astersik TLS и srtp

[ded]

Может кто в курсе всей этой ситуации с шифрованием?

Я уже сильно пожалел, что ввязался в этот диалог с вами. Вот что я писал -

Два респондента, Алиса и Боб (сервер и телефон), у каждого свой сертификат.
Алиса при отправке шифрует сообщение публичным ключом Боба, а Боб расшифровывает свои приватным ключом, и наоборот.

а вот что вы -

При несимметричном шифровании как раз должно быть по другому. У Алисы есть key_A и crt_A, у Боба есть key_B и crt_B. При диалоге Алиса шифрует информацию для Боба при помощи crt_B, а Боб шифрует информацию для Алисы при помощи crt_A. Ключи обоим нужны для рассшифровки.

Что по другому? Вы не видите, что описали то же самое? Только путаетесь в терминах? crt_A - это и есть публичный ключ Алисы, crt_B - публичный ключ Боба. key_A - приватный ключ Алисы, key_B - приватный ключ Боба.

Олег, вы, судя по ответам, сами знаете всё лучше других. Но формулируете совершенно неверно.
Вот например сертификат (его публичный ключ, им зашифровываем) -

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

А вот его приватный ключ (им расшифровываем) -

-----BEGIN PRIVATE KEY-----
MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQC+84hoWQybqkJ4
R4WvdOe0AMoWLK655DY1mQf0zJhwBIYtJ8LgBoYmcv49spxnwE5TN+2SPB5RbeG8
l5G5PaKlIASnYQg5aW8fQ90E1VZi9kR4hWmcwKg8GGAAA+W2FDlyk8DaiZPKBheP
eiHjwwIsq4/sCnZqBA2X/Jde34XJzTK8n3+VvttxUeMModygvsih0u6uT/MfSGoq
xgbx0hzHQm0nGjU3+8DMQ1OSOd7xYdp8Mv4wycESPvt79Lq+xWBAt2fqjRE9AP9D
ll+vO41URW4F0ZxZ7cQkWOMpE2qjx3CUThwL49/TZYS7Bc9tVEmI1O1o+OZjcYHM
yzgd9pB3AgMBAAECggEAJGWvPpSavqE5gku/w6347GqqGofx1iUV4CmHRrYo6FE0
ci7+Ck20DGgm5gPBpFUXmO00L4eeD89uE9CgSjrhYbA0suLf+nGKaN86pc00ZjCi
5IYpl2NxreLHibk0c/xu5tQbEozeysdWfla9Vvi41WLuUAO+hn63SJ0xDTh1+/z4
ALAZxNkgVmwvZEtu8VAq9JkaAIFk63e7suqEi6AOPCtnZG8FbUhyv2bz505zGBJV
bJ1y6os9N7KOtKB8vZxpqV4U8tptWCpZrYbfeppUvSVz+4LZ/s6J34qsqH/v/MzE
yxPSqJuMG83PQPEqJdymEdGtD2Adk8Pp4A9HlbjWYQKBgQD8q6eF58hfJs0ezzcw
ZuFAvdws+1nZiXzS4VACfJyAjFKj8egqAlVxoFCXCiRRPWCjCY0peRPKm1KLt5ey
hAXi2/HaQkTANgrAmuXTp20+6HNBTtkH5EzOwq0kMH6ELj44s5e70mmpD+yAcoov
gfqONJUC73skWv8WZAAzbb77lQKBgQDBd62TcMCF+Rv39Gc+3AZt+LOmXorEztWw
zt3jNw/dZMp/WpuBFGmRKZ48sLG+bNLKHj0+YVmAsSDug2Azd8s6DsmvvR3EzRh4
sq3SQCp09X1kWrGkkvbFDp8ePW0iM7JV9v8MxIoaFiTEsrXs/k+RjfanzzXZO9Ap
lgSm+Sn42wKBgQC6ldgj3kHtYi3fLo5Gw/JbaNkKrqJvLkRrRc9bxsGbfAQa5SzY
uNh4DDb3Epo3E+gk/Yysr6iZ2ZFfc7gmL7BZEqrKzl0Ow9m02a4WWnEmH2ndNGi4
lzLRDJnnO5hx6+Qu4xCNtpgoLIYtZGf/JTDtio7vmAGLm1b8JeSwFb8O8QKBgEKV
SLS0ml3BZSHKCHp2yPOyI0n/wayILr0iBPV87sXYOWTpLxmWh9qAw0fJ2/JYi5cq
HxPH90C2NUpBBqvP7650hm8oHAWuPFzVycLReIs2LciK+hZUyf750ENdCqE5v4ec
cRzYy1q9Ajx78Oa2g3XpsNkCFFtGHZciXUmF+S7/AoGBAOASkEOkmbjB5wv4e0I8
3I3F4zwNYUHei6Jh19aIs0dS1pGOBIK7me6Ncvo4oiq3kRaoXyLSoeVVcQtDDJAO
WdBzaJR/9TeOcywctoNVmfcLJhAmePmpATageFXTwVZ/sgd3BdKtKJfnT+jWcjhA
4ppWXzLbq90xSo5Y1UXsCUst
-----END PRIVATE KEY-----

