Tcpcrypt

tcpcrypt  är ett tillägg till TCP- protokollet som lägger till möjligheten att opportunistiskt kryptera trafik till TCP [1] [2] . Om en av abonnenterna inte stöder tillägget tcpcrypt upprättas en vanlig TCP-anslutning. Om båda prenumeranterna stöder tcpcrypt, krypteras data transparent för applikationer (programstöd krävs inte; ingen konfiguration krävs (till skillnad från VPN )).

Beskrivning av tillägget

Tillägget tcpcrypt skapades för att lösa följande uppgifter:

• trafikkryptering ;
• säkerställa dataintegritet .

Tillägget tcpcrypt, till skillnad från TLS- och IPsec- protokollen , innehåller inte användarautentiseringsverktyg , men tillhandahåller ett "Sessions-ID"-fält. "Sessions-ID" kan användas på högre nivåer av OSI-nätverksmodellen för att implementera alla autentiseringsscheman (till exempel autentisering med lösenord eller autentisering med PKI- certifikat ).

Driften av tcpcrypt-tillägget är transparent för applikationer (det vill säga ingen applikationsändring krävs för att stödja tcpcrypt). I standardfallet (utan autentisering ) kräver tillägget inte konfiguration. Men när tillägget körs utan autentisering är tillägget sårbart för en aktiv [3] man-in-the-middle- attack .

Det mesta av arbetet med att upprätta en anslutning (ordna kryptering med en publik nyckel) görs på klientsidan. Detta görs avsiktligt för att minska belastningen på servrarna och minska sannolikheten för DoS-attacker [4] .

Enligt författarnas forskning, när du använder tillägget tcpcrypt, jämfört med TCP / TLS , reduceras serverbelastningen på grund av en enklare och snabbare handskakningsprocedur . 

Tillägget tcpcrypt använder TCP-tidsstämplar och lägger till flera av dess TCP-alternativ till varje paket. På grund av detta ökas paketstorleken med 36 byte jämfört med storleken på ett vanligt TCP-paket. Om vi ​​antar att den genomsnittliga TCP-paketstorleken är 471 byte [5] kommer länkgenomströmningen att minska med 8 %. Användare med bandbredder större än 64 kbs bör inte märka någon skillnad, men uppringda användare kan uppleva betydande nedgångar.

Historik

Tillägget tcpcrypt är designat av ett team på sex personer [6] :

• Andrea Bittau
• Mike Hamburg
• Handley
• David Mazieres
• Dan Boneh
• Quinn Slack

och presenterades vid det 19:e USENIX - säkerhetssymposiet 2010.

I juli 2010 publicerades det första utkastet till specifikationen och i augusti 2010 källkoderna för referensimplementeringen . Representanter för organisationen " IETF " bekantade sig med utkastet, men standarden accepterades inte. På grund av detta utvecklades projektet inte förrän 2011 [7] .

Under 2013-2014 avslöjade Edward Snowden information om massövervakning av internetanvändare av NSA och andra statliga organisationer. IETF beslutade att skydda användare från övervakning genom att skapa säkra Internetprotokoll [8] [9] . Tillägget tcpcrypt krypterade transparent all trafik, och IETF visade intresse för att standardisera den.

I mars 2014 skapade IETF en e-postlista  för att diskutera tcpcrypt [ 10] . I juni 2014 bildade IETF en arbetsgrupp kallad "TCPINC" (från engelska  TCP ökad säkerhet ) för att standardisera tillägget tcpcrypt [11] och publicerade ett nytt utkast till specifikationen.

Utkastet ( engelskt  internetutkast ) finns på länken  (otillgänglig länk) [12] .

Implementeringar

Implementeringar av tillägget tcpcrypt har förberetts för flera operativsystem : Linux , FreeBSD , Windows och Mac OS X. Alla implementeringar:

• arbeta i användarutrymmet ;
• anses vara experimentella och rapporteras av användare som instabila .  

IPv6 -protokollet stöds för närvarande endast av Linux - implementeringen .

Det förväntas att när tcpcrypt-tillägget är standardiserat kommer inbyggda implementeringar att visas på alla operativsystem.

Se även

• TCP
• SSL / TLS
• IPsec
• VPN
• DTLS
• Obfuscated TCP är ett tidigare försök att implementera opportunistisk kryptering för TCP .

Anteckningar

1. ↑ Andrea Bittau; et al. (2010-08-13). Fallet för allestädes närvarande kryptering på transportnivå (PDF) . 19:e USENIX Security Symposium. Arkiverad 18 november 2011 på Wayback Machine
2. ↑ Michael Cooney . Finns det utbredd krypteringsteknik i horisonten? , Network World  (19 juli 2010). Arkiverad från originalet den 20 oktober 2013. Hämtad 25 mars 2015.
3. ↑ Passiv attack - lyssna på trafik .  Aktiv ( engelska aktiv ) attack - trafikändring.
    
4. ↑ Jake Edge . Kryptering på transportnivå med Tcpcrypt , LWN.net  (25 augusti 2010). Arkiverad från originalet den 2 april 2015. Hämtad 25 mars 2015.
5. ↑ "Sean McCreary och kc klaffy". Trender i Wide Area IP-trafikmönster En vy från Ames Internet Exchange . Hämtad 25 mars 2015. Arkiverad från originalet 2 april 2015. (obestämd)
6. ↑ tcpcrypt - Om oss . tcpcrypt.org. Hämtad 25 mars 2015. Arkiverad från originalet 28 mars 2015. (obestämd)
7. ↑ Mark Handley. Kernel patch för Linux 3.10.10? . E - postlista ( 2013-09-09 ) . Hämtad: 25 mars 2015. (obestämd)
8. ↑ Richard Chirgwin . IETF planerar att NSA-säkra alla framtida internetprotokoll , The Register  ( 14 maj 2014 ). Arkiverad från originalet den 7 juli 2017. Hämtad 29 september 2017.
9. ↑ Mark Jackson . IETF åtar sig att hindra statligt sponsrad massinternetövervakning , ISP-granskning ( 13 maj 2014 ). Arkiverad från originalet den 2 april 2015. Hämtad 25 mars 2015.
10. ↑ Ny e-postlista utanför WG: Tcpcrypt -- Diskussionslista för att lägga till kryptering till TCP . E - postlista ( 2014-03-24 ) . Hämtad: 25 mars 2015. (obestämd)
11. ↑ TCP ökad säkerhet (tcpinc) . Stadga för arbetsgruppen . Tillträdesdatum: 25.07 . 2014 . Arkiverad från originalet den 29 mars 2015. (obestämd)
12. ↑ Bittau, A. ( 21.07.2014 ) , Kryptografiskt skydd av TCP-strömmar (tcpcrypt ) , IETF 

Länkar

• tcpcrypt.org  (engelska)  är den officiella webbplatsen för tcpcrypt-projektet.
• https://github.com/scslab/tcpcrypt/  - källkod för tcpcrypt-implementationer för flera operativsystem .
• tcpcrypt-protokoll - total trafikkryptering  (rus.)  - Om tcpcrypt-protokoll