5. Sicherheitshinweise

Das SAVPF-Profil erbt seine Sicherheitseigenschaften vom SAVP-Profil; daher unterliegt es den in RFC 3711 [4] erörterten Sicherheitshinweisen. Im Vergleich zu SAVP fügt das SAVPF-Profil keine Sicherheitsdienste hinzu und entfernt auch keine.

Es besteht der Wunsch, Sicherheit für Medienströme und gleichzeitig Abwärtskompatibilität mit Nicht-SAVP(F)-Knoten zu unterstützen.

Anwendungsentwickler sollten sich darüber im Klaren sein, dass Sicherheit NICHT gegen Interoperabilität eingetauscht werden SOLLTE. Wenn Informationen an geschlossene Gruppen verteilt werden sollen (d. h. vertraulich geschützt), wird EMPFOHLEN, keine anderen Alternativen für eine Mediensitzung als SAVP und SAVPF anzubieten, wie in den Abschnitten 3.3 und 3.4 beschrieben, es sei denn, es werden andere Sicherheitsmechanismen verwendet, z. B. die in Abschnitt 9.1 von RFC 3550 [1] beschriebenen. Wenn Integritätsschutz als wichtig erachtet wird, wird ebenfalls EMPFOHLEN, keine anderen Alternativen als SAVP und SAVPF anzubieten, es sei denn, es ist bekannt, dass andere Mechanismen vorhanden sind, die dies garantieren können, z. B. Mechanismen auf niedriger Ebene, wie in Abschnitt 9 von RFC 3550 [1] beschrieben.

Das gleichzeitige Anbieten von sicheren und unsicheren Profilen kann Bidding-Down-Angriffe ermöglichen. Daher SOLLTE eine solche Mischung von Profilangeboten NICHT vorgenommen werden.

Beachten Sie, dass die Regeln für die gemeinsame Nutzung von Master-Keys wie in RFC 3711 [4] beschrieben gelten (z. B. Abschnitt 9.1). Insbesondere gelten dieselben Regeln zur Vermeidung des "Two-Time Pad" (Wiederverwendung des Keystreams): Ein Master-Key DARF NICHT von verschiedenen RTP-Sitzungen gemeinsam genutzt werden, es sei denn, die verwendeten SSRCs sind über alle RTP-Ströme der RTP-Sitzungen hinweg eindeutig, die denselben Master-Key gemeinsam nutzen.

Wenn 2^48 SRTP-Pakete oder 2^31 SRTCP-Pakete mit demselben Schlüssel gesichert wurden (je nachdem, was zuerst eintritt), MUSS das Schlüsselmanagement aufgerufen werden, um neue Master-Keys bereitzustellen (zuvor gespeicherte und verwendete Schlüssel DÜRFEN NICHT erneut verwendet werden), oder die Sitzung MUSS beendet werden.

Verschiedene Mediensitzungen können eine Mischung aus verschiedenen Profilen verwenden, insbesondere ein sicheres Profil und ein unsicheres Profil. Das Mischen von sicheren und unsicheren Mediensitzungen kann jedoch Informationen an Dritte preisgeben, und daher MUSS die Entscheidung dafür im Einklang mit einer lokalen Sicherheitsrichtlinie stehen. Beispielsweise MUSS die lokale Richtlinie festlegen, ob es akzeptabel ist, dass z. B. der Audiostrom nicht gesichert und das zugehörige Video gesichert ist.

Die Sicherheitshinweise in RFC 4585 [3] sind ebenfalls gültig. Beachten Sie insbesondere, dass die Anwendung des SAVPF-Profils einen obligatorischen Integritätsschutz für RTCP impliziert. Dies löst zwar das Problem falscher Pakete von Mitgliedern, die nicht zur Gruppe gehören, löst aber nicht die Probleme im Zusammenhang mit einem böswilligen Mitglied, das sich unangemessen verhält.