Безопасность транспортного уровня дейтаграмм

Безопасность транспортного уровня дейтаграмм ( DTLS ) — это протокол связи , обеспечивающий безопасность приложений на основе дейтаграмм , позволяя им взаимодействовать способом, разработанным ^[1]^[2]^[3] для предотвращения подслушивания , взлома или подделки сообщений . Протокол DTLS основан на потокоориентированном протоколе Transport Layer Security (TLS) и предназначен для предоставления аналогичных гарантий безопасности. Дейтаграмма протокола DTLS сохраняет семантику базового транспорта — приложение не страдает от задержек, связанных с потоковыми протоколами, но поскольку оно использует UDP или SCTP , приложению приходится иметь дело с переупорядочением пакетов , потерей дейтаграммы и данными, превышающими размер передаваемых данных. размер сетевого пакета дейтаграммы . Поскольку DTLS использует UDP или SCTP, а не TCP, он позволяет избежать «проблемы сбоя TCP» ^[4]^[5] при использовании для создания VPN-туннеля.

Определение

Следующие документы определяют DTLS:

RFC 5238 от мая 2008 г. ^[6] для использования с протоколом управления перегрузкой дейтаграмм (DCCP).
RFC 5415 от марта 2009 г. ^[7] для использования с контролем и обеспечением точек беспроводного доступа (CAPWAP).
RFC 5764 от мая 2010 г. ^[8] для использования с безопасным транспортным протоколом в реальном времени (SRTP), впоследствии названным DTLS-SRTP в проекте с безопасным протоколом управления транспортировкой в реальном времени (SRTCP) ^[9]
RFC 6083 от января 2011 г. ^[10] для использования с инкапсуляцией протокола передачи управления потоком (SCTP).
RFC 9147 от апреля 2022 г. ^[3] для использования с протоколом пользовательских дейтаграмм (UDP).

DTLS 1.0 основан на TLS 1.1, DTLS 1.2 основан на TLS 1.2, а DTLS 1.3 основан на TLS 1.3. DTLS 1.1 не существует, поскольку этот номер версии был пропущен для согласования номеров версий с TLS. ^[2] Как и предыдущие версии DTLS, DTLS 1.3 предназначен для предоставления «эквивалентных гарантий безопасности [TLS 1.3], за исключением защиты порядка/неповторяемости». ^[11]

Реализации

Библиотеки

Приложения

VPN-клиент Cisco AnyConnect использует TLS и изобретенную VPN на основе DTLS. ^[34]
OpenConnect — это клиент с открытым исходным кодом, совместимый с AnyConnect, и сервер ocserv , поддерживающий (D)TLS. ^[35]
Cisco InterCloud Fabric использует DTLS для формирования туннеля между частными и общедоступными вычислительными средами/средами поставщиков. ^[36]
ZScaler Tunnel 2.0 использует DTLS для туннелирования. ^[37]
VPN-клиент F5 Networks Edge использует TLS и DTLS. ^[38]
SSL VPN от Fortinet ^[39] и SSL VPN от Array Networks ^[40] также используют DTLS для туннелирования VPN.
Citrix Systems NetScaler использует DTLS для защиты UDP. ^[41]
Веб-браузеры: Google Chrome , Opera и Firefox поддерживают DTLS-SRTP ^[42] для WebRTC . Firefox 86 и более поздние версии не поддерживают DTLS 1.0. ^[43]
Протокол удаленного рабочего стола 8.0 и более поздних версий.

Уязвимости

В феврале 2013 года два исследователя из Роял Холлоуэй, Лондонский университет, обнаружили временную атаку ^[44] , которая позволила им восстановить (части) открытый текст из соединения DTLS с использованием реализации DTLS OpenSSL или GnuTLS, когда использовалось шифрование в режиме цепочки блоков шифра. .