Сертификат по сроку действия уже старый, поэтому и публикую. Вы можете его прочесть превратив в файл asterisk,pem командой
openssl x509 -in /etc/asterisk/keys/asterisk.pem -noout -text
откуда узнаете, что он выписан для CN=pbx.postmet.de кем? Вот таким СА:
Issuer: C = IL, O = StartCom Ltd., OU = StartCom Certification Authority, CN = StartCom Class 1 DV Server CA

Как понять вашу фразу -

предполагаю, что мой key содержит и сертификат одновременно,

При использовании сертификатов есть способ хранения в одном .pem файле и сертификата, и ключа.
Тогда ваша фраза должна была бы быть такой: предполагаю, что мой файл asterisk,pem содержит и сертификат, и приватный key.
Да, так можно и нужно попробовать. Вот писал же - найдите инструкцию и выполните - https://www.google.com/search?q=asteris ... tls+method

Код: выделить все

# cat /etc/asterisk/keys/asterisk.pem -
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

[olegtsss]

Проверил через openssl сертификат. Он содержит цифровую подпись и открытый ключ, все норм. Ключ содержит только ключ. PEM варианта нет. Вот интересная инфа, на рисунке привожу расшифровку ssl трафика. Рассшифровку выполняю ключем сервера (Asterisk.key), по-идее этот трафик может рассшифровать только сервер, но обратите внимание, что в качестве IP источника и получателя sip пакетов указаны адреса Астериск и Телефона. Т.е. это двунаправленный трафик.
А по поводу того, что вы пожалели, что ввязались в беседу, я скажу что вопрос безопасности трафика IP телефонии в основном никто не вникает, мол заработало и ладно. А вот начинаешь разбираться - оказывается не все так гладко.

[ded]

У нас другая модель безопасности, поэтому мы решили вопрос безопасности трафика IP телефонии, вот так:
http://asterisk.ru/news/183

Лично мне модель с tls + srtp остро не нравится, как раз из-за геморроя, который тут развели на 5 страниц. Поэтому

1. Найдите хорошую инструкцию и выполните по шагам.
2. Если не получилось - см. п. 1

https://www.google.com/search?q=asteris ... tls+method

[olegtsss]

Я выбрал для защиты TLS+SDES, инструкций полно, они рабочие, но на деле я привел доказательства того, что на выходе мы получаем TLS соединение, которое шифруется сервером, и не понятным ключем телефона. Есть вариант защиты UDP+DTLS. На самом деле отличная идея, т.к. UDP мне нравиться больше, чем TCP в TLS для вопросов телефонии. Использование VPN это отличная идея, в плане безопасности (IP Sec), но есть своя расплата. А именно необходимость поддержания VPN cоединения, что не очень хорошо для SIP клиентов на базе мобильных устройств, у которых быстро уходит батарея на это дело. Спасибо за консультации, думаю информация из нашего опыта будет кому-то полезна...

