Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
srtp [2018/10/22 10:07] misasrtp [2021/12/30 12:13] (current) – [Veřejný klíč certifikační autority] root
Line 1: Line 1:
 ====== Odorik TLS/SRTP ====== ====== Odorik TLS/SRTP ======
-Bez použití šifrování je relativně snadné odposlouchávat hovory, pokud je pro hovor použité Wifi připojení k internetu (útočníkovi se musí dozvědět heslo, to by ale neměl být větší problém), nebo pokud má útočník fyzicky přístup do lokální ethernetové sítě v místě, kudy hovor prochází. Kromě poslechu samotného hovoru bude znát, i komu jste volali. Odposlechnout SIP heslo ale není možné, i když šifrování hovoru není použito, heslo je i v tomto případě dostatečně chráněno.+Bez použití šifrování je relativně snadné odposlouchávat hovory, pokud je pro hovor použité Wifi připojení k internetu (útočníkovi se musí dozvědět heslo, to by ale neměl být větší problém), nebo pokud má útočník fyzicky přístup do lokální ethernetové sítě v místě, kudy hovor prochází. Kromě poslechu samotného hovoru bude znát, i komu jste volali. Odposlechnout SIP heslo ale není možné, i když šifrování hovoru není použito, heslo je i v tomto případě chráněno.
  
 Pro šifrování hovorů i signalizace tak, aby nemohlo dojít k odposlechu někde po cestě, je možné použít TLS(SIPS)/SRPT. TLS(SIPS) slouží pro šifrování signalizace, SRTP k šifrování hlasových paketů. Přestože to některé telefony umožňují, nemá smysl použít šifrovaní jen pro samotné hovory (SRTP) v situaci, kdy není šifrována signalizace, protože šifrovací klíče se přenáší samotnou signalizaci a útočník by tak k nim měl přístup. Pro šifrování hovorů i signalizace tak, aby nemohlo dojít k odposlechu někde po cestě, je možné použít TLS(SIPS)/SRPT. TLS(SIPS) slouží pro šifrování signalizace, SRTP k šifrování hlasových paketů. Přestože to některé telefony umožňují, nemá smysl použít šifrovaní jen pro samotné hovory (SRTP) v situaci, kdy není šifrována signalizace, protože šifrovací klíče se přenáší samotnou signalizaci a útočník by tak k nim měl přístup.
Line 19: Line 19:
  
 [[http://cs.wikipedia.org/wiki/Transport_Layer_Security|TLS]] je způsob šifrování TCP signalizace SIP protokolu. Signalizace není hovor samotný ale pouze informace o tom, kdo komu volá, jakým hlasovým kodekem a pod. TLS se nejčastěji používá spolu se SRTP, ale může být použito i samostatně. V tomto případě nebude možné odposlechnout, kdo komu volá, půjde však odposlechnout samotný hovor. Pokud vám jde jen o to, aby nebylo možné odposlechnout SIP heslo, nedělejte si starosti, o to je postaráno i při použití nešifrovaného SIP protokolu. Předgenerovaná SIP hesla o osmi znacích obsahující jména a číslice by nemělo být možné lousknout v rozumném čase za rozumnou cenu. [[http://cs.wikipedia.org/wiki/Transport_Layer_Security|TLS]] je způsob šifrování TCP signalizace SIP protokolu. Signalizace není hovor samotný ale pouze informace o tom, kdo komu volá, jakým hlasovým kodekem a pod. TLS se nejčastěji používá spolu se SRTP, ale může být použito i samostatně. V tomto případě nebude možné odposlechnout, kdo komu volá, půjde však odposlechnout samotný hovor. Pokud vám jde jen o to, aby nebylo možné odposlechnout SIP heslo, nedělejte si starosti, o to je postaráno i při použití nešifrovaného SIP protokolu. Předgenerovaná SIP hesla o osmi znacích obsahující jména a číslice by nemělo být možné lousknout v rozumném čase za rozumnou cenu.
 +
 +**Od 29.12.2021 nepodporuje naše SIP proxy obstarožní verze TLS 1.0 a 1.1. Lze to zkontrolovat např. zde: https://www.cdn77.com/tls-test/result?domain=sip.odorik.cz%3A5061, je takmožné k tomuto datu váš telefon nebo ústředna přestal fungovat.**  Jestli se k podpoře nevrátíme krátce po novém roce zatím není rozhodnuto, týká se to spíše jednotlivců.
  
