Datagram Transport Layer Security
Datagram Transport Layer Security (DTLS) ist ein auf TLS basierendes Verschlüsselungsprotokoll, das im Gegensatz zu TLS auch über verbindungslose Transportprotokolle wie UDP übertragen werden kann.
Anwendung | SIP | … | ||
Transport | DTLS | |||
UDP | ||||
Internet | IP (IPv4, IPv6) | |||
Netzzugang | Ethernet | Token Ring |
FDDI | … |
Geschichte
Hintergrund
Mit Voice over IP (VoIP) und dem dort verbreiteten Signalisierungsprotokoll SIP, welches aufgrund diverser Vorteile bevorzugt über UDP übertragen wird, kam der Bedarf auf, die durch TLS gegebene Sicherheit bei SIP über TCP auch auf den Transport über UDP zu übertragen. TLS selbst ist dafür nicht geeignet, da keines der nach einem Paketverlust folgenden Pakete mehr authentifiziert werden kann.
Obwohl DTLS im April 2006 im RFC 4347 standardisiert wurde, wird es in der Praxis bis jetzt nur beim ReSIProcate SIP Stack[2], Citrix[3] Enlightened Data Transport (ICA über UDP) und bei VPN-Protokollen wie Cisco AnyConnect eingesetzt.
Funktionsweise
Die Funktionsweise von DTLS entspricht weitgehend der von TLS. Um nicht durch zu starke Veränderung des ursprünglichen Protokolls eine Implikation bezüglich der Sicherheit des neuen Protokolls herbeizuführen, wurden nur an den Stellen Änderungen vorgenommen, an denen dies bei Verwendung eines nicht zuverlässigen Transportprotokolls notwendig ist. Diese Änderungen sind:
- Wiederherstellen der Zuverlässigkeit des Handshakes zu Beginn der Kommunikation, da in diesem Teil die Ankunft aller Pakete garantiert werden muss, um eine Authentifizierung und den Schlüsseltausch ermöglichen zu können. Dies geschieht dadurch, dass die Pakete nach einer bestimmten Zeit erneut gesendet werden.
- Explizite Nummerierung der einzelnen Pakete während der Übertragung. Dies geschieht bei TLS nur implizit, wodurch bei einem Paketverlust kein korrekter HMAC mehr berechnet werden kann, was eine Integritätsverletzung darstellt und wiederum zu einem Verbindungsabbruch führt.
- Eine optionale Replay-Detection für einzelne Pakete.
Normen und Standards
Einzelnachweise
- Nagendra Modadugu und Eric Rescorla: The Design and Implementation of Datagram TLS. In: Proceedings of NDSS 2004. 2004 (PDF-Datei; 194 kB).
- reSIProcate project
- 0: Configuring NetScaler Gateway to support EDT. Abgerufen am 16. Juni 2017.