Какова уязвимость данного подхода?

В интернете часто слышал: "Don't do your own secure layer". Имеется в виду не делать своё шифрование поверх UDP, а взять что-то готовое, например, DTLS.

Так вот, что мешает, установить TLS-соединение, внутри него (уже по безопасному зашифрованному соединению) обменяться симметричными ключами для шифрования, и далее общаться по UDP, шифруя пакеты, ключами, полученными ранее по TLS-соединению? Есть ли здесь какие-либо очевидные или не очень уязвимости ?
  • Вопрос задан
  • 812 просмотров
Решения вопроса 1
ky0
@ky0
Миллиардер, филантроп, патологический лгун
Поздравляю, вы изобрели "your own PFS" :)

В принципе, внутри нормально зашифрованного канала можно делать что угодно, хоть обменяться ключами и установить новое, на основе этих ключей, соединение - только зачем? Всякого рода IPSec-туннели и site-to-site впны для того и служат, чтобы можно было внутри них пускать нешифрованный трафик, если, например, протокол шифрования не умеет.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
Имеется в виду не делать своё шифрование поверх UDP
Здесь скорее всего главное не делать своё шифрование. UDP всего лишь транспорт, ему совершенно всё равно какую нагрузку он несёт. RH собирается реализовать поддержку икапсуляции протокола SCTP в UDP. Ты можешь спокойно инкапсулировать TLS в UDP, если хочешь.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы