8. Sicherheitsaspekte (Security Considerations)

RTP-Pakete mit dem vorgeschlagenen Nutzdatenformat unterliegen den in der RTP-Spezifikation [1] und im RTP/AVP-Profil [2] diskutierten Sicherheitsüberlegungen. Dieses Profil definiert keine zusätzlichen Sicherheitsdienste.

Das Profil ändert das Zeitverhalten von RTCP, entfernt das Mindestintervall von fünf Sekunden und erlaubt früheres Feedback durch Empfänger. Gruppenmitglieder der zugehörigen RTP-Sitzung (die sich ggf. als viele Entitäten ausgeben) können den RTCP-Betrieb stören, indem sie viele RTCP-Pakete senden und so die für reguläre RTCP-Berichte und Early-FB verfügbare Bandbreite verringern. (Eine Entität muss kein Multicast-Mitglied sein, um solche Effekte zu erzielen.) Ebenso können böswillige Mitglieder sehr große RTCP-Nachrichten senden, wodurch avg_rtcp_size steigt und die effektiv verfügbare RTCP-Bandbreite sinkt.

Feedback kann unterdrückt werden, wenn unbekannte RTCP-Feedback-Pakete empfangen werden. Ein böswilliges Mitglied könnte so Early-Feedback reduzieren, indem es nutzdatenspezifische RTCP-Feedback-Pakete mit zufälligem Inhalt sendet, die kein Empfänger versteht (Unterdrückung) oder der Sender (keine Reparatur).

Ein böswilliges Mitglied kann auch willkürlich hohe Verlustraten melden und den Sender veranlassen, die Datenrate zu drosseln, Redundanz zu erhöhen oder andere Maßnahmen zu ergreifen -- mit möglicher Qualitätsverschlechterung.

Schließlich kann sich ein böswilliges Mitglied wie viele Mitglieder ausgeben, einen künstlich großen Anteil an der Early-Feedback-Bandbreite erhalten und die Reaktionsfähigkeit anderer verringern -- bis hin zum Verlassen des Immediate- oder Early-Feedback-Modus.

Sender und Empfänger SOLLTEN sich konservativ verhalten, wenn Berichtsverhalten auffällig ist. Bei exzessivem Fehlerreporting weniger Empfänger KANN der Sender dieses Feedback bei der Anpassung ignorieren. In jedem Fall SOLLTEN sie die maximale RTCP-Bandwidth einhalten und mindestens regelmäßige RTCP senden können. Sender SOLLTEN die Datenrate bei seltsamem Reporting sorgfältig anpassen; sie DÜRFEN die Sendebandbreite nicht erhöhen, auch wenn verdächtiges Feedback ignoriert wird.

Angriffe mit gefälschten RTCP-Paketen (regulär und early) lassen sich durch Authentifizierung aller RTCP-Nachrichten vermeiden, z. B. AVPF zusammen mit dem Secure-RTP-Profil [22]; Voraussetzung ist eine geeignete Kombination („SAVPF“) [21]. Bei Gruppenauthentifizierung (statt Quellenauthentifizierung) können die genannten Angriffe durch böswillige oder fehlerhafte Mitglieder mit passendem Schlüsselmaterial dennoch möglich sein.