Оппортунистическое шифрование
Оппортунистическое шифрование (OE) относится к любой системе, которая, при подключении к другой системе, пытается зашифровать канал передачи, а иначе переходит к незашифрованной связи. Этот метод не требует никакой предварительной подготовки между этими двумя системами.
Оппортунистическое шифрование может быть использовано для борьбы с пассивным прослушиванием[1]. (Активный перехват сообщений, с другой стороны, может прервать процесс установления шифрования, чтобы принудить к установлению незашифрованного канала.) Оно не обеспечивает сильный уровень безопасности, поскольку аутентификацию может быть трудно провести, а безопасные соединения не обязательны. Тем не менее, это делает шифрование большинства интернет-трафика простым в реализации, что убирает значительную преграду к массовому использованию защищённых передач данных в Интернете.
Маршрутизаторы[править | править код]
Проект FreeS/WAN был один из ранних сторонников оппортунистического шифрования[2]. Openswan был также отнесён к проекту OpenWrt. Openswan использует DNS-отчёты для облегчения обмена ключами между системами.
Unix и подобные Unix системы[править | править код]
Проекты FreeS/WAN и Openswan предлагают технологию VPN, которая может также работать в режиме оппортунистического шифрования, используя базируемую технологию IPsec. en:Obfuscated_TCP является ещё одним способом реализации оппортунистического шифрования.
OS Windows[править | править код]
У платформ Windows есть встроенное оппортунистическое шифрование, установленное по умолчанию. Этот метод является простой процедурой и использует IPsec для обеспечения трафика. Доступ к нему осуществляется через Microsoft Management Console и «Политику безопасности IP на локальном компьютере». Многие системы имеют проблемы, которые решаются путём преобразования сетевых адресов и достигаются путём добавления DWORD 2 к регистрации: HKLM\SYSTEM\CurrentControlSet\Services\IPsec\AssumeUDPEncapsulationContextOnSendRule[3]. Используя возможности, предоставленные в Microsoft Management Console, возможно адаптировать организацию сети, чтобы разрешить движение трафика к различным областям и протоколам, используя шифрование.
Электронная почта[править | править код]
Оппортунистическое шифрование может также использоваться как электронная почта, используя SMTP STARTTLS расширение для того, чтобы передавать сообщения через Интернет или Internet Message Access Protocol (IMAP). Расширение STARTTLS — позволяет прочитать электронную почту. С этим внедрением не существует необходимости получения свидетельства из центра сертификации, поскольку могут использоваться самоподписанные свидетельства.
- RFC 2595 Используя TLS с IMAP, POP3 и ACAP
- RFC 3207 Расширение SMTP для безопасного SMTP по TLS
- STARTTLS
Многие системы используют вариант с третьей стороной дополнения к традиционным пакетам электронной почты. Они сначала пытаются получить ключ шифрования, а в случае неудачи, отправляют электронную почту в открытом виде.
Передача голоса по IP[править | править код]
Передача голоса по IP (VoIP) обеспечивает шифрование голосового движения, если это возможно. Некоторые версии линий и аналоговых телефонных адаптеров (ATA) включают в себя аппаратную реализацию SRTP с установкой сертификата и информационного сайта VoIP. Skype использует только безопасные соединения, и Gizmo5 пытается создать защищённые соединения между своими клиентами. Фил Циммерман, Алан Джонстон и Джон Каллас предложили новый протокол шифрования VoIP под названием ZRTP.
Веб-сайты[править | править код]
Для шифрования WWW / HTTP соединений, как правило, используется HTTPS. Он может также использоваться для оппортунистического шифрования веб-сайта. Большинство браузеров проверяет идентификационные данные веб-сервера, чтобы удостовериться, что сертификат SSL подписан доверенным центром сертификации. Самый простой способ включить оппортунистическое шифрование веб-сайта — это при помощи самоподписанных сертификатов. Благодаря этому браузер при каждом посещении, если пользователь не импортирует сертификат веб-сайта в их браузер, отображает на экране предупреждение.
Есть дополнения для в HTTPS Firefox и HTTPSfinder. Эти дополнения находят и автоматически переключают соединение с HTTPS, если это возможно.
См. также[править | править код]
Примечания[править | править код]
- ↑ Gilmore, John FreeS/WAN Project: History and Politics (13 мая 2003). Дата обращения: 27 марта 2013. Архивировано 26 мая 2000 года.
- ↑ IPSec Howto. OpenWrt Community wiki. Дата обращения: 27 марта 2013. Архивировано из оригинала 20 февраля 2010 года.
- ↑ L2TP/IPsec NAT-T update for Windows XP and Windows 2000. Microsoft. Дата обращения: 27 марта 2013. Архивировано 9 апреля 2013 года.