Sicherheit der Datagramm-Transportschicht - Datagram Transport Layer Security
Datagram Transport Layer Security ( DTLS ) ist ein Kommunikationsprotokoll, das Datagramm- basierten Anwendungen Sicherheit bietet , indem es ihnen ermöglicht, so zu kommunizieren, dass Abhören , Manipulation oder Nachrichtenfälschung verhindert werden . Das DTLS Protokoll basiert auf dem Strom -orientierten Transport Layer Security (TLS) Protokolls und soll ähnliche Sicherheitsgarantien bieten. Das DTLS-Protokoll-Datagramm behält die Semantik des zugrunde liegenden Transports bei – die Anwendung leidet nicht unter den Verzögerungen, die mit Stream-Protokollen verbunden sind, aber da sie UDP oder SCTP verwendet , muss die Anwendung mit Paketneuordnung , Verlust von Datagrammen und Daten größer als die Größe eines Datagramm- Netzwerkpakets . Da DTLS statt TCP UDP oder SCTP verwendet, vermeidet es das "TCP-Meltdown-Problem", wenn es zum Erstellen eines VPN-Tunnels verwendet wird.
Definition
Die folgenden Dokumente definieren DTLS:
- RFC 6347 zur Verwendung mit User Datagram Protocol (UDP),
- RFC 5238 zur Verwendung mit Datagram Congestion Control Protocol (DCCP),
- RFC 5415 zur Verwendung mit Steuerung und Bereitstellung von Wireless Access Points (CAPWAP),
- RFC 6083 zur Verwendung mit Stream Control Transmission Protocol (SCTP)-Kapselung,
- RFC 5764 zur Verwendung mit Secure Real-Time Transport Protocol (SRTP), das in einem Entwurf mit Secure Real-Time Transport Control Protocol (SRTCP) später als DTLS-SRTP bezeichnet wird .
DTLS 1.0 basiert auf TLS 1.1 und DTLS 1.2 basiert auf TLS 1.2. Es gibt kein DTLS 1.1, da diese Versionsnummer übersprungen wurde, um die Versionsnummern mit TLS zu harmonisieren. Die DTLS 1.3-Spezifikation ist in Arbeit und soll wie frühere DTLS-Versionen "gleichwertige Sicherheitsgarantien [zu TLS 1.3] mit Ausnahme von Auftragsschutz/Nicht-Wiederspielbarkeit" bieten.
Implementierungen
Bibliotheken
Implementierung | DTLS 1.0 | DTLS 1.2 |
---|---|---|
Botanik | Jawohl | Jawohl |
kryptlib | Nein | Nein |
GnuTLS | Jawohl | Jawohl |
Java Secure Socket-Erweiterung | Jawohl | Jawohl |
LibreSSL | Jawohl | Jawohl |
libsystools | Jawohl | Nein |
MatrixSSL | Jawohl | Jawohl |
mbed TLS (früher PolarSSL) | Jawohl | Jawohl |
Netzwerksicherheitsdienste | Jawohl | Jawohl |
OpenSSL | Jawohl | Jawohl |
PyDTLS | Jawohl | Jawohl |
Python3-dtls | Jawohl | Jawohl |
RSA BSAFE | Nein | Nein |
s2n | Nein | Nein |
SChannel XP/2003, Vista/2008 | Nein | Nein |
SKanal 7/2008R2, 8/2012, 8.1/2012R2, 10 | Jawohl | Nein |
SKanal 10 (1607), 2016 | Jawohl | Jawohl |
Sicherer Transport OS X 10.2–10.7 / iOS 1–4 | Nein | Nein |
Sicherer Transport OS X 10.8–10.10 / iOS 5–8 | Jawohl | Nein |
SharkSSL | Nein | Nein |
Tinydtls | Nein | Jawohl |
Waher.Sicherheit.DTLS | Nein | Jawohl |
wolfSSL (ehemals CyaSSL) | Jawohl | Jawohl |
@nodertc/dtls | Nein | Jawohl |
java-dtls | Jawohl | Jawohl |
pion/dtls (Los) | Nein | Jawohl |
Kalifornium/Scandium (Java) | Nein | Jawohl |
SNF4J (Java) | Jawohl | Jawohl |
Implementierung | DTLS 1.0 | DTLS 1.2 |
Anwendungen
- Cisco AnyConnect VPN Client verwendet TLS und hat DTLS-basiertes VPN erfunden.
- OpenConnect ist ein Open-Source-AnyConnect-kompatibler Client und ocserv- Server, der (D)TLS unterstützt.
- Cisco InterCloud Fabric verwendet DTLS, um einen Tunnel zwischen privaten und öffentlichen/Provider-Rechenumgebungen zu bilden
- ZScaler 2.0 (eine beliebte ZTN- Lösung) verwendet DTLS für Tunneling
- F5 Networks Edge VPN Client verwendet TLS und DTLS
- Citrix Systems NetScaler verwendet DTLS zum Sichern von UDP
- Webbrowser: Google Chrome , Opera und Firefox unterstützen DTLS-SRTP für WebRTC . Firefox 86 und höher unterstützt DTLS 1.0 nicht.
Schwachstellen
Im Februar 2013 entdeckten zwei Forscher von Royal Holloway, University of London, einen Timing-Angriff, mit dem sie (Teile des) Klartexts von einer DTLS-Verbindung mithilfe der OpenSSL- oder GnuTLS-Implementierung von DTLS wiederherstellen konnten, wenn die Verschlüsselung im Cipher Block Chaining- Modus verwendet wurde.
Siehe auch
Verweise
Externe Links
- "Transport Layer Security (tls) - Charta" . IETF .
- Modadugu, Nagendra; Rescorla, Eric (2003-11-21). "Das Design und die Implementierung von Datagramm-TLS" (PDF) . Stanford Crypto-Gruppe . Abgerufen 2013-03-17 .
- AlFardan, Nadhem J.; Paterson, Kenneth G. "Plaintext-Recovery Attacks Against Datagram TLS" (PDF) . Abgerufen 2013-11-25 .
- Gibson, Steve; Laporte, Leo (2012-11-28). "Sicherheit der Datagramm-Transportschicht" . Sicherheit jetzt 380 . Abgerufen 2013-03-17 . Springe zu 1:07:14.
- Robin Seggelmann der Beispielcode : echo, Zeichengenerator und Verwerfungs Client / Server.
Dieser Artikel basiert auf Material, das vor dem 1. November 2008 aus dem Free Online Dictionary of Computing entnommen wurde und unter die "Relicensing"-Bedingungen der GFDL , Version 1.3 oder höher, aufgenommen wurde.