Оппортунистическое шифрование

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Оппортунистическое шифрование (OE) относится к любой системе, которая, при подключении к другой системе, пытается зашифровать канал передачи, а иначе переходит к незашифрованной связи. Этот метод не требует никакой предварительной подготовки между этими двумя системами.

Оппортунистическое шифрование может быть использовано для борьбы с пассивным прослушиванием[1]. (Активный перехват сообщений, с другой стороны, может прервать процесс установления шифрования, чтобы принудить к установлению незашифрованного канала.) Оно не обеспечивает сильный уровень безопасности, поскольку аутентификацию может быть трудно провести, а безопасные соединения не обязательны. Тем не менее, это делает шифрование большинства интернет-трафика простым в реализации, что убирает значительную преграду к массовому использованию защищённых передач данных в Интернете.

Маршрутизаторы[править | править код]

Проект FreeS/WAN был один из ранних сторонников оппортунистического шифрования[2]. Openswan был также отнесён к проекту OpenWrt. Openswan использует DNS-отчёты для облегчения обмена ключами между системами.

Unix и подобные Unix системы[править | править код]

Проекты FreeS/WAN и Openswan предлагают технологию VPN, которая может также работать в режиме оппортунистического шифрования, используя базируемую технологию IPsec. en:Obfuscated_TCP является ещё одним способом реализации оппортунистического шифрования.

OS Windows[править | править код]

У платформ Windows есть встроенное оппортунистическое шифрование, установленное по умолчанию. Этот метод является простой процедурой и использует IPsec для обеспечения трафика. Доступ к нему осуществляется через Microsoft Management Console и «Политику безопасности IP на локальном компьютере». Многие системы имеют проблемы, которые решаются путём преобразования сетевых адресов и достигаются путём добавления DWORD 2 к регистрации: HKLM\SYSTEM\CurrentControlSet\Services\IPsec\AssumeUDPEncapsulationContextOnSendRule[3]. Используя возможности, предоставленные в Microsoft Management Console, возможно адаптировать организацию сети, чтобы разрешить движение трафика к различным областям и протоколам, используя шифрование.

Электронная почта[править | править код]

Оппортунистическое шифрование может также использоваться как электронная почта, используя SMTP STARTTLS расширение для того, чтобы передавать сообщения через Интернет или Internet Message Access Protocol (IMAP). Расширение STARTTLS — позволяет прочитать электронную почту. С этим внедрением не существует необходимости получения свидетельства из центра сертификации, поскольку могут использоваться самоподписанные свидетельства.

  • RFC 2595 Используя TLS с IMAP, POP3 и ACAP
  • RFC 3207 Расширение SMTP для безопасного SMTP по TLS
  • STARTTLS

Многие системы используют вариант с третьей стороной дополнения к традиционным пакетам электронной почты. Они сначала пытаются получить ключ шифрования, а в случае неудачи, отправляют электронную почту в открытом виде.

Передача голоса по IP[править | править код]

Передача голоса по IP (VoIP) обеспечивает шифрование голосового движения, если это возможно. Некоторые версии линий и аналоговых телефонных адаптеров (ATA) включают в себя аппаратную реализацию SRTP с установкой сертификата и информационного сайта VoIP. Skype использует только безопасные соединения, и Gizmo5 пытается создать защищённые соединения между своими клиентами. Фил Циммерман, Алан Джонстон и Джон Каллас предложили новый протокол шифрования VoIP под названием ZRTP.

Веб-сайты[править | править код]

Для шифрования WWW / HTTP соединений, как правило, используется HTTPS. Он может также использоваться для оппортунистического шифрования веб-сайта. Большинство браузеров проверяет идентификационные данные веб-сервера, чтобы удостовериться, что сертификат SSL подписан доверенным центром сертификации. Самый простой способ включить оппортунистическое шифрование веб-сайта — это при помощи самоподписанных сертификатов. Благодаря этому браузер при каждом посещении, если пользователь не импортирует сертификат веб-сайта в их браузер, отображает на экране предупреждение.

Есть дополнения для в HTTPS Firefox и HTTPSfinder. Эти дополнения находят и автоматически переключают соединение с HTTPS, если это возможно.

См. также[править | править код]

Примечания[править | править код]

  1. Gilmore, John FreeS/WAN Project: History and Politics (13 мая 2003). Дата обращения 27 марта 2013. Архивировано 26 мая 2000 года.
  2. IPSec Howto (недоступная ссылка). OpenWrt Community wiki. Дата обращения 27 марта 2013. Архивировано 20 февраля 2010 года.
  3. L2TP/IPsec NAT-T update for Windows XP and Windows 2000. Microsoft. Дата обращения 27 марта 2013. Архивировано 9 апреля 2013 года.

Ссылки[править | править код]