Ich suche nach Optionen zum Sichern von UDP-Verkehr (hauptsächlich Echtzeit-Video) in einem drahtlosen Netzwerk (802.11). Irgendwelche Vorschläge außer Datagram Transport Layer Security (DTLS)?Optionen zum Sichern von UDP-Verkehr
Danke.
Sie können ssh mit Portweiterleitung suchen. Dies geschieht auf Kosten der Aufrechterhaltung einer TCP-Verbindung, über die der UDP-Verkehr gesichert werden kann.
Wir wollen die Verwendung von TCP-Verbindungen wegen der Ad-hoc-Natur des Netzwerks vermeiden. –
Abhängig von Ihren Schlüsselaustauschanforderungen kann es so einfach sein wie die Verwendung von Blowfish über die Nutzdaten jedes UDP-Pakets mit einem gemeinsamen Schlüssel. Es ist leicht und belastet die CPU nicht an beiden Enden. –
Zuerst ist der Blowfish alt, twofish ist die nächste Version. Auch Blockchiffren sind schwer zu implementieren. Warum sollte man dann nicht die zweifache Implementierung von dtls verwenden? – rook
Sie müssen klarer über die Angriffe sein, gegen die Sie sich zu wehren versuchen. Zum Beispiel, wenn Ihre einzige Sorge Spoofing ist, dann können Sie eine Diffie–Hellman key exchange verwenden, um ein Geheimnis zwischen 2 Parteien zu übertragen. Dann kann dieses Geheimnis verwendet werden, um ein Message Authentication Code für jedes Paket zu erzeugen.
Wenn Sie noch mehr Schutz benötigen I stark empfehlen, DTLS zu verwenden. Es sollte beachtet werden, dass alle TLS/SSL-Verbindungen wieder aufgenommen werden können, so dass Sie die Anzahl der Handshakes reduzieren können. Zertifikate sind ebenfalls kostenlos.
Ein DH Key-Austausch wäre anfällig für einen aktiven MITM-Angriff und Sie könnten sich nicht darauf verlassen, um Pakete zu authentifizieren. –
@Chris Clark Sie haben Recht, deshalb verwendet ssl auch asymmetrisches Krypto. – rook
Haben Sie IPSEC in Betracht gezogen? Diese article bietet eine gute Anleitung, wann und wann Sie sie nicht verwenden sollten.
Möchten Sie eine vorhandene Anwendung umbrechen oder eine eigene schreiben? Welchen Client Server Setup haben Sie? Möchten Sie das Ausspionieren oder Manipulieren verhindern?
Ich gehe davon aus, dass hier Sie
Der einfache Ansatz ist jeder von der Selbst starke Verschlüsselung zu verwenden. Um Manipulationen zu vermeiden, verwenden Sie einen beliebigen Singing-Algorithmus mit einem privaten/öffentlichen Schlüsselschema. In der Tat können Sie das gleiche Schlüsselpaar für die Verschlüsselung und Authentifizierung verwenden.
Der Nachteil dieses Ansatzes ist, dass er sich auf Schicht 7 befindet und Sie die meiste Arbeit selbst erledigen müssen. Auf der anderen Seite ist DTLS eine praktikable Option ...
@Justin Ethier wpa ist einfach zu brechen (http://www.renderlab.net/projects/WPA-tables/). – rook
@The Rook: Verwenden Sie einfach einen starken Schlüssel? Alles mit einem schwachen Passwort ist normalerweise leicht zu knacken. –
@Longpoke sie verwenden einen Wörterbuchangriff, aber es ist keine Silberkugel. TLS/SSL/DTLS ist sicherer als wpa. – rook