Не получается настроить шифрование (прошу помощи)

 

Сервисы Общения Форумы Телефония Шифрование Не получается настроить шифрование (прошу помощи)

В этой теме 11 ответов, 5 участников, последнее обновление  Demon 4 мес., 1 неделя назад.

Просмотр 12 сообщений - с 1 по 12 (из 12 всего)
  • Автор
    Сообщения
  • #11870

    rikishi007
    Участник

    Здравствуйте, я новичок на этом сервисе, в принципе мне очень нравится идея данного проекта, но пока что я остановился на шифровании звонков и не могу никак разобраться в этой теме. Я использую SIP-клиент Jitsi (странно, что данный клиент не фигурирует в списке клиентов на данном сайте), потому что клиент весьма популярный и кроссплатформенный, к тому же является свободным ПО. В общем, настроить данный клиент для звонков как таковых я смог (при помощи обобщенных настроек), но вот шифрование – никак. Дело в том, что данный клиент Jitsi использует по умолчанию шифрование ZRTP. В настройках клиента я нашёл три различных протокола шифрования (ZRTP, DTLS-SRTP и SDES), а также там есть вкладка “Использование RTP/SAVP” (использовать только RTP/AVP или RTP/SAVP).

    В настройках самого сервиса (на сайте на вкладке “Телефония” – “Уч. записи” – “Изменить параметры устройства” – “Настройка техн. параметров”) я нашёл пункт “Обязательное шифрование TLS+SRTP”, поставил галочку, и сохранил. Но после этого мой клиент Jitsi перестал вообще инициировать звонки, звонил по техническим номерам 0201 и 0102 (проверка музыки и время). Как только галочку “Обязательное шифрование TLS+SRTP” убираю, всё работает, но шифрования, само собой, нет!

    В общем мучаюсь и никак не могу настроить шифрование. Просьба огромная помогите мне с настройкой шифрования звонков на вашем сервисе с клиентов Jitsi. Читал, что все пользуются Zoiper в основном, но очень хотелось бы все таки настроить шифрование именно на свободном клиенте (а не проприетарном), если это возможно. Также читал ранее темы на форуме, там было сказано про какие-то “шаблоны”, но в настройках на вкладке “Телефония” – “Уч. записи” не нашел такого пункта. Буду рад помощи! Заранее благодарю!

    #11871

    Demon
    Участник

    Доброго дня.
    Спасибо за добрые слова в наш адрес.

    Ранее настройка шифрования в сервисе была через указание “шаблона”. Сейчас это галочка, которую Вы видели.
    Предлагаю попробовать:
    1. Включит галочку в сервисе у устройства и сохранить. Оно применится минуты через 3.
    2. В настройках клиента включить шифрование TLS (это там где выбирается UDP/TCP)
    для шифрования звука выбрать SDES

    #11875

    rikishi007
    Участник

    Попробовал, все равно не получается. В клиенте Jitsi во вкладке Расширенные в разделе SIP есть строка “Разрешенные протоколы SSL/TLS” и там 5 галочек: SSL2Hello, SSL3, TLSv1, TLSv1.1, TLSv1.2. У меня галочки стоят на последних трёх. Далее Выбрал SDES, там ещё есть вкладка с кучей алгоритмов шифрования “aes_cm_128_hmac_sha1_80” и так далее… Ещё есть два порта: 5060 или 5061, я подключаюсь через последний. В общем перепробовал всё но звонок не проходит, пишет “Звонок не удался” (Not Acceptable Here). Если у вас будет хоть немного свободного времени, не могли бы попробовать клиент Jitsi скачать и настроить шифрование попробовать на нем? Вы администратор, вы же больше знаете настройки сервера и клиентов. Тем более что клиент очень хороший, поддерживает Windows, Mac Os X и Linux (на Java машине), полностью свободный. В перспективе может стать одним из рекомендуемых для данного проекта, я надеюсь.

    #11877

    rikishi007
    Участник

    Доброго дня.
    Спасибо за добрые слова в наш адрес.

