ru %D0%9E%D0%BF%D0%BF%D0%BE%D1%80%D1%82%D1%83%D0%BD%D0%B8%D1%81%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B5 %D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5

Оппортунистическое шифрование (OE) относится к любой системе, которая, при подключении к другой системе, пытается зашифровать канал передачи, а иначе переходит к незашифрованной связи. Этот метод не требует никакой предварительной подготовки между этими двумя системами.

Оппортунистическое шифрование может быть использовано для борьбы с пассивным прослушиванием^[1]. (Активный перехват сообщений, с другой стороны, может прервать процесс установления шифрования, чтобы принудить к установлению незашифрованного канала.) Оно не обеспечивает сильный уровень безопасности, поскольку аутентификацию может быть трудно провести, а безопасные соединения не обязательны. Тем не менее, это делает шифрование большинства интернет-трафика простым в реализации, что убирает значительную преграду к массовому использованию защищённых передач данных в Интернете.

Маршрутизаторы

Проект FreeS/WAN был один из ранних сторонников оппортунистического шифрования^[2]. Openswan был также отнесён к проекту OpenWrt. Openswan использует DNS-отчёты для облегчения обмена ключами между системами.

Unix и подобные Unix системы

Проекты FreeS/WAN и Openswan предлагают технологию VPN, которая может также работать в режиме оппортунистического шифрования, используя базируемую технологию IPsec. en:Obfuscated_TCP является ещё одним способом реализации оппортунистического шифрования.

OS Windows

У платформ Windows есть встроенное оппортунистическое шифрование, установленное по умолчанию. Этот метод является простой процедурой и использует IPsec для обеспечения трафика. Доступ к нему осуществляется через Microsoft Management Console и «Политику безопасности IP на локальном компьютере». Многие системы имеют проблемы, которые решаются путём преобразования сетевых адресов и достигаются путём добавления DWORD 2 к регистрации: HKLM\SYSTEM\CurrentControlSet\Services\IPsec\AssumeUDPEncapsulationContextOnSendRule^[3]. Используя возможности, предоставленные в Microsoft Management Console, возможно адаптировать организацию сети, чтобы разрешить движение трафика к различным областям и протоколам, используя шифрование.

Электронная почта

Оппортунистическое шифрование может также использоваться как электронная почта, используя SMTP STARTTLS расширение для того, чтобы передавать сообщения через Интернет или Internet Message Access Protocol (IMAP). Расширение STARTTLS — позволяет прочитать электронную почту. С этим внедрением не существует необходимости получения свидетельства из центра сертификации, поскольку могут использоваться самоподписанные свидетельства.

RFC 2595 Используя TLS с IMAP, POP3 и ACAP
RFC 3207 Расширение SMTP для безопасного SMTP по TLS
STARTTLS

Многие системы используют вариант с третьей стороной дополнения к традиционным пакетам электронной почты. Они сначала пытаются получить ключ шифрования, а в случае неудачи, отправляют электронную почту в открытом виде.

Передача голоса по IP

Передача голоса по IP (VoIP) обеспечивает шифрование голосового движения, если это возможно. Некоторые версии линий и аналоговых телефонных адаптеров (ATA) включают в себя аппаратную реализацию SRTP с установкой сертификата и информационного сайта VoIP. Skype использует только безопасные соединения, и Gizmo5 пытается создать защищённые соединения между своими клиентами. Фил Циммерман, Алан Джонстон и Джон Каллас предложили новый протокол шифрования VoIP под названием ZRTP.

Веб-сайты

Для шифрования WWW / HTTP соединений, как правило, используется HTTPS. Он может также использоваться для оппортунистического шифрования веб-сайта. Большинство браузеров проверяет идентификационные данные веб-сервера, чтобы удостовериться, что сертификат SSL подписан доверенным центром сертификации. Самый простой способ включить оппортунистическое шифрование веб-сайта — это при помощи самоподписанных сертификатов. Благодаря этому браузер при каждом посещении, если пользователь не импортирует сертификат веб-сайта в их браузер, отображает на экране предупреждение.

Есть дополнения для в HTTPS Firefox и HTTPSfinder. Эти дополнения находят и автоматически переключают соединение с HTTPS, если это возможно.

См. также

Примечания

↑ Gilmore, John. FreeS/WAN Project: History and Politics (неопр.) (13 мая 2003). Дата обращения: 27 марта 2013. Архивировано 26 мая 2000 года.
↑ IPSec Howto (неопр.). OpenWrt Community wiki. Дата обращения: 27 марта 2013. Архивировано из оригинала 20 февраля 2010 года.
↑ L2TP/IPsec NAT-T update for Windows XP and Windows 2000 (неопр.). Microsoft. Дата обращения: 27 марта 2013. Архивировано 9 апреля 2013 года.

Ссылки

Enabling Email Confidentiality through the use of Opportunistic Encryption
Windows OE HOWTO
Windows KB article on NAT-T and DH2048 Архивировано 9 апреля 2013 года.
RFC 4322 — Opportunistic Encryption using the Internet Key Exchange (IKE) Архивная копия от 30 января 2013 на Wayback Machine 2009

[1] Gilmore, John. FreeS/WAN Project: History and Politics (неопр.) (13 мая 2003). Дата обращения: 27 марта 2013. Архивировано 26 мая 2000 года.

[2] IPSec Howto (неопр.). OpenWrt Community wiki. Дата обращения: 27 марта 2013. Архивировано из оригинала 20 февраля 2010 года.

[3] L2TP/IPsec NAT-T update for Windows XP and Windows 2000 (неопр.). Microsoft. Дата обращения: 27 марта 2013. Архивировано 9 апреля 2013 года.

[1]

[2]

[3]