Смотрите также

Рекомендации

^ аб Э. Рескорла; Н. Модадугу (апрель 2006 г.). Безопасность транспортного уровня дейтаграмм. Сетевая рабочая группа. дои : 10.17487/RFC4347 . РФК 4347. Устаревший. Устарело RFC 6347. Обновлено RFC 5746 и 7507.
^ abc Э. Рескорла; Н. Модадугу (январь 2012 г.). Безопасность дейтаграммного транспортного уровня версии 1.2. Целевая группа инженеров Интернета (IETF). дои : 10.17487/RFC6347 . ISSN 2070-1721. РФК 6347. Устаревший. Устарело RFC 9147. Обновлено RFC 7507, 7905, 8996 и 9146. Устарело RFC 4347.
^ abc Э. Рескорла; Х. Чофениг; Н. Модадугу (апрель 2022 г.). Протокол безопасности транспортного уровня датаграмм (DTLS) версии 1.3. Рабочая группа IETF TLS. дои : 10.17487/RFC9147 . РФК 9147. Предлагаемый стандарт. Устаревший RFC 6347.
^ Титц, Олаф (23 апреля 2001 г.). «Почему TCP поверх TCP — плохая идея». Архивировано из оригинала 10 марта 2023 г. Проверено 17 октября 2015 г.{{cite web}}: CS1 maint: bot: original URL status unknown (link)
^ Хонда, Осаму; Осаки, Хироюки; Имасе, Макото; Исидзука, Мика; Мураяма, Дзюнъити (октябрь 2005 г.). «Понимание TCP через TCP: влияние туннелирования TCP на сквозную пропускную способность и задержку». В Атикуззамане, Мохаммед; Баландин, Сергей I (ред.). Производительность, качество обслуживания и управление коммуникационными и сенсорными сетями следующего поколения III . Том. 6011. Бибкод : 2005SPIE.6011..138H. CiteSeerX 10.1.1.78.5815 . дои : 10.1117/12.630496. S2CID 8945952.
^ Т. Фелан (май 2008 г.). Безопасность транспортного уровня дейтаграмм (DTLS) через протокол управления перегрузкой дейтаграмм (DCCP). Сетевая рабочая группа. дои : 10.17487/RFC5238 . РФК 5238. Информационный. Обновлено RFC 8996.
^ П. Кэлхун; М. Монтемурро; Д. Стэнли, ред. (март 2009 г.). Спецификация протокола управления и обеспечения точек беспроводного доступа (CAPWAP). Сетевая рабочая группа. дои : 10.17487/RFC5415 . РФК 5415. Предлагаемый стандарт. Обновлено RFC 8553 и 8996.
^ Д. МакГрю; Э. Рескорла (май 2010 г.). Расширение Datagram Transport Layer Security (DTLS) для установки ключей для безопасного транспортного протокола реального времени (SRTP). Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC5764 . ISSN 2070-1721. РФК 5764. Предлагаемый стандарт. Обновлено RFC 7983 и 9443.
^ Пек, М.; Иго, К. (25 сентября 2012 г.). «Профиль Suite B для безопасности транспортного уровня дейтаграмм / безопасного транспортного протокола реального времени (DTLS-SRTP)». IETF .
^ М. Туксен; Р. Зеггельманн; Э. Рескорла (январь 2011 г.). Безопасность транспортного уровня дейтаграмм (DTLS) для протокола передачи управления потоком (SCTP). Целевая группа инженеров Интернета (IETF). дои : 10.17487/RFC6083 . ISSN 2070-1721. РФК 6083. Предлагаемый стандарт. Обновлено RFC 8996.
^ «Протокол безопасности транспортного уровня датаграмм (DTLS) версии 1.3» .
^ «Примечания к выпуску LibreSSL 3.3.2» . Проект OpenBSD. 01.05.2021 . Проверено 13 июня 2021 г.
^ Жюльен Кауфманн. «libsystools: библиотека с открытым исходным кодом TLS/DTLS для Windows/Linux с использованием OpenSSL». СоурсФордж .
^ ab "выпущен mbed TLS 2.0.0" . РУКА. 13 июля 2015 г. Проверено 25 августа 2015 г.
^ «Примечания к выпуску NSS 3.14» . Сеть разработчиков Mozilla . Мозилла. Архивировано из оригинала 17 января 2013 г. Проверено 27 октября 2012 г.
^ «Примечания к выпуску NSS 3.16.2» . Сеть разработчиков Mozilla . Мозилла. 30 июня 2014 г. Архивировано из оригинала 07 декабря 2021 г. Проверено 30 июня 2014 г.
