Gizlenmiş TCP - Obfuscated TCP

Gizlenmiş TCP (ObsTCP) bir teklifti taşıma katmanı uygulayan protokol fırsatçı şifreleme bitmiş Geçiş kontrol protokolü (TCP). Kütleyi önlemek için tasarlandı telefon dinleme ve üzerindeki TCP trafiğinin kötü niyetli olarak bozulması İnternet daha düşük uygulama maliyeti ve karmaşıklığı ile taşıma katmanı Güvenliği (TLS). Ağustos 2008'de, IETF TCP seçeneği teklifini reddetti ve bunun yerine uygulama katmanında yapılmasını önerdi.^[1] Proje birkaç ay sonra aktif değil.

Haziran 2010'da ayrı bir teklif çağrıldı tcpcrypt ObsTCP'nin hedeflerinin çoğunu paylaşan, başvurulara karşı şeffaf olma, fırsatçı ve düşük ek yük. Daha da az yapılandırma gerektirir (DNS girişi veya HTTP başlığı yok). ObsTCP'den farklı olarak tcpcrypt, kimlik doğrulamasını uygulamak ve önlemek için uygulamaya kadar ilkeller sağlar ortadaki adam saldırıları (MITM).^[2]

Tarihsel kökeni

ObsTCP tarafından oluşturuldu Adam Langley. Fırsatçı şifreleme kullanarak TCP iletişimlerini şaşırtma kavramı birkaç yinelemeyle gelişti. ObsTCP'nin deneysel yinelemeleri, sunucu "SYNACK" te bir genel anahtarla yanıt veren ObsTCP desteğini duyurmak için "SYN" paketlerindeki TCP seçeneklerini kullandı. Bir IETF taslak protokol ilk olarak Temmuz 2008'de yayınlandı. Paketler Salsa20 / 8 ile şifrelendi,^[3] ve MD5 sağlama toplamları ile imzalanmış paketler.^[4]

Şimdiki (üçüncü) yineleme, temel TCP protokolünün işleyişini değiştirmeden, destek ve anahtarların reklamını yapmak için özel DNS kayıtları (veya bant dışı yöntemler) kullanır.^[5]

Şifreleme özellikleri

ObsTCP, TCP trafiğini korumaya yönelik düşük maliyetli bir protokoldür. genel anahtar sertifikaları hizmetleri Sertifika Yetkilileri veya bir kompleks Açık Anahtar Altyapısı. Ortadaki saldırıda insana karşı koruma sağlamak yerine, şifrelenmemiş trafiği taramak için yönlendirilmemiş gözetim kullanımını bastırmayı amaçlamaktadır.

Yazılım şu anda Salsa20 / 8'i destekliyor^[3] akış şifresi ve Curve25519^[6] eliptik eğri Diffie Hellman işlevi.

TLS / SSL / HTTPS ile Karşılaştırma

Özellik	ObsTCP	SSL / TLS / HTTPS
Açık Anahtar Altyapısı	İmzalı bir genel anahtar sertifikası gerektirmez	İmzalanmış bir genel anahtar sertifikasının satın alınmasını (veya kendinden imzalı sertifika kullanılmasını) gerektirir
Web tarayıcısı desteği	Yamalı sürümleri Firefox mevcut^[7]	Tüm popüler web tarayıcıları tarafından yaygın olarak desteklenir
Web sunucusu desteği	İçin yamalar / sunucu yükseltmeleri gerektirir lighttpd ve Apaçi^[8]	Popüler web sunucuları tarafından yaygın olarak desteklenir
Ağ gecikmesi	Nil bağlantı başına ek gidiş-dönüş (ancak DNS anahtar reklamı elde etmek için arama gerekebilir)	Bağlantı başına bir veya iki ek gidiş dönüş
Şifreleme hızı	Çok hızlı kriptografi	Yavaş
TCP bağlantı noktası	Herhangi bir TCP bağlantı noktasını kullanabilir	Tipik olarak 443 numaralı bağlantı noktasını kullanır, ancak herhangi bir TCP bağlantı noktasını kullanabilir
Güvenlik özellikleri	Orta ataklardaki bir adama direnmiyor	Ortadaki saldırılara direnir

Bağlantı kurulması

ObsTCP kullanan bir sunucu, bir genel anahtar ve bir bağlantı noktası numarası bildirir.

Bir DNS 'A kaydı' ObsTCP için sunucu desteğinin reklamını yapmak için kullanılabilir (bir DNS "CNAME kaydı" 'kolay' bir ad sağlar). Bunun yerine HTTP başlık kayıtları veya önbelleğe alınmış / bant dışı anahtar seti bilgileri de kullanılabilir.

Bir ObsTCP sunucusuna bağlanan bir istemci, sunucuya bağlanmadan ve trafiği şifrelemeden önce DNS girişlerini ayrıştırır, HTTP başlık kayıtlarını kullanır veya genel anahtarı ve bağlantı noktası numarasını almak için önbelleğe alınmış / bant dışı verileri kullanır.

Ayrıca bakınız

Fırsatçı şifreleme
tcpcrypt (benzer hedeflere sahip daha yeni bir teklif)
taşıma katmanı Güvenliği (TLS, SSL olarak da bilinir)
IPsec

Referanslar

^ Adam Langley (2008-08-15). "Üzgünüm millet, sanırım Şaşkın TCP öldü". Gizlenmiş TCP geliştirme blogu.
^ Andrea Bittau; et al. (2010-08-13). Her yerde bulunan aktarım düzeyinde şifreleme durumu (PDF). 19. USENIX Güvenlik Sempozyumu.
^ ^a ^b "Snuffle 2005". kripto. Alındı 2009-05-08.
^ Eddy, Wesley; Langley, Adam. "TCP Seçenekleri İçin Kullanılabilir Alanı Genişletme". IETF. Alındı 2015-02-07.
^ "Gizlenmiş TCP Geçmişi". Google. 2 Ekim 2008. Arşivlenen orijinal 2009-01-08 tarihinde. Alındı 2009-05-08.
^ "Curve25519: yüksek hızlı eliptik eğri şifreleme". kripto. Alındı 2009-05-08.
^ "Gizlenmiş TCP İstemcileri: Firefox". Google. Alındı 2009-05-08.
^ "ObsTCP aktarım katmanını kullanarak ObsTCP'yi kurma". Google. Alındı 2009-05-08.

[1] Adam Langley (2008-08-15). "Üzgünüm millet, sanırım Şaşkın TCP öldü". Gizlenmiş TCP geliştirme blogu.

[2] Andrea Bittau; et al. (2010-08-13). Her yerde bulunan aktarım düzeyinde şifreleme durumu (PDF). 19. USENIX Güvenlik Sempozyumu.

[salsa-3] "Snuffle 2005". kripto. Alındı 2009-05-08.

[4] Eddy, Wesley; Langley, Adam. "TCP Seçenekleri İçin Kullanılabilir Alanı Genişletme". IETF. Alındı 2015-02-07.

[5] "Gizlenmiş TCP Geçmişi". Google. 2 Ekim 2008. Arşivlenen orijinal 2009-01-08 tarihinde. Alındı 2009-05-08.

[6] "Curve25519: yüksek hızlı eliptik eğri şifreleme". kripto. Alındı 2009-05-08.

[7] "Gizlenmiş TCP İstemcileri: Firefox". Google. Alındı 2009-05-08.

[8] "ObsTCP aktarım katmanını kullanarak ObsTCP'yi kurma". Google. Alındı 2009-05-08.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]