cifrado tcp

Autor(es) original(es)	Andrea Bittau, Mike Hamburg, Mark Handley , David Mazières, Dan Boneh y Quinn Slack.
Tipo	Protocolo de cifrado de comunicaciones
Sitio web	es.tcpcrypt.org

Protocolo de cifrado de comunicaciones de la capa de transporte

En redes informáticas , tcpcrypt es un protocolo de cifrado de comunicaciones de capa de transporte . ^[1]^[2] A diferencia de protocolos anteriores como TLS (SSL), tcpcrypt se implementa como una extensión TCP . Fue diseñado por un equipo de seis expertos en seguridad y redes: Andrea Bittau, Mike Hamburg, Mark Handley , David Mazières, Dan Boneh y Quinn Slack. ^[3] Tcpcrypt se ha publicado como borrador de Internet. ^[4] Hay implementaciones experimentales de espacio de usuario disponibles para Linux, Mac OS X, FreeBSD y Windows. También hay una implementación del kernel de Linux .

El grupo de trabajo TCPINC (TCP Increased Security) fue formado en junio de 2014 por IETF para trabajar en la estandarización de las extensiones de seguridad en el protocolo TCP. ^[5] En mayo de 2019, el grupo de trabajo publicó RFC 8547 y RFC 8548 como un estándar experimental para Tcpcrypt.

Descripción

Tcpcrypt ofrece cifrado oportunista : si alguna de las partes no admite esta extensión, el protocolo vuelve al TCP normal sin cifrar. Tcpcrypt también proporciona cifrado a cualquier aplicación que utilice TCP, incluso a aquellas que no conocen el cifrado. Esto permite una implementación gradual y sin problemas. ^[6]

A diferencia de TLS, tcpcrypt no realiza ninguna autenticación , sino que pasa un "ID de sesión" único a la aplicación; la aplicación puede usar este token para una mayor autenticación. Esto significa que se puede usar cualquier esquema de autenticación, incluidas contraseñas o certificados . También realiza una parte más grande de la iniciación de la conexión de clave pública en el lado del cliente, para reducir la carga en los servidores y mitigar los ataques DoS. ^[6]

Historia

El primer borrador de la especificación del protocolo se publicó en julio de 2010, y las implementaciones de referencia se publicaron en agosto. Sin embargo, después de las reuniones iniciales en el IETF, los promotores del protocolo no lograron ganar impulso para la estandarización y el proyecto quedó inactivo en 2011. ^[7]

En 2013 y 2014, tras las revelaciones de vigilancia global de Edward Snowden sobre la NSA y las agencias de otros gobiernos, la IETF adoptó una postura firme para proteger a los usuarios de Internet contra la vigilancia. ^[8]^[9] Esto se alinea con los objetivos de tcpcrypt de cifrado transparente ubicuo, que reavivó el interés en la estandarización del protocolo. Se creó una lista de correo oficial de la IETF para tcpcrypt en marzo de 2014, ^[10] seguida de la formación del grupo de trabajo TCPINC (TCP Increased Security) en junio ^[5] y una nueva versión del borrador de la especificación.

Actuación

Tcpcrypt aplica marcas de tiempo TCP y agrega sus propias opciones TCP a cada paquete de datos, lo que suma 36 bytes por paquete en comparación con TCP simple. Con un tamaño de paquete promedio observado para paquetes TCP de 471 bytes, ^[11] esto puede generar una sobrecarga del 8% del ancho de banda útil. Esta sobrecarga de 36 bytes puede no ser un problema para conexiones a Internet más rápidas que 64 kbs, pero puede ser un problema para usuarios de Internet por acceso telefónico.

En comparación con TLS/SSL , tcpcrypt está diseñado para tener un menor impacto en el rendimiento. En parte, esto se debe a que tcpcrypt no tiene autenticación incorporada, que puede implementarse mediante la propia aplicación. Las primitivas criptográficas se utilizan de tal manera que reducen la carga en el lado del servidor , porque un solo servidor generalmente tiene que brindar servicios a muchos más clientes que a la inversa. ^[6]

Implementaciones

Las implementaciones actuales en el espacio de usuario se consideran experimentales y, según se informa, son inestables en algunos sistemas. Tampoco es compatible con IPv6 todavía, que actualmente solo es compatible con la versión del kernel de Linux. Se espera que una vez que tcpcrypt se convierta en un estándar, los sistemas operativos vendrán con soporte para tcpcrypt incorporado, lo que hará innecesaria la solución en el espacio de usuario. ^{[ cita requerida ]}

Véase también

DTL
IPsec
TCP ofuscado : una propuesta fallida anterior para el cifrado TCP oportunista

Referencias

^ Andrea Bittau; et al. (13 de agosto de 2010). El caso del cifrado ubicuo a nivel de transporte (PDF) . 19.° Simposio de seguridad de USENIX.
^ Michael Cooney (19 de julio de 2010). "¿Se vislumbra una tecnología de cifrado ubicua?". Network World .
^ "tcpcrypt – Acerca de nosotros". tcpcrypt.org.
^ Bittau, A.; D. Boneh; M. Hamburg; M. Handley; D. Mazieres; Q. Slack (21 de julio de 2014). Protección criptográfica de flujos TCP (tcpcrypt). IETF . ID draft-bittau-tcpinc-01.
^ ab "Seguridad aumentada de TCP (tcpinc)". Carta del grupo de trabajo . Consultado el 25 de julio de 2014 .
^ abc Jake Edge (25 de agosto de 2010). "Cifrado a nivel de transporte con Tcpcrypt". LWN.net .
^ Mark Handley (9 de septiembre de 2013). "¿Parche de kernel para Linux 3.10.10?" (Lista de correo). Hace dos años no logramos que tcpcrypt tuviera mucho éxito.
^ Richard Chirgwin (14 de mayo de 2014). "IETF planea hacer que todos los futuros protocolos de Internet sean a prueba de la NSA". The Register .
^ Mark Jackson (13 de mayo de 2014). "IETF se compromete a obstaculizar la vigilancia masiva de Internet patrocinada por el Estado". ISP Review.
^ "Nueva lista de correo no perteneciente al grupo de trabajo: Tcpcrypt -- Lista de discusión para agregar cifrado a TCP" (Lista de correo). Secretaría de la IETF. 24 de marzo de 2014.
^ "Sean McCreary y KC Klaffy". "Tendencias en los patrones de tráfico IP de área amplia: una perspectiva desde Ames Internet Exchange".

Enlaces externos

es.tcpcrypt.org
Carta del grupo de trabajo TCPINC en el IETF
Diapositivas de la presentación de USENIX 2010, que explica los conceptos básicos de tcpcrypt

[1] Andrea Bittau; et al. (13 de agosto de 2010). El caso del cifrado ubicuo a nivel de transporte (PDF) . 19.° Simposio de seguridad de USENIX.

[2] Michael Cooney (19 de julio de 2010). "¿Se vislumbra una tecnología de cifrado ubicua?". Network World .

[3] "tcpcrypt – Acerca de nosotros". tcpcrypt.org.

[ietf-draft-4] Bittau, A.; D. Boneh; M. Hamburg; M. Handley; D. Mazieres; Q. Slack (21 de julio de 2014). Protección criptográfica de flujos TCP (tcpcrypt). IETF . ID draft-bittau-tcpinc-01.

[tcpinc-5] "Seguridad aumentada de TCP (tcpinc)". Carta del grupo de trabajo . Consultado el 25 de julio de 2014 .

[lwn-6] Jake Edge (25 de agosto de 2010). "Cifrado a nivel de transporte con Tcpcrypt". LWN.net .

[7] Mark Handley (9 de septiembre de 2013). "¿Parche de kernel para Linux 3.10.10?" (Lista de correo). Hace dos años no logramos que tcpcrypt tuviera mucho éxito.

[8] Richard Chirgwin (14 de mayo de 2014). "IETF planea hacer que todos los futuros protocolos de Internet sean a prueba de la NSA". The Register .

[9] Mark Jackson (13 de mayo de 2014). "IETF se compromete a obstaculizar la vigilancia masiva de Internet patrocinada por el Estado". ISP Review.

[10] "Nueva lista de correo no perteneciente al grupo de trabajo: Tcpcrypt -- Lista de discusión para agregar cifrado a TCP" (Lista de correo). Secretaría de la IETF. 24 de marzo de 2014.

[mcreary-11] "Sean McCreary y KC Klaffy". "Tendencias en los patrones de tráfico IP de área amplia: una perspectiva desde Ames Internet Exchange".