[[srtp]]
 
Trace:

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
srtp [2018/10/16 20:34] – [Zoiper] rootsrtp [2021/12/30 12:13] (current) – [Veřejný klíč certifikační autority] root
Line 1: Line 1:
 ====== Odorik TLS/SRTP ====== ====== Odorik TLS/SRTP ======
-Bez použití šifrování je relativně snadné odposlouchávat hovory, pokud je pro hovor použité Wifi připojení k internetu (útočníkovi se musí dozvědět heslo, to by ale neměl být větší problém), nebo pokud má útočník fyzicky přístup do lokální ethernetové sítě v místě, kudy hovor prochází. Kromě poslechu samotného hovoru bude znát i komu jste volali. Odposlechnout SIP heslo ale není možné i když šifrování hovoru není použito, heslo je i v tomto případě dostatečně chráněno.+Bez použití šifrování je relativně snadné odposlouchávat hovory, pokud je pro hovor použité Wifi připojení k internetu (útočníkovi se musí dozvědět heslo, to by ale neměl být větší problém), nebo pokud má útočník fyzicky přístup do lokální ethernetové sítě v místě, kudy hovor prochází. Kromě poslechu samotného hovoru bude znáti komu jste volali. Odposlechnout SIP heslo ale není možnéi když šifrování hovoru není použito, heslo je i v tomto případě chráněno.
  
-Pro šifrování hovorů i signalizacetak aby nemohlo dojít k odposlechu někde po cestě, je možné použít TLS(SIPS)/SRPT.  TLS(SIPS) slouží pro šifrování signalizace, SRTP k šifrování hlasových paketů. Přestože to některé telefony umožňují, nemá smysl použít šifrovaní jen pro samotné hovory (SRTP) v situaci, kdy není šifrována signalizace, protože šifrovací klíče se přenáší samotnou signalizaci a útočník by tak k nim měl přístup.+Pro šifrování hovorů i signalizace takaby nemohlo dojít k odposlechu někde po cestě, je možné použít TLS(SIPS)/SRPT. TLS(SIPS) slouží pro šifrování signalizace, SRTP k šifrování hlasových paketů. Přestože to některé telefony umožňují, nemá smysl použít šifrovaní jen pro samotné hovory (SRTP) v situaci, kdy není šifrována signalizace, protože šifrovací klíče se přenáší samotnou signalizaci a útočník by tak k nim měl přístup.
  
  
Line 19: Line 19:
  
 [[http://cs.wikipedia.org/wiki/Transport_Layer_Security|TLS]] je způsob šifrování TCP signalizace SIP protokolu. Signalizace není hovor samotný ale pouze informace o tom, kdo komu volá, jakým hlasovým kodekem a pod. TLS se nejčastěji používá spolu se SRTP, ale může být použito i samostatně. V tomto případě nebude možné odposlechnout, kdo komu volá, půjde však odposlechnout samotný hovor. Pokud vám jde jen o to, aby nebylo možné odposlechnout SIP heslo, nedělejte si starosti, o to je postaráno i při použití nešifrovaného SIP protokolu. Předgenerovaná SIP hesla o osmi znacích obsahující jména a číslice by nemělo být možné lousknout v rozumném čase za rozumnou cenu. [[http://cs.wikipedia.org/wiki/Transport_Layer_Security|TLS]] je způsob šifrování TCP signalizace SIP protokolu. Signalizace není hovor samotný ale pouze informace o tom, kdo komu volá, jakým hlasovým kodekem a pod. TLS se nejčastěji používá spolu se SRTP, ale může být použito i samostatně. V tomto případě nebude možné odposlechnout, kdo komu volá, půjde však odposlechnout samotný hovor. Pokud vám jde jen o to, aby nebylo možné odposlechnout SIP heslo, nedělejte si starosti, o to je postaráno i při použití nešifrovaného SIP protokolu. Předgenerovaná SIP hesla o osmi znacích obsahující jména a číslice by nemělo být možné lousknout v rozumném čase za rozumnou cenu.
 +
 +**Od 29.12.2021 nepodporuje naše SIP proxy obstarožní verze TLS 1.0 a 1.1. Lze to zkontrolovat např. zde: https://www.cdn77.com/tls-test/result?domain=sip.odorik.cz%3A5061, je takmožné k tomuto datu váš telefon nebo ústředna přestal fungovat.**  Jestli se k podpoře nevrátíme krátce po novém roce zatím není rozhodnuto, týká se to spíše jednotlivců.
  
