli 2017. Hentet 29. september 2017.
↑ Mark Jackson . IETF forpligter sig til at hæmme statssponsoreret masseinternetovervågning , ISP-gennemgang ( 13. maj 2014 ). Arkiveret fra originalen den 2. april 2015. Hentet 25. marts 2015.
↑ Ny ikke-WG-postliste: Tcpcrypt -- Diskussionsliste for tilføjelse af kryptering til TCP . Postliste ( 24/03/2014 ) . _ Hentet: 25. marts 2015. (ubestemt)
↑ TCP øget sikkerhed (tcpinc) . Charter for arbejdsgruppe . Dato for adgang: 25.07 . 2014 . Arkiveret fra originalen den 29. marts 2015. (ubestemt)
↑ Bittau, A. ( 21.07.2014 ) , Kryptografisk beskyttelse af TCP-strømme (tcpcrypt ) , IETF