Aller au contenu principal

1. Introduction

1. Introduction

Ce document décrit un mécanisme d'utilisation de DTLS [RFC4347] pour établir des clés pour les flux SRTP [RFC3711] et SRTCP [RFC3711]. SRTP et SRTCP (collectivement appelés SRTP en l'absence d'ambiguïté) utilisent le chiffrement et l'authentification à clé symétrique. Ils nécessitent une clé maîtresse, un sel maître, un algorithme de chiffrement SRTP, un algorithme d'authentification SRTP et des paramètres SRTP. DTLS est un protocole de sécurité de canal qui permet l'authentification mutuelle des points de terminaison et la négociation des paramètres cryptographiques. Une fois la poignée de main DTLS terminée, les données chiffrées sont envoyées sous forme d'une série d'enregistrements DTLS. En signalant les paramètres SRTP dans la poignée de main DTLS, DTLS peut être utilisé pour établir des clés pour les flux SRTP.

Ce document définit une nouvelle extension DTLS qui permet à un pair DTLS de négocier l'utilisation de SRTP et de fournir des paramètres pour les deux politiques. L'extension ne fournit pas une négociation complète de la politique SRTP; la politique offerte dans l'extension DOIT inclure tous les paramètres nécessaires pour que le point de terminaison récepteur déchiffre correctement le trafic. L'extension ne fournit pas de moyen de négocier l'utilisation de DTLS-SRTP, ni de moyen de négocier la politique SRTP à utiliser. La poignée de main DTLS DOIT être effectuée pour fournir l'accord de clés nécessaire pour SRTP.

L'un des facteurs motivant le développement de DTLS-SRTP est la prolifération actuelle de mécanismes de gestion des clés pour SRTP [RFC4568][RFC4567][SDESCRIPTIONS] [MIKEY]. Une autre motivation est de soutenir le développement futur de fonctionnalités telles qu'une identité liée cryptographiquement.

Il convient de noter que DTLS-SRTP est très similaire et largement compatible avec SDP Security Descriptions [RFC4568]. Les principales différences sont:

  • DTLS-SRTP produit une sécurité de bout en bout pour le média, car l'établissement de clés se produit sur le chemin média. Avec SDP Security Descriptions, la sécurité n'est connue que pour être de saut en saut.
  • DTLS-SRTP fournit une authentification d'identité limitée, utile lorsqu'une identité forte est nécessaire. Avec SDP Security Descriptions, l'identité est entièrement fournie hors bande.
  • DTLS-SRTP permet le renouvellement des clés pour les sessions de longue durée. Avec SDP Security Descriptions, le renouvellement des clés nécessite généralement un autre échange offre/réponse.

L'interface avec l'application est destinée à être très simple. La seule information d'application nécessaire est l'utilisation du matériel de clés; par exemple, qu'il doit être utilisé pour SRTP. L'application n'a pas besoin d'extraire les clés ou les algorithmes cryptographiques, car la pile RTP y a déjà accès.

Ce document décrit également comment multiplexer les paquets RTP, RTCP, DTLS et STUN sur un seul port UDP. STUN [RFC5389] est utilisé pour permettre au média de traverser les traducteurs d'adresses réseau (NAT) et les pare-feu. Étant donné que RTP et RTCP s'exécutent sur le même hôte et port, ils partagent la même liaison NAT.

Dernière mise à jour le