2. 질의 응답
  3. WebRTC의 SDP가 보안 통신을 위해 비공개가되어야합니까?

WebRTC의 SDP가 보안 통신을 위해 비공개가되어야합니까?

2017-10-23 13 views
4

SDP에 ice-ufragice-pwd 매개 변수가 있지만 SDP 제공/응답이 수정되지 않았 음을 보장 할 수있는 경우 실제 매개 변수가 필요하지 않습니다 (예 : 디지털 서명 포함).)?WebRTC의 SDP가 보안 통신을 위해 비공개가되어야합니까?

유스 케이스는 상대방의 공개 키가 있고 실제로 안전하게 연결되어 있는지 확인하려는 P2P 시스템입니다. 그러나 다른 쪽은 내 공개 키를 갖고 있지 않으며 누가 누구인지 신경 쓰지 않습니다.

WebRTC 및 관련 사양이 너무 커서이 질문에 대한 명확한 답을 찾지 못했습니다 (HTTPS는 어디에서나 권장됩니다. WebRTC 보안을이 관점에서 고려한 기사를 찾지 못했습니다. 깊이있는 WebRTC 지식을 가진 누군가가이 질문을 명확히 밝히기를 바랍니다.

중복 가능성이있는 것으로 표시된 질문에는 SDP 출처에 대한 증명 서류 (디지털 서명 또는 기타 형식)가 포함되어 있지 않아서이 질문이 유일한 이유입니다.

출처

2017-10-23 nazar-pc

+0

[Mitm Attack on WebRtc] (https://stackoverflow.com/questions/39189441/mitm-attack-on-webrtc) – jib

답변

2

물론입니다! WebRTC는 데이터 통신을 보호하지만 SDP는 무료 전화입니다.

신호 채널을 보호하지 않으면 공격자와 완벽하게 안전한 통화가 끝나게 될 수 있습니다. 공격자는 의도 한 통화 수신자와 패킷을주고받는 것을 모릅니다.

변종입니다. Man-in-the-middle attack입니다. 자세한 내용은 security.stackexchange.com을 참조하십시오.

출처

2017-10-23 17:22:45 jib

+0

의 가능한 중복 된 문제는 내가 여기에서 묻는 것이 아닙니다. SDP 또는 다른 출처에 대한 증명을위한 디지털 서명은 포함되지 않습니다. Diffie-Hellman 키 교환을 사용하면 보안되지 않은 채널을 통해 보안 통신을 설정할 수 있습니다. 의도 한 수신자에 연결해야하므로 WebRTC와 유사한 지 여부가 궁금합니다. –

+0

@ nazar-pc 아 좋아. 그러나 다른 쪽이 공개 키를 가지고 있지 않으면 어떻게 SDP 응답이 수정되지 않았는지 확인할 수 있습니까? – jib

+0

다른면 (내 경우에는)은 나에 대해 신경 쓰지 않아 기본적으로 익명으로 처리되므로 상대방의 SDP 인증을 확인할 필요가 없습니다. –

 관련 문제

  • 관련 문제 없음^_^