1. Introduction (Introduzione)
SIP [RFC3261] e SDP [RFC4566] configurano sessioni multimediali o chiamate. SDP configura anche TCP [RFC4145] e TCP/TLS per le sessioni media [RFC4572]. RTP [RFC3550] trasporta i media in tempo reale su UDP e TCP [RFC4571]. Datagram TLS [RFC4347] applica TLS ai protocolli a datagrammi. Questo documento descrive come stabilire SRTP [RFC3711] su UDP con DTLS [RFC5764].
L'obiettivo è una negoziazione delle chiavi per comunicazioni cifrate senza relazioni pregresse e senza fiducia in ogni elemento di segnalazione, senza oneri per l'utente e senza certificati CA noti su tutti i dispositivi.
I media transitano in una sessione DTLS reciprocamente autenticata con certificati. I certificati portano solo le chiavi pubbliche (DTLS non ha modalità a chiave nuda). Possono essere autofirmati e generati al volo; sono ammessi anche certificati di terze parti (MAY). Le impronte sono scambiate in SDP su SIP (offer/answer).
L'impronta lega l'handshake DTLS al piano di segnalazione; serve integrità della segnalazione. Le firme S/MIME (RFC 3261) o SIP Identity [RFC4474] offrono alta sicurezza. Anche la sicurezza hop-by-hop (SIPS) aiuta. DTLS-SRTP richiede integrità, non riservatezza della segnalazione: meno elementi fidati. Con RFC 4474 spesso basta l'Authentication Service. Gli intermedi non possono alterare in modo invisibile (niente MITM). SDDESCRIPTIONS [RFC4568] richiede riservatezza della segnalazione: tutti gli intermedi devono essere fidati.
A differenza di MIKEY [RFC3830] nel segnale, DTLS-SRTP stabilisce la protezione sul percorso media e lega le chiavi crittograficamente a SIP/SDP. RTP e SIP restano usabili senza media cifrati.
In SIP il callee può inviare media monodirezionali prima della risposta SIP. Disaccoppiare la negoziazione delle chiavi media dal segnale SIP consente early media prima della risposta mantenendo la scelta del materiale di chiave da parte del mittente. Modifiche e rekey dopo la segnalazione iniziale non richiedono ulteriore SIP.
La sezione 3 discute le decisioni di progetto.