ZRTP

[vadim64]

доброго времени дня, друзья
ищу субъективные мнения по поводу ZRTP, желательно чтобы мнения были эмпирически обоснованы
как Вы очениваете готовность реализации поддержки ZRTP в Asterisk?
насколько высокую нагрузку даёт это шифрование на процессор Вашего астера?
может Вы захотите сказать пару слов от себя, по этому вопросу?

[ded]

Легко.
На современных процессорах нагрузка на шифрографию RTP незначительна. Если только там не будет супер-станция на 1000 одновременных соединений, и все криптованные.

Есть проблема архитектурная, а не аппаратная. В криптографии она моделируется при помощи теоретической предпосылки нахождения Человека-посередине (Man-in-the-middle) при разговоре условных двух абонентов Алисы и Боба (А и Б). Так вот архитектура Астериска, при которой соединения почти всегда идёт через Астериск, даёт огромную вероятность внедрения Человека-посередине, от руткита, до ChanSpy. Если бы эту же возможность реализовывать через софтсвич 4-го класса, который замкнул А и Б напрямую, и они зашифровали свой RTP - и порядок! Было бы правильней.
Так что возможность ZRTP (и SRTP вообще) в Астериске есть, но не выдерживает критики по уровню надёжности криптографии.
В википедии всё написано.

[vadim64]

дед, спасибо
впечатляющее исчерпывающий пост
серьёзно

[Sfinx]

Могу добавить, что ZRTP тем и отличается от SRTP, что изначально был предназначен для p2p соединений - без сервера посередине и исключения атак типа MiM. В текущих стабильных версиях asterisk официальной поддержки ZRTP нет и непредвидится - мало кто заинтересован в понастоящему безопасной связи, кроме определенных структур. При некоторых усилиях заставить ZRTP работать с астером можно - безопасной связь будет только при directmedia=yes.

[ded]

безопасной связь будет только при directmedia=yes.

+ одинаковые кодеки + отсутствие любых опций в команде Dial:
Dial(SIP/${EXTEN}) и больше ничего.

[digital_punk]

Извините, а можно нубский вопрос?

Если применить следующее: настроить отдельный сервер asterisk+SIP plugin, поднять OpenVPN.
Клиенты коннектяться к vpn серверу, а затем с помощью программы Jitsi, которая поддерживает ZRTP, общаются между собой.
Причем список, я так понял, можно организовать в виде SIP URI.

Так вот смысл всего - нужно ли также настраивать ZRTP на самом asteriske ?

[Vlad1983]

в чем практический смысл гонять шифрованные голосовые данные по шифрованному линку OpenVPN?

[digital_punk]

Это видимо моя паранойя сработала.
Просто изначально была задача от руководства, чтобы найти клиента, который шифровал бы аудио/видео поток от третьих лиц.

То есть мне достаточно будет только asterisk+openvpn+клиент.
И на сколько я понял потом клиенты будут общаться напрямую друг с другом. То есть проводить через proxy сервер провайдера ведь не нужно?

[ded]

И на сколько я понял потом клиенты будут общаться напрямую друг с другом. То есть проводить через proxy сервер провайдера ведь не нужно?

Нет. Нужно.
Классическая формула: два абонента, в разных местах, каждый за своим НАТом. Как они будут общаться друг с другом без Астериска?

[digital_punk]

Ведь у меня будет за NAT стоять asterisk. И будет доступен только при подключении к OpenVPN. Теоретически, клиенты всегда будут в одной локальной сети. Соответственно, я так понимаю, можно и трафик гонять только внутри этой сети. Тут будут подключаться только корпоративные пользователи. Зачем тогда в данном случае исп. proxy сервер провайдера? Недопонимаю