  
Line 26: Line 28:
  
 ===== Veřejný klíč certifikační autority ===== ===== Veřejný klíč certifikační autority =====
-** +Od září 2020 jsme nahradili námi podepsané certifikáty na sip.odorik.cz:5061 (standardní port pro tls) a  6689 (alternativní port možné použít při potížích s routerem či firewalem) certifikátem Let's encryptOvěřili jsme, že v podstatě všichni kdo se registrovali dříve se registrovali i po změně.
-Platny od 19.8.2015 do  16.8.2016** +
- +
-<code> +
------BEGIN CERTIFICATE----- +
-MIIDuzCCAqOgAwIBAgIJAODHGEs+3z6TMA0GCSqGSIb3DQEBBQUAMHUxETAPBgNV +
-BAMTCE9kb3Jpa0NBMRcwFQYDVQQIEw5DemVjaCBSZXB1YmxpYzELMAkGA1UEBhMC +
-Q1oxITAfBgkqhkiG9w0BCQEWEmtvbnRha3RAbWluaXRlbC5jejEXMBUGA1UEChMO +
-bWluaVRFTCBzLnIuby4wHhcNMTUwODE4MDcwNDI0WhcNMTYwODE3MDcwNDI0WjB1 +
-MREwDwYDVQQDEwhPZG9yaWtDQTEXMBUGA1UECBMOQ3plY2ggUmVwdWJsaWMxCzAJ +
-BgNVBAYTAkNaMSEwHwYJKoZIhvcNAQkBFhJrb250YWt0QG1pbml0ZWwuY3oxFzAV +
-BgNVBAoTDm1pbmlURUwgcy5yLm8uMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB +
-CgKCAQEAo+M5liVAX98vB4rTvkh89Q8MFq7sRtsDptqO9dVbDZLFlloGWg2z7jUW +
-lOKzBRg16ihV+MYasmxK3mDiL9nRGc8FzD+VD6qTxtkNJxHpL0KTHl+QtmpSxd71 +
-8ulFoWQ81yChrHqV2niI/lKnmA903pzCXIyc/0fUsT8rwOdrOaianWD8ig7yLJy/ +
-UEGus51UPKJl5u6/hgTcbsBTJzi/PBhQp3OcKYwmr+G+YU0Z2Fwn9vOAOcx6U/5Q +
-3s7l4Tx/8Kfu3wf9jLBvUmf0QitnJW/WqPx8u7w/v3TaseDBEIl3dDoDDdcxLtqO +
-Ir/VmQMlzP7gy6xbENF68JcOph7NAQIDAQABo04wTDAMBgNVHRMEBTADAQH/MB0G +
-A1UdEQQWMBSBEmtvbnRha3RAbWluaXRlbC5jejAdBgNVHRIEFjAUgRJrb250YWt0 +
-QG1pbml0ZWwuY3owDQYJKoZIhvcNAQEFBQADggEBAFd3jz4kJBBqDFe6usfulDaT +
-AmcJqUVlxAjY8+XfsX7cl26cvy4rjXHTPDpmLmJRxllH86KF2GT90Q5H6+7e1Hbb +
-tDEBVIrfCo7mdhZm824yY3L4lU9WEYt0JV1829XX3ckZ3m9bw3WYImEiFxga15zX +
-f13uSu+Ut4NFs3ZuI40oRCS+ercSSg+QgTtlYN7DLH0nCXyLGfe671AaDxhmIPav +
-iL8zAyUzC/xD7uUjfJUtt25t4fi/fcc2Cu5J2ZKLeMRuiSxsyBzxz4ZbJPDQhVMR +
-inOH6XG6pvyUK0MKRZUMnEAkVZLyQf2TuaW7QC6V8kK2iGZ1nZADsEFhGadgFmk= +
------END CERTIFICATE----- +
-</code> +
- +
-**Platny od 16.8.2016 do 29.9.2055** +
- +
-<code> +
------BEGIN CERTIFICATE----- +
-MIIDvTCCAqWgAwIBAgIJAOKH0n9bgybKMA0GCSqGSIb3DQEBBQUAMHUxETAPBgNV +
-BAMTCE9kb3Jpa0NBMRcwFQYDVQQIEw5DemVjaCBSZXB1YmxpYzELMAkGA1UEBhMC +
-Q1oxITAfBgkqhkiG9w0BCQEWEmtvbnRha3RAbWluaXRlbC5jejEXMBUGA1UEChMO +
-bWluaVRFTCBzLnIuby4wIBcNMTYwNDI2MTQyNDMyWhgPMjA1NTA5MjkxNDI0MzJa +
-MHUxETAPBgNVBAMTCE9kb3Jpa0NBMRcwFQYDVQQIEw5DemVjaCBSZXB1YmxpYzEL +
-MAkGA1UEBhMCQ1oxITAfBgkqhkiG9w0BCQEWEmtvbnRha3RAbWluaXRlbC5jejEX +
-MBUGA1UEChMObWluaVRFTCBzLnIuby4wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw +
-ggEKAoIBAQCeVYv84PV4uJ1/CXZTnsxeeCSB5QFxu2894tiVrFiXI3cBMtCEtM7X +
-jMCLMZZZJPlyRxHkSujsHJiyK61tvs26r/HSmWITWU6gpEIEXXl6j6nHC/NK+Vxi +
-jl5RC95vZXhaRw70PYmUqNCiEgjIjznLOQZnUFIfI5OIYh5tloy7gk2HMC6FZFbz +
-6dDrgh6Mnk4adbeITQawnwUC4zs8pBJFJM2nKDKEL+DHaIgJKeLCMcu5EL7IATME +
-6wG9SjIwmCDI9EQSO1+y3+niDWno12T75M9XzNvib4TEirAke4YPImV7UJtcY9R8 +
-dw0/AaA6JnM3f/tdpPNZw5QZHbOshzRvAgMBAAGjTjBMMAwGA1UdEwQFMAMBAf8w +
-HQYDVR0RBBYwFIESa29udGFrdEBtaW5pdGVsLmN6MB0GA1UdEgQWMBSBEmtvbnRh +
-a3RAbWluaXRlbC5jejANBgkqhkiG9w0BAQUFAAOCAQEAhmWpwb0VcSvLsjxiBdQu +
-y6IaTUoaEXjOKHhfGHkCgbWCG7VVpbR+s2tOQk1VjtXF7PgFSbjFSv0Y0KQ0FByr +
-cQ4ZFhaO4hvhrCzg7V1u64pISpAhqtdABKGDmWe/FeXsCMI63rgYDx850p98AR9T +
-61nCr0vPhRfYWHUdccQX2F8BrVSK6n6S2o3tyDN/VijSfLrN4vQ3f6S3VvJ35QcC +
-psNRN5Bg77LR53L86gLR/u7MMtQ7lnU84HDyeDgCu1xEHXiM+Uba3zilKY2UGUIO +
-5GyLZR963gXbFIX/SnX23MBiRlTirLC1R9/Av1SpINoHPZA96qxAfx0jrM+P8C4O +
-Vg== +
------END CERTIFICATE----- +
-</code>+
  
