Шифрование — процесс кодирования информации с целью скрыть её от посторонних лиц. Наука о методах шифрования называется криптографией.
История криптографии насчитывает около 4 тысяч лет и берёт начало от простой замены букв в словах другими буквами или символами. Вместе с развитием человеческого общества, шифрование постепенно усложнялось: на помощь приходили математические уравнения и специальные механические устройства, роторные машины.
Немецкая шифровальная машина Lorenz SZ42 (Источник)
Современный период развития криптографии характеризуется повсеместным использованием алгоритмов шифрования в самых разных сферах: цифровом телевидении, телефонии, компьютерных сетях, банковских операциях и электронном документообороте.
Шифрование в видеоконференциях необходимо для обеспечения конфиденциальности при проведении онлайн совещаний, семинаров и переговоров. Даже если злоумышленнику удастся перехватить видеопоток, у него не получится его расшифровать.
Зачем нужно шифрование в видеоконференциях?
Чтобы сэкономить деньги и сохранить репутацию. С повсеместным распространением компьютерных систем информация стала главной ценностью, поэтому государства и частные компании уделяют всё больше внимания информационной безопасности. Правильно подобранные и реализованные криптографические алгоритмы хоть и не избавляют полностью от угрозы компрометации данных, но серьёзно уменьшают этот риск.
Общаясь по видеосвязи в корпоративной сети, сотрудники обсуждают не только рабочие вопросы и не всегда в корректной форме. Например, обнародование информации о радикальных политических или религиозных взглядах работника, отношении к различным меньшинствам ведёт не только к его личным репутационным потерям, но и к удару по имиджу всей компании. Также похищенная информация может использоваться для мошенничества или шантажа.
Кража данных, являющихся коммерческой тайной — не редкость. Поэтому имеет смысл обезопасить организацию от подобного, сделав процесс доступа к данным и их расшифровке сложным и затратным, а следовательно — невыгодным для конкурентов.
Реализация шифрования в видеоконференциях
Рассмотрим реализацию шифрования в современных ВКС приложениях на примере TrueConf Server. Для работы продукта не обязательно наличие интернет соединения, он способен полноценно работать и в закрытой сети. Как следствие — злоумышленники не проникнут извне.
Для авторизации используется связка логин\пароль, которая задаётся администратором вручную, либо импортируется из Active Directory.
Для передачи служебных сигналов используется новейшая версия протокола TLS от OpenSSL, кодирующая данные на транспортном уровне. Работа протокола реализована следующим образом:
- Клиент отправляет серверу запрос на соединение, предоставляя список поддерживаемых алгоритмов шифрования и хеш-функций.
- Из полученного списка сервер выбирает наиболее надёжные алгоритмы, которые поддерживаются им самим, и сообщает о выборе клиенту.
- Сервер отправляет клиенту цифровой сертификат для собственной аутентификации.
- Клиент, перед тем как установить соединение, проверяет валидность полученного серверного сертификата с помощью корневых сертификатов удостоверяющих центров.
- Между клиентом и сервером устанавливается безопасное соединение, зашифрованное сеансовым ключом, который генерируется по криптографическому протоколу Диффи-Хеллмана.
Дополнительно в WebRTC-соединениях реализована поддержка DTLS и SRTP протоколов, а для SIP/H.323 устройств — SRTP и H.235 соответственно.
DTLS — модифицированный TLS протокол, использующийся для защиты соединений, поддерживающих датаграммы. Часто применяется поверх протокола UDP, так как последний в основном используется для передачи медиатрафика. Наследуя преимущества TLS, DTLS позволяет избавиться от врождённых недостатков UDP — отсутствия гарантии целостности передаваемой информации и уведомления отправляющей стороны о результатах передачи.
Протокол SRTP применяется для шифрования голосового трафика в VoIP. Основные преимущества: простота и производительность, использование в протоколе меток времени и нумерации пакетов для синхронизации медиапотока, поддержка шифрования AES (о нём ниже).
H.235 — спецификация, описывающая функции безопасности протокола H.323 для передачи мультимедиа данных. Для идентификации пользователя H.235 поддерживает использование пароля, либо цифровых сертификатов и шифрования с открытым ключом.
Security and encryption for H-Series (Источник)
TrueConf Server использует модифицированный кодек VP8 с поддержкой технологии SVC для кодирования видео. Подобное кастомное решение затрудняет расшифровку видеопотока стандартными средствами.
Зарекомендовавшей себя практикой является шифрование потоковых данных с помощью алгоритмов симметричного шифрования. Практическая реализация данного подхода криптографии, алгоритм AES, принят в качестве стандарта правительством США и является одним из самых распространённых алгоритмов шифрования.
Схема работы алгоритма AES (Источник)
Принцип работы AES довольно прост: блок входных данных с постоянным размером 128 бит преобразуется в другой блок с помощью секретного ключа (ключа шифрования). Его длина варьируется в зависимости от требуемой стойкости алгоритма и составляет 128, 192 или 256 бит. Операция преобразования повторяется несколько раз (раундов). Число раундов также различается и составляет: 10, 12 или 14 соответственно в зависимости от длины ключа. Для совершения последовательности математических преобразований над блоком исходных данных в каждом раунде используется свой раундовый ключ, полученный из секретного ключа. При кодировании медиаданных в TrueConf Server используется реализация алгоритма с самым длинным ключом, AES-256. Аппаратная поддержка AES реализована во всех современных процессорах Intel, AMD и ARMv8, что значительно повышает безопасность видеосвязи без ущерба для производительности.
Для дополнительной защиты соединения между сегментами корпоративной сети можно воспользоваться сквозным шифрованием с помощью VPN-шлюзов. В этом случае защита обеспечивается с помощью семейства протоколов IPsec.