7.5. Short and Zero-length Message Authentication (短长度和零长度消息认证)

7.5. Short and Zero-length Message Authentication (短长度和零长度消息认证)

如图 1 所示, SRTP 中建议使用认证标签。应该使用完整的 80 位认证标签, 但在某些条件下可以使用较短的标签甚至零长度标签 (即, 无消息认证) 以支持以下两种应用环境之一。

1. 在带宽保护至关重要的环境中, 强认证可能不切实际。一个重要的特殊情况是无线通信系统, 其中带宽是稀缺和昂贵的资源。研究表明, 对于某些应用和链路技术, 额外的字节可能导致频谱效率显著降低 [SWO]。已经做出了相当大的努力来设计 IP 头压缩技术以提高频谱效率 [RFC3095]。典型的语音应用产生 20 字节样本, 并且 RTP、UDP 和 IP 头需要联合压缩到平均一到两个字节才能获得可接受的无线带宽经济性 [RFC3095]。在这种情况下, 强认证将施加近百分之五十的开销。

2. 对于使用具有固定宽度字段的数据链路的应用, 认证是不切实际的, 这些字段无法适应由于认证标签而导致的扩展。这是一些重要的现有无线信道的情况。例如, 零字节头压缩用于在 CDMA2000 VoIP 服务中使 EVRC/SMV 语音适应传统 IS-95 承载信道。发现甚至无法向数据添加单个额外的八位字节, 这促使为 ROHC [RFC3242] 创建了零字节配置文件。

短标签对于受限的应用集是安全的。例如, 考虑一个语音电话应用, 如具有 20 毫秒打包间隔的 G.729 音频编解码器, 由 32 位消息认证标签保护。任何给定数据包被成功伪造的可能性仅为 2^32 分之一。因此, 攻击者平均只能在 994 天的时间内控制不超过 20 毫秒的音频输出。相比之下, 如果应用是有状态的, 单个伪造数据包的影响可能要大得多。跨数据包使用相对或预测压缩的编解码器将传播恶意生成的状态, 影响更长持续时间的输出。

当然, 并非所有 SRTP 或电话应用都满足短认证标签的标准。第 9.5 节提供了关于使用短认证或空认证的指南。