TCP ofuscado ( ObsTCP ) fue una propuesta para un protocolo de capa de transporte que implementa el cifrado oportunista sobre el Protocolo de control de transmisión (TCP). Fue diseñado para evitar las escuchas telefónicas masivas y la corrupción maliciosa del tráfico TCP en Internet , con un menor costo de implementación y complejidad que la Seguridad de la capa de transporte (TLS). En agosto de 2008, IETF rechazó la propuesta de una opción de TCP y sugirió que se hiciera en la capa de aplicación. [1] El proyecto ha estado inactivo desde unos meses después.
En junio de 2010, se presentó una propuesta separada llamada tcpcrypt , que comparte muchos de los objetivos de ObsTCP: ser transparente para las aplicaciones, oportunista y con poca sobrecarga. Requiere aún menos configuración (sin entradas DNS ni encabezados HTTP). A diferencia de ObsTCP, tcpcrypt también proporciona primitivas hasta la aplicación para implementar la autenticación y evitar ataques de intermediarios (MITM). [2]
ObsTCP fue creado por Adam Langley . El concepto de ofuscar las comunicaciones TCP mediante el cifrado oportunista evolucionó a través de varias iteraciones. Las iteraciones experimentales de ObsTCP usaron opciones TCP en paquetes 'SYN' para anunciar soporte para ObsTCP, respondiendo el servidor con una clave pública en 'SYNACK'. Un borrador de protocolo IETF se publicó por primera vez en julio de 2008. Los paquetes se cifraron con Salsa20/8, [3] y los paquetes se firmaron con sumas de verificación MD5. [4]
La presente (tercera) iteración utiliza registros DNS especiales (o métodos fuera de banda) para anunciar soporte y claves, sin modificar el funcionamiento del protocolo TCP subyacente. [5]
ObsTCP es un protocolo de bajo costo destinado a proteger el tráfico TCP, sin requerir certificados de clave pública , los servicios de las autoridades de certificación o una infraestructura de clave pública compleja . Su objetivo es suprimir el uso de la vigilancia no dirigida para rastrear el tráfico no cifrado, en lugar de proteger contra el ataque del hombre en el medio.
Actualmente, el software admite el cifrado de flujo Salsa20/8 [3] y la función Diffie Hellman de curva elíptica Curve25519 [6] .