VoIPセキュリティ

TLS/SRTPによるVoIPセキュリティ

概要

IP電話システムの脆弱性に対し、セキュアなVoIP通信を確保することが益々重要となってきています。また、インターネットを利用した電話アプリケーションの利用機会が増える中で、プライバシー保護対策は欠かせません。 SIPをベースとしたIP電話システムのセキュリティ対策として、TLS/SRTPによるVoIPシステム設計と構築を支援します。

 

VoIPセキュリティ

特長

TLSによる「なりすまし」や「改ざん」を防止
VoIPサービスの不正利用や誤課金の防止、不適切な情報入手等を防ぎ、発信者および着信者の「なりすまし」を防御します。

SRTPによる音声・ビデオ通信を暗号化
VoIPサービスの「会話盗聴」や「リプレイ攻撃」を防ぎ、信頼されていないネットワーク環境で安心安全な音声通話、ビデオ通話を実現します。

機能

技術仕様

TLS ・RFC5246
・クライアント証明書によるクライアント認証
・既存のTLS接続に再接続するためのTLS Session IDに対応
SRTP ・RFC3711 / RFC4568
・AES-CM 128bit
・固定鍵方式 もしくは 鍵交換方式
対象OS Andrid, iOS, Linux, Windows

参考情報・関連情報

TLS概要

RFC ・RFC5246 The Transport Layer Security (TLS) Protocol Version 1.2
・Obsoletes: 3268, 4346, 4366 / Updates: 4492
公開鍵証明書に基づく認証 ・サーバー証明書によるサーバーの認証
・クライアント証明書によるクライアントの認証(オプション)
・証明書には認証局 (CA) による電子署名が必要
・自己認証局による署名も可能
共通鍵暗号に基づく暗号化 ・クライアント・サーバー間の通信を暗号化
・共通鍵は、クライアントとサーバーの双方から提供される乱数に基づいて決定
トランスポート層 ・コネクション型のトランスポート層プロトコルの上位に位置
・通常はTCPをラッピングする形で利用
アプリケーション層 ・アプリケーション層の特定のプロトコルには非依存
SIPでの利用 ・“sips”スキームを使う場合はTLSトランスポートが必須
・逆にTLSトランスポートでは”sip”/”sips”とも利用可能
・通常は端末→SIPサーバー方向にTLS接続を実施
・SIPサーバー→端末方向にTLS接続する場合、端末側がTLSサーバー

SRTP概要

RFC ・RFC3711 The Secure Real-time Transport Protocol
・RFC4568 SDP Security Descriptions for Media Streams
暗号化 ・RTP/RTCPストリームの暗号化とメッセージの認証機能を提供
・RTPのペイロード部(パディングを含む)を暗号化
・デフォルトの暗号化方式は AES-CM 128bitなど
SIPシグナリング ・SDPでメディアごとに“a=crypt”行を記述
・“m=”行のトランスポートには“RTP/SAVP”を記述
マスターキー ・マスターキーからセッションキーを生成
・MKIによってセッションキーを生成したマスターキーを識別
ソルティングキー ・pre-computation、time-memory tradeoff攻撃に対する保護に使用
認証タグ ・暗号化と認証の両方が適用される場合、暗号化を認証より前に適用