9. Security Considerations (Sicherheitsaspekte)
9. Security Considerations (Sicherheitsaspekte)
RTP-Pakete, die das in dieser Spezifikation definierte Nutzlastformat verwenden, unterliegen den in der RTP-Spezifikation [5] und in jedem geeigneten RTP-Profil (z. B. [16]) erörterten Sicherheitsaspekten. Daraus folgt, dass die Vertraulichkeit der Mediendatenströme durch Verschlüsselung erreicht wird, etwa durch den Einsatz des Secure Real-time Transport Protocol (sicheres Echtzeit-Transportprotokoll, SRTP) [26]. Da die mit diesem Nutzlastformat verwendete Datenkompression Ende-zu-Ende angewendet wird, muss jede Verschlüsselung nach der Kompression erfolgen. Für Datenkodierungen, die Kompressionstechniken mit ungleichmäßiger rechenintensiver Last auf der Empfängerseite nutzen, besteht eine potenzielle Bedrohung durch Denial-of-Service (Diensteverweigerung). Ein Angreifer kann pathologische Datagramme in den Strom einspeisen, die aufwendig zu dekodieren sind und den Empfänger überlasten. H.264 ist für solche Angriffe besonders anfällig, da es äußerst einfach ist, Datagramme zu erzeugen, die Network Abstraction Layer Units (Netzwerkabstraktionsschicht-Einheiten, NAL-Einheiten) enthalten, die den Dekodierungsprozess vieler späterer NAL-Einheiten beeinflussen. Daher SOLLTE mindestens für das RTP-Paket Datenursprungsauthentifizierung und Datenintegritätsschutz verwendet werden, z. B. mit SRTP [26].
Zu beachten ist, dass das geeignete Verfahren zur Gewährleistung von Vertraulichkeit und Integrität von RTP-Paketen und ihren Nutzlasten stark von der Anwendung sowie von den eingesetzten Transport- und Signalisierungsprotokollen abhängt. Obwohl SRTP oben als Beispiel genannt wurde, gibt es daher auch andere mögliche Optionen.
Dekodierer MÜSSEN bei der Verarbeitung von user data SEI messages (SEI-Nachrichten mit Nutzerdaten) Vorsicht walten lassen, insbesondere wenn sie aktive Elemente enthalten, und MÜSSEN ihren Geltungsbereich auf die Präsentation (presentation) beschränken, die den Datenstrom enthält.
Ende-zu-Ende-Sicherheit mit Authentifizierung, Integrität oder Vertraulichkeitsschutz verhindert, dass ein media-aware network element (medienbewusstes Netzelement, MANE) andere als medienbewusste Operationen als das Verwerfen vollständiger Pakete ausführt. Bei Vertraulichkeitsschutz wird ihm sogar das medienbewusste Verwerfen von Paketen verwehrt. Um seine Operationen ausführen zu dürfen, muss ein MANE eine vertrauenswürdige Entität sein, die in die Einrichtung des Sicherheitskontexts einbezogen ist.