การรักษาความปลอดภัยระดับการขนส่งของดาตาแกรม

Q: ห้องสมุด

การสนับสนุนห้องสมุดสำหรับ DTLS การดำเนินการ DTLS 1.0 [ 1 ] DTLS 1.2 [ 2 ] DTLS 1.

Datagram Transport Layer Security ( DTLS ) เป็นโปรโตคอลการสื่อสารที่ให้ความปลอดภัยแก่ แอปพลิเคชันแบบ ดาตาแกรมโดยอนุญาตให้สื่อสารกันในลักษณะที่ออกแบบมาเพื่อป้องกันการดักฟังการแก้ไขหรือการปลอมแปลงข้อความ^{[ 1 ]}^{[ 2 ]}^{[ 3 ]}โปรโตคอล DTLS อิงตาม โปรโตคอล Transport Layer Security (TLS) ที่เน้นสตรีมและมีจุดประสงค์เพื่อให้การรับประกันความปลอดภัยที่คล้ายคลึงกัน ดาตาแกรมของโปรโตคอล DTLS รักษาความหมายของการขนส่งพื้นฐานไว้ แอปพลิเคชันจะไม่ได้รับผลกระทบจากความล่าช้าที่เกี่ยวข้องกับโปรโตคอลสตรีม แต่เนื่องจากใช้User Datagram Protocol (UDP) หรือStream Control Transmission Protocol (SCTP) แอปพลิเคชันจึงต้องจัดการกับการเรียงลำดับแพ็กเก็ตใหม่การสูญหายของดาตาแกรม และข้อมูลที่มีขนาดใหญ่กว่าขนาดของแพ็กเก็ตเครือข่าย ดาตาแกรม เนื่องจาก DTLS ใช้ UDP หรือ SCTP แทน TCP จึงหลีกเลี่ยงปัญหา TCP meltdown ^[⁴^]^[⁵^]เมื่อใช้ในการสร้างอุโมงค์ VPN

คำนิยาม

เอกสารต่อไปนี้ให้คำจำกัดความของ DTLS:

RFC 5238จากเดือนพฤษภาคม พ.ศ. 2551 ^{[ 6 ]}สำหรับการใช้งานร่วมกับDatagram Congestion Control Protocol (DCCP)
RFC 5415จากเดือนมีนาคม พ.ศ. 2552 ^{[ 7 ]}สำหรับการใช้งานร่วมกับการควบคุมและการจัดเตรียมจุดเชื่อมต่อไร้สาย (CAPWAP)
RFC 5764จากเดือนพฤษภาคม 2010 ^{[ 8 ]}สำหรับการใช้งานร่วมกับSecure Real-time Transport Protocol (SRTP) ซึ่งต่อมาเรียกว่าDTLS-SRTPในร่างที่มีSecure Real-Time Transport Control Protocol (SRTCP) ^{[ 9 ]}
RFC 6083จากเดือนมกราคม 2011 ^{[ 10 ]}สำหรับการใช้งานร่วมกับ การเข้ารหัส Stream Control Transmission Protocol (SCTP)
RFC 6347จากเดือนมกราคม 2012 ^{[ 2 ]}กำหนด DTLS 1.2
RFC 9147จากเดือนเมษายน 2022 ^{[ 3 ]}กำหนด DTLS 1.3

DTLS 1.0 ใช้พื้นฐานจาก TLS 1.1, DTLS 1.2 ใช้พื้นฐานจาก TLS 1.2 และ DTLS 1.3 ใช้พื้นฐานจาก TLS 1.3 ไม่มี DTLS 1.1 เนื่องจากหมายเลขเวอร์ชันนี้ถูกข้ามไปเพื่อให้หมายเลขเวอร์ชันสอดคล้องกับ TLS ^{[ 2 ]}เช่นเดียวกับ DTLS เวอร์ชันก่อนหน้า DTLS 1.3 มีจุดประสงค์เพื่อให้ "การรับประกันความปลอดภัยที่เทียบเท่า [กับ TLS 1.3] ยกเว้นการป้องกันลำดับ/การไม่สามารถเล่นซ้ำได้" ^{[ 11 ]}

การนำไปใช้

ห้องสมุด

การสนับสนุนห้องสมุดสำหรับ DTLS
การดำเนินการ	DTLS 1.0 ^{[ 1 ]}	DTLS 1.2 ^{[ 2 ]}	DTLS 1.3 ^{[ 3 ]}
โบตัน	ใช่	ใช่
คริปต์ลิบ	เลขที่	เลขที่
จีเอ็นทีแอลเอส	ใช่	ใช่
ส่วนขยายซ็อกเก็ตที่ปลอดภัยของ Java	ใช่	ใช่
ลิเบรเอสเอสแอล	ใช่	ใช่^{[ 12 ]}
libsystools ^{[ 13 ]}	ใช่	เลขที่
เมทริกซ์เอสเอสแอล	ใช่	ใช่
mbed TLS (เดิมชื่อ PolarSSL)	ใช่^{[ 14 ]}	ใช่^{[ 14 ]}
บริการรักษาความปลอดภัยเครือข่าย	ใช่^{[ 15 ]}	ใช่^{[ 16 ]}
โอเพ่นเอสเอสแอล	ใช่	ใช่^{[ 17 ]}
PyDTLS ^{[ 18 ]}^{[ 19 ]}	ใช่	ใช่
Python3-dtls ^{[ 20 ]}^{[ 21 ]}	ใช่	ใช่
อาร์เอสเอ บีเอสเอฟอี	เลขที่	เลขที่
s2n	เลขที่	เลขที่
Schannel XP/2003, Vista/2008	เลขที่	เลขที่
สช่อง 7/2008R2, 8/2012, 8.1/2012R2, 10	ใช่^{[ 22 ]}	ไม่^{[ 22 ]}
ช่อง 10 (1607), 2016	ใช่	ใช่^{[ 23 ]}
การขนส่งที่ปลอดภัย OS X 10.2–10.7 / iOS 1–4	เลขที่	เลขที่
การขนส่งที่ปลอดภัย OS X 10.8–10.10 / iOS 5–8	ใช่^{[ 24 ]}	เลขที่
SharkSSL	เลขที่	เลขที่
tinydtls ^{[ 25 ]}	เลขที่	ใช่
Waher.Security.DTLS ^{[ 26 ]}	เลขที่	ใช่
wolfSSL (เดิมคือ CyaSSL) ^{[ 27 ]}	ใช่	ใช่	ใช่
@nodertc/dtls ^{[ 28 ]}^{[ 29 ]}	เลขที่	ใช่
java-dtls ^{[ 30 ]}	ใช่	ใช่
pion/dtls ^{[ 31 ]} (Go)	เลขที่	ใช่
แคลิฟอร์เนียม/สแกนเดียม^{[ 32 ]} (ชวา)	เลขที่	ใช่
SNF4J ^{[ 33 ]} (Java)	ใช่	ใช่
การดำเนินการ	DTLS 1.0	DTLS 1.2	DTLS 1.3

