Tcpcrypt, szyfrowanie na poziomie TCP

in

Tcpcrypt jest propozycją rozszerzeniem protokołu TCP o szyfrowanie danych na poziomie warstwy transportowej, z wysoce zautomatyzowaną wymianą klucza i zerową konfiguracją przez użytkownika.

Tcpcrypt wprowadza dwa nowe rozszerzenia TCP - CRYPT i MAC. Rozszerzenie CRYPT służy do poinformowania drugiej strony o dostępności funkcji kryptograficznych oraz uzgodnienia klucza sesyjnego. Celem rozszerzenia MAC jest ochrona integralności pakietów.

Podstawowe założenia Tcpcrypt to minimalne obciążenie serwera operacjami kryptograficznymi oraz ochrona przed atakami pasywnymi. Celem Tcpcrypt nie jest wszechstronne uwierzytelnienie stron, jest to więc raczej odpowiednik protokołów Encapsulation Security Payload czy SSL Record Protocol niż ISAKMP czy SSL Handshake. Ale takie jest założenie projektowe - Tcpcrypt ma być maksymalnie oportunistyczny, to znaczy włączać się gdy obie strony go rozumieją i nie wymagać żadnych specjalnych procedur ustanawiających zaufanie.

Rozszerzanie protokołu TCP o funkcje bezpieczeństwa nie jest niczym nowym - od 1998 roku część systemów używających protokołu BGP stosowało w celu ochrony transmisji rozszerzenie TCP-MD5 (RFC 2385).

Tcpcrypt ma status propozycji (internet draft), której ważność (w rozumieniu IETF) wygasa w styczniu 2011 roku (Cryptographic protection of TCP Streams (tcpcrypt)).

Na stronie Tcpcrypt poza dokumentacją i propozycją standardu jest dostępna także testowa implementacja dla popularnych systemów operacyjnych.

http://tcpcrypt.org/