6. Sicherheitsaspekte

Die definierten Nachrichten haben bestimmte Eigenschaften mit sicherheitsrelevanten Auswirkungen. Diese müssen von Nutzern dieses Protokolls adressiert und berücksichtigt werden.

Der definierte Setup-Signalisierungsmechanismus ist anfällig für Modifikationsangriffe, die zur Sitzungserstellung mit suboptimaler Konfiguration führen können und im schlimmsten Fall zur Sitzungsablehnung. Um diese Art von Angriff zu verhindern, sind Authentifizierung und Integritätsschutz der Setup-Signalisierung erforderlich.

Gefälschte oder böswillig erstellte Feedback-Nachrichten der in dieser Spezifikation definierten Art können folgende Auswirkungen haben:

a) stark reduzierte Medienbitrate aufgrund falscher TMMBR-Nachrichten, die das Maximum auf einen sehr niedrigen Wert setzen;

b) Zuweisung des Eigentums an einem Bounding Tuple an den falschen Teilnehmer innerhalb einer TMMBN-Nachricht, was potenziell unnötige Oszillationen im Bounding Set verursacht, wenn der irrtümlich identifizierte Eigentümer eine Änderung seines Tuples meldet und der wahre Eigentümer möglicherweise mit Änderungen zurückhält, bis eine korrekte TMMBN-Nachricht die Teilnehmer erreicht;

c) Senden von TSTRs, die zu einer von der Nutzerwunsch abweichenden Videoqualität führen und die Sitzung weniger nützlich machen;

d) Senden mehrerer FIR-Befehle, um die Bildrate zu reduzieren und das Video durch häufige Verwendung von Decoder Refresh Points ruckelig zu machen.

Um diese Angriffe zu verhindern, ist Authentifizierung und Integritätsschutz der Feedback-Nachrichten erforderlich. Dies kann gegen Bedrohungen außerhalb der aktuellen RTP-Sitzung mit dem RTP-Profil erreicht werden, das Secure RTP [SRTP] und AVPF zu SAVPF [SAVPF] kombiniert. In Mixer-Fällen können separate Sicherheitskontexte und Filterung zwischen Mixer und Teilnehmern angewendet werden und schützen so andere Nutzer am Mixer vor einem fehlverhaltenden Teilnehmer.