El documento habla sobre la seguridad en comunicaciones SIP y RTP. Explica varios mecanismos como TLS, SRTP, ZRTP y DTLS-SRTP para cifrar las señales. Recomienda usar siempre cifrado cuando sea posible, utilizar mecanismos que ofrezcan "Forward Secrecy" y mantenerse actualizado con los últimos avances en criptografía. Además, advierte que no se debe confiar ciegamente en nadie y que es importante verificar la identidad de los participantes.
18. AG Projects
SIP Infrastructure Experts
SIP + TLS
• Habilitar SIP sobre TLS en DNS
• Validar certificados (servidor, y cliente
si se puede)
• Versión de TLS a utilizar
26. AG Projects
SIP Infrastructure Experts
Cipher Suites
• Combinación de elementos para
negociar una conexión TLS
• autenticación
• cifrado
• algoritmo de key-exchange
&
27. AG Projects
SIP Infrastructure Experts
Mecanismo Diffie-Hellman
• Protocolo de establecimiento de claves
• Las partes no han tenido contacto
previo
• No proporciona autenticación
• Se suele utilizar para establecer una
clave de sesión
&
28. AG Projects
SIP Infrastructure Experts
(Perfect) Forward Secrecy
• Garantía de que comprometer una
clave ahora no compromete las usadas
anteriormente
• Protección frente a ataques de
escucha pasiva
&
29. AG Projects
SIP Infrastructure Experts
Cipher Suites
ECDHE-RSA-AES128-GCM-SHA256
Intercambio
de claves
Firma
Cifrado
Derivación de
claves / hash
para HMAC
30. AG Projects
SIP Infrastructure Experts
Cipher Suites
&
• Forward Secrecy
• DHE o ECDHE
• Integridad + autenticación: AES-GCM
• Es necesaria una versión reciente de
OpenSSL (>= 1.0.1c)
32. AG Projects
SIP Infrastructure Experts
SRTP 101
• Proporciona cifrado, autenticación e
integridad para RTP / RTCP
• Se utiliza una clave maestra y una
función de derivación para cifrar los
datos con AES
33. AG Projects
SIP Infrastructure Experts
SRTP 101
• Obtención de la master key
• SDES
• ZRTP
• DTLS
34. AG Projects
SIP Infrastructure Experts
SDES
• La clave va en el SDP
• Mecanismo muy simple
• Confiamos en que nadie puede ver la
clave (usando SIP sobre TLS)
36. AG Projects
SIP Infrastructure Experts
Problemas con SDES
• Nos tenemos que fiar de que nadie
pueda ver las claves
• No garantiza el intercambio de claves
end-to-end
• No hay Forward Secrecy
38. AG Projects
SIP Infrastructure Experts
ZRTP
• Sistema de negociación de claves
end-to-end
• Utiliza Diffie-Hellman “dentro” del RTP
• Autenticación mediante SAS
39. AG Projects
SIP Infrastructure Experts
ZRTP: Mitigando ataques MiTM
• SAS: Short Authentication String
• Comprobación verbal de una palabra
• Si coinciden no hay MiTM
• Sólo necesario la primera vez
40. AG Projects
SIP Infrastructure Experts
ZRTP: Mitigando ataques MiTM
• Continuidad de claves (como SSH)
• TOFU: Trust On First Use
42. AG Projects
SIP Infrastructure Experts
DTLS-SRTP
• Uso de DTLS para intercambiar claves
• Mismo puerto que RTP
• Certificados auto firmados (WebRTC)
• Requiere de integridad del signaling,
pero no de confidencialidad
• Comparación del fingerprint a modo de
SAS
45. AG Projects
SIP Infrastructure Experts
¿Cuál elegir?
• SDES si no hay más remedio
• ZRTP no está muy desplegado pero es
más “oportunista”
• Autenticación / identidad en DTLS-SRTP
• ZRTP y DTLS-SRTP ofrecen Forward
Secrecy
46. AG Projects
SIP Infrastructure Experts
libSRTP 1.5.0
• Puede usar OpenSSL como backend
• Soporta AES-GCM
• Aceleración hardware: AES-NI
&
48. AG Projects
SIP Infrastructure Experts
OTR 101
• Cifrado para mensajes de chat
• Diffie-Hellman para key-exchange
• AES para cifrado
49. AG Projects
SIP Infrastructure Experts
OTR
• Proporciona Forward Secrecy
• Autenticación denegable
• Proporciona protección contra ataques
MiTM usando autenticación mediante
SMP
52. AG Projects
SIP Infrastructure Experts
SMP
• “Problema del Socialista Millonario”
• Mecanismo de autenticación sobre
Diffie-Hellman
• Se basa en mezclar DH con un secreto
compartido por ambas partes
57. AG Projects
SIP Infrastructure Experts
Resumiendo
+
• Cifra todo siempre que se pueda
• Usa mecanismos con Forward Secrecy
• Mantente actualizado
• No te fíes de nadie
• #moreCrypto
60. AG Projects
SIP Infrastructure Experts
“Trust is like a mirror, you can fix it if it's
broken, but you can still see the crack in that
mother f*cker’s reflection.”
!
Lady Gaga
61. AG Projects
SIP Infrastructure Experts
¿Preguntas?
bettercallsaghul.com