^ «Начиная с версии 1.0.2». Проект OpenSSL . Проект OpenSSL. 22 января 2015 г. Архивировано из оригинала 4 сентября 2014 г. Проверено 26 января 2015 г.
^ Рэй Браун. «pydtls — безопасность транспортного уровня дейтаграмм для Python». Гитхаб .
^ Рэй Браун. «DTLS для Python». Фонд программного обеспечения Python .
^ Рэй Браун / Mobius Software LTD. «pydtls — безопасность транспортного уровня дейтаграмм для Python». Гитхаб .
^ Рэй Браун / Mobius Software LTD. «DTLS для Python3 на основе PyDTLS». Фонд программного обеспечения Python .
^ ab «Доступно обновление, которое добавляет поддержку DTLS в Windows 7 SP1 и Windows Server 2008 R2 SP1». Майкрософт . Проверено 13 ноября 2012 г.
^ Юстинья. «Изменения TLS (Schannel SSP) в Windows 10 и Windows Server 2016». docs.microsoft.com . Проверено 1 сентября 2017 г.
^ «Техническое примечание TN2287: Проблемы совместимости iOS 5 и TLS 1.2» . Библиотека разработчиков iOS . Apple Inc. Проверено 3 мая 2012 г.
^ Олаф Бергманн. "крошечные тлс". Фонд Эклипс .
^ Питер Вахер. «Waher.Security.DTLS». Вахер Дата АБ.
^ «Встроенная библиотека SSL/TLS wolfSSL» .
^ Дмитрий Цветцих. «Безопасная связь UDP с использованием DTLS на чистом js». Гитхаб .
^ Дмитрий Цветцих. «DTLS на чистом js». НПМ .
^ Mobius Software LTD. «Неблокирующая реализация Java DTLS на основе BouncyCastle и Netty». ООО "Мобиус Софтвер".
^ Шон Дюбуа. «pion/dtls: реализация сервера/клиента DTLS 1.2 для Go». Гитхаб .
^ «Калифорний/скандий: реализация сервера/клиента DTLS 1.2 для Java и Coap. Включает расширение идентификатора соединения» . Фонд Эклипс .
^ SNF4J.ORG. «Простая сетевая платформа для Java (SNF4J)». Гитхаб .{{cite web}}: CS1 maint: numeric names: authors list (link)
^ «Часто задаваемые вопросы по AnyConnect: туннели, поведение повторного подключения и таймер бездействия» . Циско . Проверено 26 февраля 2017 г.
^ "ОпенКоннект". ОпенКоннект . Проверено 26 февраля 2017 г.
^ «Обзор архитектуры Cisco InterCloud» (PDF) . Сиско Системы .
^ "ZScaler ZTNA 2.0 Туннель" . ZСкалер .
^ «Безопасность транспортного уровня дейтаграмм f5 (DTLS)» . f5 Сети .
^ «Использование DTLS для повышения производительности SSL VPN» . Фортинет . 25 февраля 2016 г.
^ "array.c из OpenConnect". 23 мая 2022 г.
^ «Настройка виртуального сервера DTLS». Ситрикс Системс .
^ «Заметки о взаимодействии WebRTC» . Архивировано из оригинала 11 мая 2013 г.
^ «Firefox 86.0, см. все новые функции, обновления и исправления» . Мозилла . 2021-02-23. Архивировано из оригинала 22 февраля 2021 г. Проверено 23 февраля 2021 г. Начиная с Firefox 86, DTLS 1.0 больше не поддерживается для установления PeerConnections WebRTC. С этого момента все службы WebRTC должны поддерживать DTLS 1.2 как минимальную версию.
^ «Атаки с восстановлением открытого текста на датаграммы TLS» (PDF) .

Внешние ссылки

«Безопасность транспортного уровня (tls) — Хартия». IETF .
Модадугу, Нагендра; Рескорла, Эрик (21 ноября 2003 г.). «Проектирование и реализация дейтаграммного TLS» (PDF) . Стэнфордская криптогруппа . Проверено 17 марта 2013 г.
АльФардан, Надхем Дж.; Патерсон, Кеннет Г. «Атаки с восстановлением открытого текста против дейтаграмм TLS» (PDF) . Проверено 25 ноября 2013 г.
Гибсон, Стив; Лапорт, Лео (28 ноября 2012 г.). «Безопасность транспортного уровня дейтаграмм». Безопасность сейчас 380 . Проверено 17 марта 2013 г.Перейдите к 1:07:14.
Пример кода Робина Сеггельмана: эхо, генератор символов и отбрасывание клиентов/серверов.
Иллюстрированное соединение DTLS