Aller au contenu principal

8.1.1. Use of the <From, To> for re-keying (Utilisation de <From, To> pour le renouvellement de clé)

8.1.1. Use of the <From, To> for re-keying (Utilisation de <From, To> pour le renouvellement de clé)

En plus de l'utilisation du MKI, SRTP définit un autre mécanisme optionnel pour la récupération de clé maître, le <From, To>. Le <From, To> spécifie la plage d'indices SRTP (une paire de numéro de séquence et ROC) dans laquelle une certaine clé maître est valide, et fait (lorsqu'il est utilisé) partie du contexte cryptographique. En examinant l'indice SRTP de 48 bits du paquet SRTP actuel, la clé maître correspondante peut être trouvée en déterminant à quel intervalle From-To il appartient. Pour SRTCP, l'indice SRTP le plus récemment observé/utilisé (qui peut être obtenu à partir du contexte cryptographique) est utilisé à cette fin, même si SRTCP a son propre indice (31 bits) (voir mise en garde ci-dessous).

Cette méthode, comparée au MKI, a l'avantage d'identifier la clé maître et de définir sa durée de vie sans ajouter de bits supplémentaires à chaque paquet. Cela pourrait être utile, comme déjà noté, pour certains liens sans fil qui ne prennent pas en charge les bits ajoutés. Cependant, son utilisation DEVRAIT être limitée à des scénarios spécifiques et très simples. Nous recommandons de limiter son utilisation lorsque la session RTP est un flux unidirectionnel ou bidirectionnel simple. En effet, dans le cas de flux multiples, il est difficile de déclencher le renouvellement de clé sur la base du <From, To> d'un seul flux RTP. Par exemple, si plusieurs flux partagent une clé maître, il n'y a pas de correspondance simple un-à-un entre l'espace de séquence d'indices d'un certain flux et l'espace de séquence d'indices sur lequel les valeurs <From, To> sont basées. Par conséquent, lorsqu'une clé maître est partagée entre des flux, l'un de ces flux DOIT être désigné par la gestion des clés comme celui dont l'espace d'indices définit les points de renouvellement de clé. De plus, le déclenchement du renouvellement de clé sur SRTCP est basé sur le flux SRTP correspondant, c'est-à-dire que lorsque le flux SRTP change la clé maître, le SRTCP correspondant le fait également. Cela devient évidemment de plus en plus complexe avec plusieurs flux.

Les valeurs par défaut pour le <From, To> sont "à partir du premier paquet observé" et "jusqu'à nouvel ordre". Cependant, la limite maximale de paquets SRTP/SRTCP envoyés sous chaque clé maître/session donnée (Section 9.2) NE DOIT PAS être dépassée.

Dans le cas où le <From, To> est utilisé comme récupération de clé, le MKI n'est pas inséré dans le paquet (et son indicateur dans le contexte cryptographique est nul). Cependant, l'utilisation du MKI n'exclut pas l'utilisation simultanée de la durée de vie de clé <From, To>. Cela peut par exemple être utile pour signaler du côté de l'expéditeur à quel moment un MKI doit être activé.

Dernière mise à jour le