    Ранее настройка шифрования в сервисе была через указание “шаблона”. Сейчас это галочка, которую Вы видели.
    Предлагаю попробовать:
    1. Включит галочку в сервисе у устройства и сохранить. Оно применится минуты через 3.
    2. В настройках клиента включить шифрование TLS (это там где выбирается UDP/TCP)
    для шифрования звука выбрать SDES

    К сожалению ничего не получилось, но надеюсь как-то всё-таки проблему решить, хочется разобраться с шифрованием. Вообще мне подсказали что шифрование это дело клиентов и тут важно чтобы клиенты на обеих сторонах поддерживали шифрование. То есть если я к примеру буду звонить с SIP-клиента (софтфона) на обычный мобильный телефон (+7 …) чёрно-белую Нокию, то само собой шифрования никакого не может быть даже теоретически. А вот если оба клиента поддерживают шифрование (и мой, и собеседника) и они настроены на это, тогда возможен безопасный сеанс связи. Как вы думаете это так? Хотелось бы чтобы вы мне помогли с шифрованием, заранее благодарность!

    #11896

    Demon
    Участник

    Поставил, попробовал, не получилось.
    Небольшое изучение привело к нестойкому убеждению что не получится.
    Причина: Jitsi для SRTP обменивается ключами не через TLS, а через ZRTP… А астериск не поддерживает ZRTP.

    Пруфы:
    http://lists.jitsi.org/pipermail/users/2011-April/002915.html
    https://jitsi.org/Documentation/ZrtpFAQ

    ZRTP is a protocol in its own right that uses the RTP sessions to exchange its data. The sole purpose of ZRTP is to negotiate keys and cryptographic algorithms between peers and use these keys and algorithms to generate data to setup the SRTP cryptographic context.
    ZRTP will detect this during its discovery phase and can inform the user about this fact. Obviously ZRTP cannot setup secure RTP session in this case.

    Очень глупо как-то..
    ZRTP – это шифрование между клиентами (p2p) и оба клиента обязаны поддерживать ZRTP.
    SRTP – шифрование медиа-потока и он может быть к серверу.. обмен ключами в этом случае обычно производится через протокол сигнализации.. Поэтому важно использовать TLS вместо UDP/TCP.

    Если обмен ключами для SRTP идёт через ZRTP, то какой смысл использовать SRTP?

    может быть я ошибаюсь

    #11900

    Nobody
    Участник

    У меня с jitsi вообще любовь не получилась. Он крайне глючный, завелся только на одной машине из трех и там же были проблемы с шифрованием. Вообще не понятно откуда ему столько дифирамбов.

    #11908

    rikishi007
    Участник

    Получается Жицы не поддерживает TLS и не будет работать с talk37? Очень жалко, если так. Откопал тут альтернативу – клиент Ring (бывший SFLphone). Заявлена поддержка как TLS, так и ZRTP. Нужно будет опробовать!

    #11913

    Demon
    Участник

    Повторюсь.. ZRTP сервер не поддерживает. Только TLS+SRTP.
    Как Вы себе представляете звонки на мобильные или городские через ZRTP? Их сервера такого не поддерживают..

    #12333

    AndyRadist
    Участник

    @demon, посмотри пожалуйста, всё ли в порядке с TLS ?
    Zoiper ничего странного не показывает, а CSipSimple пишет SRTP вместо TLS+SRTP. Возможно это моя личная проблема, т.к. я переустанавливал софт. Но когда в CSipSimple отрубил UDP и TCP, оставив только TLS, то выдало ошибку 503 протокол не поддерживается. CSipSimple последней версии 1.02.03

    #12335

    Demon
    Участник

    Сложно сказать с уверенностью. Но мои Zoiper и PhonerLite прямо сейчас работают через TLS.
    Астериск для них пишет:
    contact : sip:demon@109.xx.xxx.xxx:41624;transport=TLS;rinstance=fa3f86134b0d60fc

    #16064

    hamilcar
    Участник

    так тлс есть на сервере?

    #16065

    Demon
    Участник

    Да есть. Шифрование настроено через tls+srtp.
    Для включения обязательного шифрования на стороне сервера надо поставить галочку, которая упоминается в первом сообщении темы.

Просмотр 12 сообщений - с 1 по 12 (из 12 всего)

Для ответа в этой теме необходимо авторизоваться.