tcpcrypt

Оригинальный автор(ы)	Андреа Биттау, Майк Гамбург, Марк Хэндли , Дэвид Мазьер, Дэн Боне и Куинн Слэк.
Тип	связи шифрования протокол
Веб-сайт	tcpcrypt .org

В сетях компьютерных tcpcrypt — это на транспортном уровне связи протокол шифрования . ^[1]^[2] В отличие от предыдущих протоколов, таких как TLS (SSL), tcpcrypt реализован как расширение TCP . Он был разработан командой из шести экспертов по безопасности и сетям: Андреа Биттау, Майком Гамбургом, Марком Хэндли , Дэвидом Мазьером, Дэном Бонехом и Куинном Слэком. ^[3] Tcpcrypt был опубликован в виде интернет-проекта. ^[4] Экспериментальные реализации в пользовательском пространстве доступны для Linux, Mac OS X, FreeBSD и Windows. Существует также реализация ядра Linux .

TCPINC (TCP Повышенная безопасность) Рабочая группа была сформирована в июне 2014 года IETF для работы над стандартизацией расширений безопасности в протоколе TCP. ^[5] В мае 2019 года рабочая группа опубликовала RFC 8547 и RFC 8548 как экспериментальный стандарт Tcpcrypt.

Описание

Tcpcrypt обеспечивает гибкое шифрование — если какая-либо из сторон не поддерживает это расширение, протокол возвращается к обычному незашифрованному TCP. Tcpcrypt также обеспечивает шифрование для любого приложения, использующего TCP, даже для тех, которые не знают о шифровании. Это обеспечивает постепенное и плавное развертывание. ^[6]

В отличие от TLS, tcpcrypt сам по себе не выполняет никакой аутентификации , а передает приложению уникальный «идентификатор сеанса»; приложение может затем использовать этот токен для дальнейшей аутентификации. Это означает, что можно использовать любую схему аутентификации, включая пароли или сертификаты . Он также выполняет большую часть инициации соединения с открытым ключом на стороне клиента, чтобы снизить нагрузку на серверы и смягчить DoS-атаки. ^[6]

История

Первый проект спецификации протокола был опубликован в июле 2010 года, а эталонные реализации последовали в августе. Однако после первых встреч в IETF сторонникам протокола не удалось добиться поддержки стандартизации, и в 2011 году проект был заморожен. ^[7]

В 2013 и 2014 годах, после того, как Эдвард Сноуден разоблачил глобальную слежку за АНБ и агентствами других правительств, IETF занял твердую позицию по защите пользователей Интернета от слежки. ^[8]^[9] Это соответствует целям tcpcrypt по повсеместному прозрачному шифрованию, что возродило интерес к стандартизации протокола. Официальный список рассылки IETF для tcpcrypt был создан в марте 2014 года. ^[10] за которым последовало формирование рабочей группы TCPINC (TCP Повышенная безопасность) в июне. ^[5] и новая версия проекта спецификации.

Производительность

Tcpcrypt применяет временные метки TCP и добавляет свои собственные параметры TCP к каждому пакету данных, что составляет 36 байтов на пакет по сравнению с обычным TCP. При среднем наблюдаемом размере TCP-пакетов 471 байт, ^[11] это может привести к накладным расходам в размере 8% полезной полосы пропускания. Эти 36 байт накладных расходов могут не быть проблемой для интернет-соединений со скоростью более 64 Кбит/с, но могут стать проблемой для пользователей коммутируемого доступа в Интернет.

По сравнению с TLS/SSL , tcpcrypt имеет меньшее влияние на производительность. Частично это связано с тем, что tcpcrypt не имеет встроенной аутентификации, которая может быть реализована самим приложением. Криптографические примитивы используются таким образом, чтобы снизить нагрузку на сервер , поскольку один сервер обычно должен предоставлять услуги гораздо большему количеству клиентов, чем наоборот. ^[6]

Реализации

Текущие реализации пользовательского пространства считаются экспериментальными и, как сообщается, нестабильны в некоторых системах. Он также пока не поддерживает IPv6 , который в настоящее время поддерживается только версией ядра Linux. Ожидается, что как только tcpcrypt станет стандартом, операционные системы будут иметь встроенную поддержку tcpcrypt, что сделает решение пользовательского пространства ненужным. ^{[ нужна ссылка ]}

См. также

ДТЛС
IPsec
Запутанный TCP - ранее неудачное предложение оппортунистического TCP-шифрования.

