asterisk.ru

доброго времени дня, друзья
ищу субъективные мнения по поводу ZRTP, желательно чтобы мнения были эмпирически обоснованы
как Вы очениваете готовность реализации поддержки ZRTP в Asterisk?
насколько высокую нагрузку даёт это шифрование на процессор Вашего астера?
может Вы захотите сказать пару слов от себя, по этому вопросу?

Легко.
На современных процессорах нагрузка на шифрографию RTP незначительна. Если только там не будет супер-станция на 1000 одновременных соединений, и все криптованные.

Есть проблема архитектурная, а не аппаратная. В криптографии она моделируется при помощи теоретической предпосылки нахождения Человека-посередине (Man-in-the-middle) при разговоре условных двух абонентов Алисы и Боба (А и Б). Так вот архитектура Астериска, при которой соединения почти всегда идёт через Астериск, даёт огромную вероятность внедрения Человека-посередине, от руткита, до ChanSpy. Если бы эту же возможность реализовывать через софтсвич 4-го класса, который замкнул А и Б напрямую, и они зашифровали свой RTP - и порядок! Было бы правильней.
Так что возможность ZRTP (и SRTP вообще) в Астериске есть, но не выдерживает критики по уровню надёжности криптографии.
В википедии всё написано.

дед, спасибо
впечатляющее исчерпывающий пост
серьёзно

Могу добавить, что ZRTP тем и отличается от SRTP, что изначально был предназначен для p2p соединений - без сервера посередине и исключения атак типа MiM. В текущих стабильных версиях asterisk официальной поддержки ZRTP нет и непредвидится - мало кто заинтересован в понастоящему безопасной связи, кроме определенных структур. При некоторых усилиях заставить ZRTP работать с астером можно - безопасной связь будет только при directmedia=yes.

безопасной связь будет только при directmedia=yes.

+ одинаковые кодеки + отсутствие любых опций в команде Dial:
Dial(SIP/${EXTEN}) и больше ничего.

Извините, а можно нубский вопрос?

Если применить следующее: настроить отдельный сервер asterisk+SIP plugin, поднять OpenVPN.
Клиенты коннектяться к vpn серверу, а затем с помощью программы Jitsi, которая поддерживает ZRTP, общаются между собой.
Причем список, я так понял, можно организовать в виде SIP URI.

Так вот смысл всего - нужно ли также настраивать ZRTP на самом asteriske ?

в чем практический смысл гонять шифрованные голосовые данные по шифрованному линку OpenVPN?

Это видимо моя паранойя сработала.
Просто изначально была задача от руководства, чтобы найти клиента, который шифровал бы аудио/видео поток от третьих лиц.

То есть мне достаточно будет только asterisk+openvpn+клиент.
И на сколько я понял потом клиенты будут общаться напрямую друг с другом. То есть проводить через proxy сервер провайдера ведь не нужно?

И на сколько я понял потом клиенты будут общаться напрямую друг с другом. То есть проводить через proxy сервер провайдера ведь не нужно?

Нет. Нужно.
Классическая формула: два абонента, в разных местах, каждый за своим НАТом. Как они будут общаться друг с другом без Астериска?

Ведь у меня будет за NAT стоять asterisk. И будет доступен только при подключении к OpenVPN. Теоретически, клиенты всегда будут в одной локальной сети. Соответственно, я так понимаю, можно и трафик гонять только внутри этой сети. Тут будут подключаться только корпоративные пользователи. Зачем тогда в данном случае исп. proxy сервер провайдера? Недопонимаю