[sasa]

выходе мы получаем TLS соединение, которое шифруется сервером, и не понятным ключем телефона

для вас новость что имея ключи http(sip) сервера можно расшифровать весь траффик к нему ?
в ваершарке вы показали tls трафик
сможете тоже самое сделать для srtp в обе стороны ?

вы не понимаете как работает sip tls/srtp, зачем вы его пытаетесь использовать ?

[sasa]

По нормальному, с Астериск должны соединяться только те телефоны, у кого есть подписанные сертификаты.
ca_list_file=/etc/asterisk/keys/ca.crt ---> этим сертификатом Астериск должен осуществлять проверку. Но он этого не далает. При конфигурации через sip.conf есть параметр tlsdontverifyserver=no, который означает осуществлять аутентификацию телефона. В pjsip я такого не нашел, может кто знает как там заставить это работать?

поток мыслей вслух ?
вы вообще открывали шаблон файла pjsip.conf.sample ?
https://github.com/asterisk/asterisk/bl ... ample#L928

Код: выделить все

;==========================TRANSPORT SECTION OPTIONS=========================
;[transport]
;  SYNOPSIS: SIP Transport
;
;async_operations=1     ; Number of simultaneous Asynchronous Operations
                        ; (default: "1")
;bind=  ; IP Address and optional port to bind to for this transport (default:
        ; "")
; Note that for the Websocket transport the TLS configuration is configured
; in http.conf and is applied for all HTTPS traffic.
;ca_list_file=  ; File containing a list of certificates to read TLS ONLY
                ; (default: "")
;ca_list_path=  ; Path to directory containing certificates to read TLS ONLY.
                ; PJProject version 2.4 or higher is required for this option to
                ; be used.
                ; (default: "")
;cert_file=     ; Certificate file for endpoint TLS ONLY
                ; Will read .crt or .pem file but only uses cert,
                ; a .key file must be specified via priv_key_file.
                ; Since PJProject version 2.5: If the file name ends in _rsa,
                ; for example "asterisk_rsa.pem", the files "asterisk_dsa.pem"
                ; and/or "asterisk_ecc.pem" are loaded (certificate, inter-
                ; mediates, private key), to support multiple algorithms for
                ; server authentication (RSA, DSA, ECDSA). If the chains are
                ; different, at least OpenSSL 1.0.2 is required.
                ; (default: "")
;cipher=        ; Preferred cryptography cipher names TLS ONLY (default: "")
;method=        ; Method of SSL transport TLS ONLY (default: "")
;priv_key_file= ; Private key file TLS ONLY (default: "")
;verify_client= ; Require verification of client certificate TLS ONLY (default:
                ; "")
;verify_server= ; Require verification of server certificate TLS ONLY (default:
                ; "")
;require_client_cert=   ; Require client certificate TLS ONLY (default: "")


ничего похожего нет, ну от слова совсем ?

[olegtsss]

"для вас новость что имея ключи http(sip) сервера можно расшифровать весь трафик к нему ? в ваершарке вы показали tls трафик" На скрине в wireshark виден трафик как к серверу, так и от него. Вас это не удивило?? С проверкой сертификата я разобрался. Остался последний вопрос, почему ключем сервера расшифровывается двухстороннее соединение.

"вы не понимаете как работает sip tls/srtp, зачем вы его пытаетесь использовать ?" - я понимаю, что вы хотите этим сказать, но ваш вопрос звучит странно для форума по Asterisk. Вообще очень хорошо, полезно и интересно разбираться в новых технологиях, набивать шишки и все такое По началу многое не понятно, в таких ситуациях полезно обратиться за помощью к сообществу.

Не знаю насколько вы понимаете, как работает tls, но вопрос "почему ключем сервера расшифровывается двухстороннее соединение" остался до сих пор без ответа.

[olegtsss]

"сможете тоже самое сделать для srtp в обе стороны ?" - нет не смогу. Но вопрос про безопасность sdes тоже интересен. Если у вас есть какие-то практические знания по его расшифровке, было бы интересно их услышать.