  
 ===== SRTP ===== ===== SRTP =====
-RTP jsou vlastní hlasová data. SRTP jsou šifrovaná hlasová data. Tato data proudí na jiném portu než signalizace. Pokud šifrujeme samotný hovor pomocí SRTP, je nutné šifrovat i signalizace pomocí TSL. V signalizaci se totiž předávají klíče šifrování a pokud signalizace nebyla šifrovaná, šifrovat samotný hovor pak postrádá smysl. Bohužel toto nepochopili např. vývojáři telefonu Grandstream GXP 280, který naprosto nesmyslně podporuje SRTP ale ne TLS.+RTP jsou vlastní hlasová data. SRTP jsou šifrovaná hlasová data. Tato data proudí na jiném portu než signalizace. Pokud šifrujeme samotný hovor pomocí SRTP, je nutné šifrovat i signalizace pomocí TSL. V signalizaci se totiž předávají klíče šifrovánía pokud signalizace nebyla šifrovaná, šifrovat samotný hovor pak postrádá smysl. Bohužel toto nepochopili např. vývojáři telefonu Grandstream GXP 280, který naprosto nesmyslně podporuje SRTP ale ne TLS.
 http://en.wikipedia.org/wiki/Secure_Real-time_Transport_Protocol http://en.wikipedia.org/wiki/Secure_Real-time_Transport_Protocol
  
 ===== Veřejný klíč certifikační autority ===== ===== Veřejný klíč certifikační autority =====
-** +Od září 2020 jsme nahradili námi podepsané certifikáty na sip.odorik.cz:5061 (standardní port pro tls) a  6689 (alternativní port možné použít při potížích s routerem či firewalem) certifikátem Let's encryptOvěřili jsme, že v podstatě všichni kdo se registrovali dříve se registrovali i po změně.
-Platny od 19.8.2015 do  16.8.2016** +
- +
-<code> +
------BEGIN CERTIFICATE----- +
-MIIDuzCCAqOgAwIBAgIJAODHGEs+3z6TMA0GCSqGSIb3DQEBBQUAMHUxETAPBgNV +
-BAMTCE9kb3Jpa0NBMRcwFQYDVQQIEw5DemVjaCBSZXB1YmxpYzELMAkGA1UEBhMC +
-Q1oxITAfBgkqhkiG9w0BCQEWEmtvbnRha3RAbWluaXRlbC5jejEXMBUGA1UEChMO +
-bWluaVRFTCBzLnIuby4wHhcNMTUwODE4MDcwNDI0WhcNMTYwODE3MDcwNDI0WjB1 +
-MREwDwYDVQQDEwhPZG9yaWtDQTEXMBUGA1UECBMOQ3plY2ggUmVwdWJsaWMxCzAJ +
-BgNVBAYTAkNaMSEwHwYJKoZIhvcNAQkBFhJrb250YWt0QG1pbml0ZWwuY3oxFzAV +
-BgNVBAoTDm1pbmlURUwgcy5yLm8uMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB +
-CgKCAQEAo+M5liVAX98vB4rTvkh89Q8MFq7sRtsDptqO9dVbDZLFlloGWg2z7jUW +
-lOKzBRg16ihV+MYasmxK3mDiL9nRGc8FzD+VD6qTxtkNJxHpL0KTHl+QtmpSxd71 +
-8ulFoWQ81yChrHqV2niI/lKnmA903pzCXIyc/0fUsT8rwOdrOaianWD8ig7yLJy/ +
-UEGus51UPKJl5u6/hgTcbsBTJzi/PBhQp3OcKYwmr+G+YU0Z2Fwn9vOAOcx6U/5Q +
-3s7l4Tx/8Kfu3wf9jLBvUmf0QitnJW/WqPx8u7w/v3TaseDBEIl3dDoDDdcxLtqO +
-Ir/VmQMlzP7gy6xbENF68JcOph7NAQIDAQABo04wTDAMBgNVHRMEBTADAQH/MB0G +
-A1UdEQQWMBSBEmtvbnRha3RAbWluaXRlbC5jejAdBgNVHRIEFjAUgRJrb250YWt0 +
-QG1pbml0ZWwuY3owDQYJKoZIhvcNAQEFBQADggEBAFd3jz4kJBBqDFe6usfulDaT +
-AmcJqUVlxAjY8+XfsX7cl26cvy4rjXHTPDpmLmJRxllH86KF2GT90Q5H6+7e1Hbb +
-tDEBVIrfCo7mdhZm824yY3L4lU9WEYt0JV1829XX3ckZ3m9bw3WYImEiFxga15zX +
-f13uSu+Ut4NFs3ZuI40oRCS+ercSSg+QgTtlYN7DLH0nCXyLGfe671AaDxhmIPav +
-iL8zAyUzC/xD7uUjfJUtt25t4fi/fcc2Cu5J2ZKLeMRuiSxsyBzxz4ZbJPDQhVMR +
-inOH6XG6pvyUK0MKRZUMnEAkVZLyQf2TuaW7QC6V8kK2iGZ1nZADsEFhGadgFmk= +
------END CERTIFICATE----- +
-</code> +
- +
-**Platny od 16.8.2016 do 29.9.2055** +
- +
-<code> +
------BEGIN CERTIFICATE----- +
-MIIDvTCCAqWgAwIBAgIJAOKH0n9bgybKMA0GCSqGSIb3DQEBBQUAMHUxETAPBgNV +
-BAMTCE9kb3Jpa0NBMRcwFQYDVQQIEw5DemVjaCBSZXB1YmxpYzELMAkGA1UEBhMC +
-Q1oxITAfBgkqhkiG9w0BCQEWEmtvbnRha3RAbWluaXRlbC5jejEXMBUGA1UEChMO +
-bWluaVRFTCBzLnIuby4wIBcNMTYwNDI2MTQyNDMyWhgPMjA1NTA5MjkxNDI0MzJa +
-MHUxETAPBgNVBAMTCE9kb3Jpa0NBMRcwFQYDVQQIEw5DemVjaCBSZXB1YmxpYzEL +
-MAkGA1UEBhMCQ1oxITAfBgkqhkiG9w0BCQEWEmtvbnRha3RAbWluaXRlbC5jejEX +
-MBUGA1UEChMObWluaVRFTCBzLnIuby4wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw +
-ggEKAoIBAQCeVYv84PV4uJ1/CXZTnsxeeCSB5QFxu2894tiVrFiXI3cBMtCEtM7X +
-jMCLMZZZJPlyRxHkSujsHJiyK61tvs26r/HSmWITWU6gpEIEXXl6j6nHC/NK+Vxi +
-jl5RC95vZXhaRw70PYmUqNCiEgjIjznLOQZnUFIfI5OIYh5tloy7gk2HMC6FZFbz +
-6dDrgh6Mnk4adbeITQawnwUC4zs8pBJFJM2nKDKEL+DHaIgJKeLCMcu5EL7IATME +
-6wG9SjIwmCDI9EQSO1+y3+niDWno12T75M9XzNvib4TEirAke4YPImV7UJtcY9R8 +
-dw0/AaA6JnM3f/tdpPNZw5QZHbOshzRvAgMBAAGjTjBMMAwGA1UdEwQFMAMBAf8w +
-HQYDVR0RBBYwFIESa29udGFrdEBtaW5pdGVsLmN6MB0GA1UdEgQWMBSBEmtvbnRh +
-a3RAbWluaXRlbC5jejANBgkqhkiG9w0BAQUFAAOCAQEAhmWpwb0VcSvLsjxiBdQu +
-y6IaTUoaEXjOKHhfGHkCgbWCG7VVpbR+s2tOQk1VjtXF7PgFSbjFSv0Y0KQ0FByr +
-cQ4ZFhaO4hvhrCzg7V1u64pISpAhqtdABKGDmWe/FeXsCMI63rgYDx850p98AR9T +
-61nCr0vPhRfYWHUdccQX2F8BrVSK6n6S2o3tyDN/VijSfLrN4vQ3f6S3VvJ35QcC +
-psNRN5Bg77LR53L86gLR/u7MMtQ7lnU84HDyeDgCu1xEHXiM+Uba3zilKY2UGUIO +
-5GyLZR963gXbFIX/SnX23MBiRlTirLC1R9/Av1SpINoHPZA96qxAfx0jrM+P8C4O +
-Vg== +
------END CERTIFICATE----- +
-</code>+
  
  
-**Silnejsi certifikat na portu 6670. Platny do 17.10.2056**+Námi podepsaný certifikát zůstává jen na portu 6670 a je platný do 17.10.2056. Použijte pokud váš telefon nedůvěřuje Let's Encrypt kvůli jednomu propadlému root certifikátu. Např. telefony [[http://forum.odorik.cz/viewtopic.php?f=15&t=5104|telefony yealink]]) Let's Encrypt nedůvěřují a dávat vyjímku každé dva měsíce je nepohodlné. 
 +Pokud váš telefon vyžaduje odkaz ke stažení, můžete použít http://www.odorik.cz/spa112/strong.pem https://www.odorik.cz/spa112/strong.pem .
  
 <code> <code>
Line 111: Line 60:
 </code> </code>
  
-Používat certifikáty je nutné jen pokud si tuto možnost zapnete (nebo ji máte defaultně zapnutou na svém telefonu)+Používat certifikáty je nutnéjen pokud si tuto možnost zapnete (nebo ji máte defaultně zapnutouna svém telefonu. 
-Doporučujeme si do telefonu přidat oba certifikáty (např. u telefonu Yealling/Well), aby jste později při změně certifikátů nemuseli nic přidávat či měnit.+
 ====== Nastavení Grandstream GXP1400 ====== ====== Nastavení Grandstream GXP1400 ======
  
-Co se týče příchozích šifrovaných hovorů a vůbec hovorů se signalizaci na TCP, jeví se nám telefony Grandstrem GXP 1400 a GXP 1450 problémové. Můžete ale zkusit tento návod. Doporučujeme na jedné lince používat jen jeden telefon. Postup, jak si nahrát nejnovější firmware naleznete zde http://www.odorik.cz/w/grandstream_gxp1400+Co se týče příchozích šifrovaných hovorů a vůbec hovorů se signalizaci na TCP, jeví se nám telefony Grandstrem GXP 1400 a GXP 1450 problémové. Můžete ale zkusit tento návod. Doporučujeme na jedné lince používat jen jeden telefon. Postup, jak si nahrát nejnovější firmwarenaleznete zde http://www.odorik.cz/w/grandstream_gxp1400
  
 {{:gs-1400-1.png|}} {{:gs-1400-1.png|}}
  
-Samotná věta "Protokol pro RTP pakety:"  UDP/TCP/TLS TCP " se je nehorázná chyba překladatele. RTP totiž nikdy přes TCP nechodí. Vždy jde přes UDP. Zjevně tam mělo být **protokol SIP signalizace:**. V angličtině je tam "SIP Transport".+Samotná věta "Protokol pro RTP pakety:"  UDP/TCP/TLS TCP " je nehorázná chyba překladatele. RTP totiž nikdy přes TCP nechodí. Vždy jde přes UDP. Zjevně tam mělo být **protokol SIP signalizace:**. V angličtině je tam "SIP Transport".
  
 {{::gxp1450_srtp_audio.png|}} {{::gxp1450_srtp_audio.png|}}
Line 174: Line 123:
 ====== Nastavení CSipSimple - android ====== ====== Nastavení CSipSimple - android ======
  
-Začněte tím, aby fungovalo nešifrované volání [[csipsimple_for_android|pomocí wizardu najdete odorik.cz a vyplnít jen jméno a heslo linky]] a pak si TLS a SRTP dodatečně zapněte v expertním režimu. Přepnutí do expertního režimu provedete následovně:Ve výchozí obrazovce s číselníkem stiskněte menu a vyberte **ucty**, potom dlouhý stisk na **Odorik.cz** v menu vyberte '**Vybrat pruvodce**' (může být nutné skrolovat) a projeďte nabízené operátory a zvolte **Expert**. +Začněte tím, aby fungovalo nešifrované volání [[csipsimple_for_android|pomocí wizardu najdete odorik.cz a vyplnít jen jméno a heslo linky]] a pak si TLS a SRTP dodatečně zapněte v expertním režimu. Přepnutí do expertního režimu provedete následovně: Ve výchozí obrazovce s číselníkem stiskněte menu a vyberte **ucty**, potom dlouhý stisk na **Odorik.cz** v menu vyberte '**Vybrat pruvodce**' (může být nutné zkrolovat) a projeďte nabízené operátory a zvolte **Expert**. 
  
 Podporu TLS, SRTP a případně ZRTP je nutné nečekaně povolit nejen u daného SIP účtu, ale i v celkovém nastavení programu společném pro všechny SIP účty. Najdete to v "nastavení->síť->zabezpečení přenosu" Podporu TLS, SRTP a případně ZRTP je nutné nečekaně povolit nejen u daného SIP účtu, ale i v celkovém nastavení programu společném pro všechny SIP účty. Najdete to v "nastavení->síť->zabezpečení přenosu"
 Další nastavení se provádí logicky u SIP linky, kterou chcete použít. Tedy //Přenos// na //TLS// a //SRTP mod// na //povinné//. Další nastavení se provádí logicky u SIP linky, kterou chcete použít. Tedy //Přenos// na //TLS// a //SRTP mod// na //povinné//.
 Netradiční port můžete (ale nemusíte - použije se pak automaticky 5061) nastavit v položce která se jmenuje //Proxy URI//: např. sip:sip.odorik.cz je můžete změnit na sip:sip.odorik.cz:6670 Netradiční port můžete (ale nemusíte - použije se pak automaticky 5061) nastavit v položce která se jmenuje //Proxy URI//: např. sip:sip.odorik.cz je můžete změnit na sip:sip.odorik.cz:6670
-Pokud máte všechno správně u probíhajícího hovoru pak svítí na žlutém pozadí, že je použit TLS i SRTP. +Pokud máte všechno správněu probíhajícího hovoru pak svítí na žlutém pozadí, že je použit TLS i SRTP. 
-Celá bíle napsaná věta na žlutém pozadí, která je nejspíš špatným překladem z angličtiny, co je vidět během hovoru zní: "TLS přenos je využíván k okamžitému hopu SRTP".+Celá bíle napsaná věta na žlutém pozadí, která je nejspíš špatným překladem z angličtiny, co je vidět během hovoruzní: "TLS přenos je využíván k okamžitému hopu SRTP".
 Obrázky s nastavením  na našem fóru: http://forum.odorik.cz/viewtopic.php?f=32&t=4536#p35501, tam ale zapomněli na nastavení SRTP. Obrázky s nastavením  na našem fóru: http://forum.odorik.cz/viewtopic.php?f=32&t=4536#p35501, tam ale zapomněli na nastavení SRTP.
  
Line 188: Line 137:
 ==== CSipSimple a ZRTP ==== ==== CSipSimple a ZRTP ====
  
-CSIPSimple podporuje i šifrování přes ZRTP, které si můžete také povolit. ZRTP lze využít jen pro hovory uvnitř sítě Odorik, ale ZRTP má zásadní výhodu, že se jedná o šifrování end to end s tím, že klíče se nepředávají v signalizaci, ale přímo ve zvuku takovým způsobem, že je není možné získat nikde po cestě ani na SIP a RTP proxy.  Tedy není možný odposlech nikde po cestě, ani kdyby servery Odoriku obsadilo novodobé gestapo. I když SRTP v případě vytočení dvou hvězdiček před číslem linky proudí také napřímo, klíče jsou posílány pomocí TLS, které je na odorik sip proxy dešifrováno. Ke klíčům má tak teoreticky přístup ten, kdo má přístup k SIP proxy, tedy teoreticky ono novodobé gestapo.+CSIPSimple podporuje i šifrování přes ZRTP, které si můžete také povolit. ZRTP lze využít jen pro hovory uvnitř sítě Odorik, ale ZRTP má zásadní výhodu, že se jedná o šifrování end to end s tím, že klíče se nepředávají v signalizaci, ale přímo ve zvuku takovým způsobem, že je není možné získat nikde po cestě ani na SIP a RTP proxy. Tedy není možný odposlech nikde po cestě, ani kdyby servery Odoriku obsadilo novodobé gestapo. I když SRTP v případě vytočení dvou hvězdiček před číslem linky proudí také napřímo, klíče jsou posílány pomocí TLS, které je na odorik sip proxy dešifrováno. Ke klíčům má tak teoreticky přístup ten, kdo má přístup k SIP proxy, tedy teoreticky ono novodobé gestapo.
  
-Pro hovory přes ZRTP je nutné volat jen linky v síti a to se dvěmi hvězdičkami na začátku. Tedy vytočíte číslo např. **300116. ZRTP je vhodné kombinovat s TLS (aby nešlo odposlechnout kdo komu volá). Pokud ale necháte povoloné obojí, jak SRTP tak ZRTP bohužel přednost dostane "horší" SRTP. Aby si tedy byly schopny volat dvě linky s využitím ZRTP, je alespoň na jedné z těch linek nutné zakázat SRTP, jinak by bohužel dostalo přednost.+Pro hovory přes ZRTP je nutné volat jen linky v sítia to se dvěmi hvězdičkami na začátku. Tedy vytočíte číslo např. **300116. ZRTP je vhodné kombinovat s TLS (aby nešlo odposlechnoutkdo komu volá). Pokud ale necháte povoloné obojí, jak SRTP tak ZRTP bohužel přednost dostane "horší" SRTP. Aby si tedy byly schopny volat dvě linky s využitím ZRTP, je alespoň na jedné z těch linek nutné zakázat SRTP, jinak by bohužel dostalo přednost
 +Použité šifrování můžete zkontrolovat kdykoli během hovoru ve žlutém pruhu.
  
 ====== Zoiper ====== ====== Zoiper ======
  
-U [[zoiper|Zoiperu]] je šifrování jednodušší. Stačí povolit SRTP čímž bude vyzváni i povolení TLS. Pokud Zoiper používáte na nestandardním portu jako 443 je nutné port smazat, nebo upravit na jeden z portů využívaný pro TLS. Při prvním přihlášení jste varování, že se certifikát na sip.odorik.cz není podepsán důvěryhodnou autoritou, to nechte ignorovat.+U [[zoiper|Zoiperu]] je šifrování jednodušší. Stačí povolit SRTPčímž bude vyzváni i povolení TLS. Pokud Zoiper používáte na nestandardním portu jako 443 je nutné port smazat, nebo upravit na jeden z portů využívaný pro TLS. Při prvním přihlášení jste varování, že se certifikát na sip.odorik.cz není podepsán důvěryhodnou autoritou, to nechte ignorovat. 
 + 
 +====== Download ====== 
 +port:5061 
 + 
 +[[http://www.odorik.cz/w/_media/ostry.txt]] 
 + 
 +port:6670
  
 +[[http://www.odorik.cz/w/_media/strong.txt]]
  
  
 
srtp.1539714886.txt.gz · Last modified: (external edit)