扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
有关VoIP安全性的讨论越来越多,主要焦点是这种安全性应该依靠公钥基础架构(PKI)还是得寻找另一种加密和审核的方法。Phil Zimmermann因其创造了用于保护电子邮件消息和数据文件的良好隐私(PGP)加密方案而享有声誉,最近他又开发了一款对VoIP进行加密的产品,叫做Zfone,它基于新的ZRTP协议。
Zimmermann夸耀说,Zfone的一大优势是在于它不需要PKI。到底哪一个在VoIP的安全性方面更胜一筹呢?让我们就它们各自的优势与不足进行一下对比。
PKI如何工作
PKI是提供对VoIP用户和设备进行审核,并对VoIP传输进行加密的最安全方法之一。所谓审核,是通过网络对用户和设备进行校验的过程。
PKI使用X.509数字证书和数学关联的公私密钥对,它们由作为受信任第三方的核证机关(CA)颁发。因为所有者是唯一知道私钥的人,而公钥则向任何人公开,这给所有者证实其身份提供了一条途径。
下面是它的工作原理:
1.公私钥对的所有人使用私钥对消息进行加密,并通过加密消息hash的方式计算给出数字签名。
2.所发送的消息同样包含该加密数值。
3.接收方获得发送方的公共密钥。(该消息可能把它作为证书的一部分包含在内。)
4.通过使用公共密钥,接收方可以检查计算得到的消息Hash是否和使用关联私钥创建的原始消息Hash一致。
PKI包含一个或多个颁发证书的核证机关,终端用户发布那些证书,也可选择性的发布处理PKI管理任务的注册机关,和/或证书撤销列表(CRL)发布方的信息。进行证书撤销需要CRL。例如,假设关联的私钥出了问题,或者用户已经离开企业,那你就有需要撤销证书。同时还需要的是存放证书和CRL的一个存储组或数据库。
基于PKI的安全性的一个明显缺点是它需要核证机关参与。那意味着你要么实行内部核证机关策略,要么必须向公共核证机关购买证书。PKI所提供的安全性取决于CA密钥的保护强度。
Zfone如何工作
Zimmermann的Zfone使用的公共密钥算法,它不依赖PKI。它不使用永久公钥,而是要在每次呼叫结束时删除密钥。
然而,它将保存部分密钥的信息,并在下一次呼叫时用作提供密钥的连续性。这有助于防止中间人(MTM)攻击。软件会显示用来加密电话的对称密钥的hash,你可以把它和电话另一端显示的hash对比。如果它们匹配,那么你们可以继续。否则,你可能已经受到了MTM攻击。
ZRTP协议通过实时传输协议(RTP)流协商密钥,该过程不涉及会话初始化协议(SIP)服务器。密钥的管理是对等的,它不依赖于服务器。
你可以把ZRTP整合进VoIP的硬件中,或者使用Zfone来配合Gizmo或SJphone等VoIP客户端程序。它目前处于测试版阶段,测试版运行于Windows XP、Linux,或者Macintosh OS X平台上。(它目前还不支持Vista。)
你可以先运行Zfone软件,然后启动VoIP客户端程序,在电话拨打过程中让它一直运行即可。该软件会检测电话另一端的VoIP客户端程序是否支持ZRTP协议。
如果支持。Zfone便建立一个密钥协定,并在你发送和接收语音数据包时进行加密和解密操作。Zfone的控制面板会验证电话是否使用了高级加密标准(AES)的128位加密方法,以保证安全。
不是所有人都相信Zimmermann的非PKI VoIP的安全性比基于PKI的安全性更加优越。2005年8月,当Zimmermann向Black Hat conference介绍它的时候,记者在一个博客帖子中就对Zimmermann对PKI所作的批判提出了质疑。
无可争议的安全性
还有一种方法可以绕开PKI,也不用Zfone软件,却仍能保证电话的机密性:那就是使用Skype来拨打VoIP电话。Skype自动进行端对端加密,而且过程对用户是透明的。它使用一个所有权会话创建协议(proprietary session establishment protocol),这个协议包含对重播攻击(replay attacks)的保护,支持密钥协商和身份核实。
Skype使用公钥加密;软件连接到一个中性服务器,用户登录服务器并证实他/她的公钥没有问题。所使用的加密标准包括AES、RSA公钥系统、RC4密码流,以及 SHA-1 hash功能。Skype向每个用户颁发一个数字证书,并把这些证书整合为一个在线目录,所以审核过程同样存在,不过是采用基于证书的方式。
可是,其注册系统并不要求绝对的身份证明(诸如政府颁布的身份证号码)。所以他人完全可以用虚假姓名注册,然后冒充是其他的某个人。
总结
VoIP的安全性问题,不管在鉴别用户和设备,还是在对语音信息进行加密以提供机密性上都意义重大。为了达到这个目的而使用的加密方法有多种,有一些依赖PKI,另一些不依赖。不过,你可以即获得PKI的所有优势,又省去管理上的麻烦,方法就是使用一款Skype产品。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台