Опортуністичне шифрування

Опортуністичне шифрування (OE) відноситься до будь-якої системи, яка, при підключенні до іншої системи, намагається зашифрувати канал передачі, а інакше переходить до незашифроване зв'язку. Цей метод не вимагає ніякої попередньої підготовки між цими двома системами.

Опортуністичне шифрування може бути використане для боротьби з пасивним прослуховуванням^[1]. Активне перехоплення повідомлень, з іншого боку, може перервати процес встановлення шифрування, щоб примусити до встановлення незашифрованого каналу. Воно не забезпечує сильний рівень безпеки, оскільки автентифікацію може бути важко провести, а безпечні з'єднання не обов'язкові. Тим не менш, це робить шифрування більшості інтернет-трафіку простим у реалізації, що прибирає значну перешкоду до масового використання захищених передач даних в Інтернеті.

Маршрутизатори ред.

Проект FreeS/WAN був одним з ранніх прихильників опортуністичного шифрування^[2]. Openswan був віднесений до проекту OpenWrt. Openswan використовує DNS-звіти для полегшення обміну ключами між системами.

Unix та Unix-подібні системи ред.

Проекти FreeS/WAN і Openswan пропонують технологію VPN, яка може також працювати в режимі опортуністичного шифрування, використовуючи технологію IPsec. TCP є ще одним способом реалізації опортуністичного шифрування.

OS Windows ред.

У платформ Windows є вбудоване опортуністичне шифрування, встановлене за замовчуванням. Цей метод є простою процедурою і використовує IPsec для забезпечення трафіку. Доступ до нього здійснюється через Microsoft Management Console і «Політику безпеки IP на локальному комп'ютері». Багато систем мають проблеми, які вирішуються шляхом перетворення мережевих адрес і досягаються шляхом додавання DWORD 2 до реєстрації: HKLM\SYSTEM\CurrentControlSet\Services\IPsec\AssumeUDPEncapsulationContextOnSendrule^[3]. Використовуючи можливості, надані в Microsoft Management Console, можливо адаптувати організацію мережі, щоб дозволити рух трафіку до різних областей і різними протоколами, використовуючи шифрування.

Електронна пошта ред.

Опортуністичне шифрування може також використовуватися як електронна пошта, використовуючи SMTP STARTTLS розширення для того, щоб надсилати повідомлення через Інтернет або Internet Message Access Protocol (IMAP). Розширення STARTTLS — дозволяє прочитати електронну пошту. З цим впровадженням не існує необхідності отримання свідоцтва з центру сертифікації, оскільки можуть використовуватися самопідписані сертифікати.

RFC 2595 Використовуючи TLS з IMAP, POP3 та ACAP
RFC 3207 Розширення SMTP для безпечного SMTP по TLS
STARTTLS

Багато системи використовують варіант з третьою стороною доповнення до традиційних пакетів електронної пошти. Вони спочатку намагаються отримати ключ шифрування, а в разі невдачі, відправляють електронну пошту у відкритому вигляді.

Передача голосу по IP ред.

Передача голосу по IP (VoIP) забезпечує шифрування голосового руху, якщо це можливо. Деякі версії ліній і аналогових телефонних адаптерів (ATA) включають в себе апаратну реалізацію SRTP з установкою сертифіката та інформаційного сайту VoIP. Skype використовує тільки безпечні з'єднання, і Gizmo5 намагається створити захищені з'єднання між своїми клієнтами. Філ Циммерман, Алан Джонстон і Джон Каллас запропонували новий протокол шифрування VoIP під назвою ZRTP.

Вебсайти ред.

Для шифрування WWW / HTTP з'єднань, як правило, використовується HTTPS. Він може також використовуватися для опортуністичного шифрування вебсайту. Більшість браузерів перевіряє ідентифікаційні дані вебсервера, щоб упевнитися, що сертифікат SSL підписано довіреним центром сертифікації. Найпростіший спосіб включити опортуністичне шифрування вебсайту — за допомогою самопідписаних сертифікатів. Завдяки цьому браузер при кожному відвідуванні, якщо користувач не імпортує сертифікат вебсайту в їх браузер, відображає на екрані попередження.

Істують браузерні доповнення для Firefox HTTPS і HTTPSfinder. Ці доповнення знаходять і автоматично перемикають з'єднання з HTTPS, якщо це можливо.

Дивись також ред.

Примітки ред.

↑ Gilmore, John (13 травня 2003). FreeS/WAN Project: History and Politics. Архів оригіналу за 26 травня 2000. Процитовано 12 квітня 2018.
↑ IPSec Howto. OpenWrt Community wiki.
↑ L2TP/IPsec NAT-T update for Windows XP and Windows 2000. Microsoft. Архів оригіналу за 9 квітня 2013. Процитовано 12 квітня 2018.

Посилання ред.

Enabling Email Confidentiality through the use of Opportunistic Encryption
Windows OE HOWTO
Windows KB article on NAT-T and DH2048
[rfc:4322 RFC 4322 — Opportunistic Encryption using the Internet Key Exchange (IKE)] 2009

[1] Gilmore, John (13 травня 2003). FreeS/WAN Project: History and Politics. Архів оригіналу за 26 травня 2000. Процитовано 12 квітня 2018.

[2] IPSec Howto. OpenWrt Community wiki.

[3] L2TP/IPsec NAT-T update for Windows XP and Windows 2000. Microsoft. Архів оригіналу за 9 квітня 2013. Процитовано 12 квітня 2018.

[1]

[2]

[3]