Ссылки

^ Андреа Биттау; и др. (13 августа 2010 г.). Аргументы в пользу повсеместного шифрования транспортного уровня (PDF) . 19-й симпозиум по безопасности USENIX.
^ Майкл Куни (19 июля 2010 г.). «Готовится ли на горизонте повсеместное распространение технологии шифрования?» . Сетевой мир .
^ «tcpcrypt – О нас» . tcpcrypt.org.
^ Биттау, А.; Д. Бонех; М. Гамбург; М. Хэндли; Д. Мазиер; Вопрос. Slack (21 июля 2014 г.). Криптографическая защита TCP-потоков (tcpcrypt) . IETF . Идентификатор черновика-bittau-tcpinc-01.
^ Jump up to: ^а ^б «Повышенная безопасность TCP (tcpinc)» . Устав рабочей группы . Проверено 25 июля 2014 г.
^ Jump up to: ^а ^б ^с Джейк Эдж (25 августа 2010 г.). «Шифрование транспортного уровня с помощью Tcpcrypt» . LWN.net .
^ Марк Хэндли (9 сентября 2013 г.). «Патч ядра для Linux 3.10.10?» (Список рассылки). Два года назад нам не удалось добиться широкого распространения tcpcrypt.
^ Ричард Чиргвин (14 мая 2014 г.). «IETF планирует защитить от АНБ все будущие интернет-протоколы» . Регистр .
^ Марк Джексон (13 мая 2014 г.). «IETF обязуется препятствовать спонсируемой государством массовой слежке за Интернетом» . Обзор интернет-провайдера.
^ «Новый список рассылки, не относящийся к WG: Tcpcrypt — список обсуждений по добавлению шифрования в TCP» (список рассылки). Секретариат IETF. 24 марта 2014 г.
^ «Шон МакКрири и К.С. Клаффи». «Тенденции в структуре глобального IP-трафика: взгляд Ames Internet Exchange» .

Внешние ссылки

[1] Андреа Биттау; и др. (13 августа 2010 г.). Аргументы в пользу повсеместного шифрования транспортного уровня (PDF) . 19-й симпозиум по безопасности USENIX.

[2] Майкл Куни (19 июля 2010 г.). «Готовится ли на горизонте повсеместное распространение технологии шифрования?» . Сетевой мир .

[3] «tcpcrypt – О нас» . tcpcrypt.org.

[ietf-draft-4] Биттау, А.; Д. Бонех; М. Гамбург; М. Хэндли; Д. Мазиер; Вопрос. Slack (21 июля 2014 г.). Криптографическая защита TCP-потоков (tcpcrypt) . IETF . Идентификатор черновика-bittau-tcpinc-01.

[tcpinc-5] Jump up to: ^а ^б «Повышенная безопасность TCP (tcpinc)» . Устав рабочей группы . Проверено 25 июля 2014 г.

[lwn-6] Jump up to: ^а ^б ^с Джейк Эдж (25 августа 2010 г.). «Шифрование транспортного уровня с помощью Tcpcrypt» . LWN.net .

[7] Марк Хэндли (9 сентября 2013 г.). «Патч ядра для Linux 3.10.10?» (Список рассылки). Два года назад нам не удалось добиться широкого распространения tcpcrypt.

[8] Ричард Чиргвин (14 мая 2014 г.). «IETF планирует защитить от АНБ все будущие интернет-протоколы» . Регистр .

[9] Марк Джексон (13 мая 2014 г.). «IETF обязуется препятствовать спонсируемой государством массовой слежке за Интернетом» . Обзор интернет-провайдера.

[10] «Новый список рассылки, не относящийся к WG: Tcpcrypt — список обсуждений по добавлению шифрования в TCP» (список рассылки). Секретариат IETF. 24 марта 2014 г.

[mcreary-11] «Шон МакКрири и К.С. Клаффи». «Тенденции в структуре глобального IP-трафика: взгляд Ames Internet Exchange» .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]