Zum Hauptinhalt springen

7.4. Data Origin Authentication Considerations (Überlegungen zur Datenherkunftsauthentifizierung)

7.4. Data Origin Authentication Considerations (Überlegungen zur Datenherkunftsauthentifizierung)

Beachten Sie, dass bei paarweisen Kommunikationen Integrität und Datenherkunftsauthentifizierung zusammen bereitgestellt werden. In Gruppenszenarien, in denen die Schlüssel zwischen Mitgliedern geteilt werden, beweist das MAC-Tag jedoch nur, dass ein Mitglied der Gruppe das Paket gesendet hat, verhindert aber nicht, dass sich ein Mitglied als ein anderes ausgibt. Die Datenherkunftsauthentifizierung (DOA) für Multicast- und Gruppen-RTP-Sitzungen ist ein schwieriges Problem, das einer Lösung bedarf; während einige vielversprechende Vorschläge untersucht werden [PCST1] [PCST2], ist mehr Arbeit erforderlich, um diese Technologien rigoros zu spezifizieren. Daher ist die SRTP-Datenherkunftsauthentifizierung in Gruppen Gegenstand weiterer Studien.

DOA kann alternativ mit Signaturen durchgeführt werden. Dies hat jedoch hohe Auswirkungen in Bezug auf Bandbreite und Verarbeitungszeit, daher bieten wir diese Form der Authentifizierung nicht in der vordefinierten Paketintegritätstransformation an.

Das Vorhandensein von Mixern und Translatoren erlaubt keine Datenherkunftsauthentifizierung, wenn die RTP-Nutzlast und/oder der RTP-Header manipuliert werden. Beachten Sie, dass diese Arten von Zwischenentitäten auch die Ende-zu-Ende-Vertraulichkeit stören (da die IV-Bildung z.B. von der Bewahrung des RTP-Headers abhängt). Ein bestimmtes Vertrauensmodell kann sich dafür entscheiden, den Mixern/Translatoren zu vertrauen, um die Medien zu entschlüsseln/neu zu verschlüsseln (dies würde bedeuten, die Ende-zu-Ende-Sicherheit zu brechen, mit damit verbundenen Sicherheitsimplikationen).

Letztes Update am