แอปพลิเคชัน

Cisco AnyConnect VPN Client ใช้ TLS และคิดค้น VPN ที่ใช้ DTLS ^{[ 34 ]}
OpenConnectเป็นไคลเอ็นต์ที่เข้ากันได้กับ AnyConnect และ เซิร์ฟเวอร์ ocserv แบบโอเพนซอร์สที่รองรับ (D)TLS ^{[ 35 ]}
Cisco InterCloud Fabric ใช้ DTLS เพื่อสร้างอุโมงค์ระหว่างสภาพแวดล้อมการประมวลผลส่วนตัวและสาธารณะ/ผู้ให้บริการ^{[ 36 ]}
Cato Networksใช้ DTLS v1.2 สำหรับอุโมงค์ underlay ที่ใช้โดยทั้ง Cato Socket และ Cato ZTNA (เดิมคือ SDP) client เมื่อสร้างอุโมงค์ไปยัง Cato POPs ^{[ 37 ]}และเมื่อสร้างอุโมงค์นอกคลาวด์ระหว่าง Cato sockets ^{[ 38 ]}
อุโมงค์ ZScaler 2.0 สำหรับ ZScaler Internet Access (ZIA) ใช้ DTLS สำหรับการสร้างอุโมงค์ ZScaler Private Access (ZPA) ไม่รองรับ DTLS ^{[ 39 ]}
F5 Networks Edge VPN Clientใช้ TLS และ DTLS ^{[ 40 ]}
SSL VPN ของ Fortinet ^{[ 41 ]}และ SSL VPN ของ Array Networks ^{[ 42 ]}ยังใช้ DTLS สำหรับการสร้างอุโมงค์ VPN ด้วย
Citrix Systems NetScalerใช้ DTLS เพื่อรักษาความปลอดภัย UDP ^{[ 43 ]}
เว็บเบราว์เซอร์: Google Chrome , OperaและFirefoxรองรับ DTLS-SRTP ^{[ 44 ]}สำหรับWebRTC Firefox เวอร์ชัน 86 ขึ้นไปไม่รองรับ DTLS 1.0 ^{[ 45 ]}
โปรโตคอลการเข้าถึงเดสก์ท็อประยะไกลเวอร์ชัน 8.0 ขึ้นไป

ช่องโหว่

ในเดือนกุมภาพันธ์ พ.ศ. 2556 นักวิจัยสองคนจาก Royal Holloway มหาวิทยาลัยลอนดอน ค้นพบการโจมตีแบบกำหนดเวลา^{[ 46 ]}ซึ่งทำให้พวกเขาสามารถกู้คืน (บางส่วนของ) ข้อความธรรมดาจากการเชื่อมต่อ DTLS โดยใช้การใช้งาน DTLS ของ OpenSSL หรือ GnuTLS เมื่อใช้การเข้ารหัสโหมด Cipher Block Chaining

ดูเพิ่มเติม

ลิงก์ภายนอก

"Transport Layer Security (TLS) - Charter" . IETF .
Modadugu, Nagendra; Rescorla, Eric (2003-11-21). "การออกแบบและการใช้งาน Datagram TLS" (PDF) . Stanford Crypto Group . สืบค้นเมื่อ2013-03-17 .
AlFardan, Nadhem J.; Paterson, Kenneth G. "การโจมตีเพื่อกู้คืนข้อความธรรมดาต่อ Datagram TLS" (PDF) . เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 2012-01-18 . เรียกดูเมื่อ2013-11-25 .
Gibson, Steve; Laporte, Leo (2012-11-28). "Datagram Transport Layer Security" . Security Now 380 . สืบค้น เมื่อ 2013-03-17 .ข้ามไปที่นาทีที่ 1:07:14
ตัวอย่างโค้ดของ Robin Seggelmann : การแสดงผลลัพธ์ (echo), การสร้างอักขระ (character generator) และการตัดการเชื่อมต่อระหว่างไคลเอ็นต์/เซิร์ฟเวอร์ (discard client/server)
การเชื่อมต่อ DTLS แบบภาพประกอบ

[ 1 ]

[ 2 ]

[ 3 ]

[

[

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]

[ 35 ]

[ 36 ]

[ 37 ]

[ 38 ]

[ 39 ]

[ 40 ]

[ 41 ]

[ 42 ]

[ 43 ]

[ 44 ]

[ 45 ]

[ 46 ]