Зашифрованная подпись TCP MD5

Параметр зашифрованной алгоритмом MD5 (Message Digest Algorithm) TCP-подписи описан в RFC 23858 и применяется исключительно для зашиты протокола BGP от ложных TCP-сегментов, в частности от несанкционированного сброса TCP-соединений. Зашифрованная TCP-подпись использует алгоритм MD5, описанный в RFC 13219. Более подробные сведения об эффективности применения параметра зашифрованной подписи TCP

MD5 вы найдете в спецификации на него.

Итак, данное расширение протокола ВОР обеспечивает механизм переноса составного сообщения посредством протокола TCP в каждый TCP-сегмент, где составное сообщение (дайджест) заключает в себе информацию, известную только конечной точке маршрута, и выполняет для сегмента функции цифровой подписи.

Применение алгоритма MD5 к заданным элементам в порядке их приведения позволяет создать дайджест для данного сегмента.

1.                             Псевдозаголовок  TCP  в  следующем  порядке:     IP-адрес  отправителя,     IP-

адресполучателя, сокращенный номер протокола и длина сегмента.

2.                             Заголовок TCP, исключая параметры и полагая, что его контрольная сумма равна

0.

3.                             Данные ТСР-сегмента.

4.                             Заданный  ключ  или  пароль,  известный  отправителю  и  получателю   ТСР- сегмента.

Сторона, принявшая по протоколу TCP-сегмент с подписью, должна подтвердить

действительность подписи своим локальным ключом. Это делается путем вычисления собственного дайджеста и сравнения его значения с принятым. Если в результате сравнения были получены разные величины, то принятый сегмент уничтожается, и отправитель об этом не уведомляется.

Если принимающая сторона настроена для работы с зашифрованной подписью, то отсутствие подписи в получаемом пакете не приводит к запрещению работы этого параметра.

Параметр MD5 формируется для каждого сегмента и всегда имеет длину 16 байт.

(Помните, 16 байт в заголовке сообщения ВОР, которые были зарезервированы именно для этой цели?) Формат записи этого параметра представлен на рис. 5.16.

В результате применения параметра MD5 все потенциально враждебные попытки сброса TCP-соединений будут игнорироваться принимающим узлом, если отправители не знают значения ключа. Обратите внимание, что обмен ключами во время сеанса по каналу связи не ведется, что исключает возможность их перехвата; они должны быть известны только конечным точкам.

Рис. 5.16. Формат параметра MD5

С использованием зашифрованной цифровой подписи связано несколько проблем. Было обнаружено, что алгоритм MD5 уязвим для атак, основанных на коллизиях поиска, поэтому он был признан непригодным для подобных реализаций. К счастью, текущая спецификация не запрещает применение альтернативного алгоритма с функцией хеширования.

При вычислении значения дайджеста наблюдаются потери производительности. Это связано с тем, что в каждом TCP-сегменте для генерации ключа требуется, чтобы и отправитель, и получатель выполнили функцию хеширования, после чего получатель должен сравнить полученные значения и лишь затем принять сообщение. В результате этих операций возникает заметная задержка при обработке и генерации сообщений протокола BGP.

Несмотря на эти трудности цифровая подпись широко используется и в междоменной маршрутизации и при организации маршрутизации внутри доменов.

Источник: Сэм Хелеби, Денни Мак-Ферсон, Принципы маршрутизации в Internet, 2-е  издание.  : Пер. с англ. М. : Издательский дом «Вильямс», 2001. — 448 с. : ил. — Парал. тит. англ.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100