  
-**Silnejsi certifikat na portu 6670. Platny do 17.10.2056**+Námi podepsaný certifikát zůstává jen na portu 6670 a je platný do 17.10.2056. Použijte pokud váš telefon nedůvěřuje Let's Encrypt kvůli jednomu propadlému root certifikátu. Např. telefony [[http://forum.odorik.cz/viewtopic.php?f=15&t=5104|telefony yealink]]) Let's Encrypt nedůvěřují a dávat vyjímku každé dva měsíce je nepohodlné. 
 +Pokud váš telefon vyžaduje odkaz ke stažení, můžete použít http://www.odorik.cz/spa112/strong.pem https://www.odorik.cz/spa112/strong.pem .
  
 <code> <code>
Line 111: Line 60:
 </code> </code>
  
-Používat certifikáty je nutné, jen pokud si tuto možnost zapnete (nebo ji máte defaultně zapnutou na svém telefonu)+Používat certifikáty je nutné, jen pokud si tuto možnost zapnete (nebo ji máte defaultně zapnutouna svém telefonu. 
-Doporučujeme si do telefonu přidat oba certifikáty (např. u telefonu Yealling/Well), abyste později při změně certifikátů nemuseli nic přidávat či měnit.+
 ====== Nastavení Grandstream GXP1400 ====== ====== Nastavení Grandstream GXP1400 ======
  
Line 196: Line 145:
  
 U [[zoiper|Zoiperu]] je šifrování jednodušší. Stačí povolit SRTP, čímž bude vyzváni i povolení TLS. Pokud Zoiper používáte na nestandardním portu jako 443 je nutné port smazat, nebo upravit na jeden z portů využívaný pro TLS. Při prvním přihlášení jste varování, že se certifikát na sip.odorik.cz není podepsán důvěryhodnou autoritou, to nechte ignorovat. U [[zoiper|Zoiperu]] je šifrování jednodušší. Stačí povolit SRTP, čímž bude vyzváni i povolení TLS. Pokud Zoiper používáte na nestandardním portu jako 443 je nutné port smazat, nebo upravit na jeden z portů využívaný pro TLS. Při prvním přihlášení jste varování, že se certifikát na sip.odorik.cz není podepsán důvěryhodnou autoritou, to nechte ignorovat.
 +
 +====== Download ======
 +port:5061
 +
 +[[http://www.odorik.cz/w/_media/ostry.txt]]
 +
 +port:6670
 +
 +[[http://www.odorik.cz/w/_media/strong.txt]]
 +
 +
 
srtp.1540195628.txt.gz · Last modified: 2018/10/22 10:07 (external edit)