Passa al contenuto principale

1. Introduzione

1. Introduzione

Questo documento descrive un meccanismo per l'utilizzo di DTLS [RFC4347] per stabilire chiavi per flussi SRTP [RFC3711] e SRTCP [RFC3711]. SRTP e SRTCP (collettivamente denominati SRTP quando non c'è ambiguità) utilizzano crittografia e autenticazione a chiave simmetrica. Richiedono una chiave master, un salt master, un algoritmo di crittografia SRTP, un algoritmo di autenticazione SRTP e parametri SRTP. DTLS è un protocollo di sicurezza del canale che consente l'autenticazione reciproca degli endpoint e la negoziazione dei parametri crittografici. Dopo il completamento dell'handshake DTLS, i dati crittografati vengono inviati come una serie di record DTLS. Segnalando i parametri SRTP nell'handshake DTLS, DTLS può essere utilizzato per stabilire chiavi per flussi SRTP.

Questo documento definisce una nuova estensione DTLS che consente a un peer DTLS di negoziare l'uso di SRTP e fornire parametri per entrambe le politiche. L'estensione non fornisce una negoziazione completa della politica SRTP; la politica offerta nell'estensione DEVE includere ogni parametro necessario affinché l'endpoint ricevente decifri correttamente il traffico. L'estensione non fornisce un modo per negoziare l'uso di DTLS-SRTP, né fornisce un modo per negoziare quale politica SRTP utilizzare. L'handshake DTLS DEVE essere eseguito per fornire l'accordo sulle chiavi necessario per SRTP.

Un fattore motivante per lo sviluppo di DTLS-SRTP è l'attuale proliferazione di meccanismi per la gestione delle chiavi per SRTP [RFC4568][RFC4567][SDESCRIPTIONS] [MIKEY]. Un'altra motivazione è supportare lo sviluppo futuro di funzionalità come un'identità legata crittograficamente.

Va notato che DTLS-SRTP è molto simile e ampiamente compatibile con SDP Security Descriptions [RFC4568]. Le principali differenze sono:

  • DTLS-SRTP produce sicurezza end-to-end per i media, perché la negoziazione delle chiavi avviene sul percorso dei media. Con SDP Security Descriptions, la sicurezza è nota solo per essere hop-by-hop.
  • DTLS-SRTP fornisce autenticazione dell'identità limitata, utile quando è necessaria un'identità forte. Con SDP Security Descriptions, l'identità viene fornita interamente fuori banda.
  • DTLS-SRTP consente il rinnovo delle chiavi per sessioni di lunga durata. Con SDP Security Descriptions, il rinnovo delle chiavi generalmente richiede un altro scambio offerta/risposta.

L'interfaccia con l'applicazione è intesa essere molto semplice. L'unica informazione dell'applicazione necessaria è l'uso del materiale chiave; ad esempio, che deve essere utilizzato per SRTP. L'applicazione non ha bisogno di estrarre le chiavi o gli algoritmi crittografici, poiché lo stack RTP ha già accesso a essi.

Questo documento descrive anche come multiplexare pacchetti RTP, RTCP, DTLS e STUN su una singola porta UDP. STUN [RFC5389] viene utilizzato per consentire ai media di attraversare i Network Address Translator (NAT) e i firewall. Poiché RTP e RTCP vengono eseguiti sullo stesso host e porta, condividono la stessa associazione NAT.

Ultimo aggiornamento il