ResumenLa presente Recomendación describe mejoras dentro del marco de las especificaciones de las Recomendaciones de la serie H.3xx para incorporar servicios de seguridad tales como autenticación y privacidad (criptado de datos). El esquema propuesto es aplicable a conferencias punto a punto y multipunto para cualesquiera terminales que utilicen la Rec. UIT‑T H.245 como su protocolo de control. Por ejemplo, los sistemas H.323 funcionan por redes de paquetes que no proporcionan una calidad de servicio garantizada. Por la misma razón técnica de que la red de base no proporciona la calidad de servicio, la red no proporciona un servicio seguro. La comunicación segura en tiempo real por redes inseguras plantea generalmente dos problemas importantes: autenticación y privacidad. La presente Recomendación describe la infraestructura de seguridad y técnicas de privacidad específicas que han de emplear los terminales multimedios de la serie H.3xx. Esta Recomendación aborda los aspectos relacionados con la conferencia interactiva, entre los que cabe citar la autenticación y privacidad de todos los trenes de medios en tiempo real que son intercambiados en la conferencia, aunque no está limitado estrictamente a éstos. La presente Recomendación proporciona el protocolo y algoritmos necesarios entre las entidades H.323. La presente Recomendación utiliza las facilidades generales soportadas en la Rec. UIT-T H.245 y como tal, cualquier norma que funcione junto con este protocolo de control puede utilizar este marco de seguridad. Se prevé que siempre que sea posible otros terminales de la serie H puedan interfuncionar y utilizar directamente los métodos descritos en esta Recomendación, en el que inicialmente no se prevé la implementación completa en todos los campos, sino que destacará específicamente la autenticación de puntos extremos y la privacidad de los medios. La presente Recomendación incluye la capacidad de negociar servicios y funcionalidades de una manera genérica, y la selectividad en relación con técnicas criptográficas y capacidades utilizadas. La manera específica en que éstas se utilizan se relaciona con las capacidades de los sistemas, requisitos de aplicación y restricciones específicas de la política de seguridad. La presente Recomendación soporta diversos algoritmos criptográficos, con opciones variadas apropiadas para diferentes fines, por ejemplo, longitudes de claves. Ciertos algoritmos criptográficos pueden ser asignados a servicios de seguridad específicos (por ejemplo, uno para criptación rápida de tren de medios y otro para criptación de señalización). Cabe señalar también que algunos algoritmos criptográficos o mecanismos pueden estar reservados para exportación u otros aspectos nacionales (por ejemplo, con longitudes de claves restringidas). La presente Recomendación soporta la señalización de algoritmos bien conocidos además de la señalización de algoritmos criptográficos no normalizados o privados. No hay algoritmos específicamente obligatorios, aunque se aconseja decididamente que los puntos extremos soportan el mayor número posible de algoritmos para lograr el interfuncionamiento. Esto es paralelo al concepto de que el soporte del protocolo H.245 no garantiza el interfuncionamiento entre códecs de dos entidades. La versión 2 de la Rec. UIT-T H.235 sustituye a la versión 1 presentando varias mejoras, tales como la criptografía de curva elíptica, los perfiles de seguridad (el simple basado en contraseñas y el perfeccionado basado en firmas digitales), las nuevas contramedidas de seguridad (antiinundación de medios), el soporte del algoritmo de criptación avanzado (AES), el soporte para el servicio fuera del terminal, los identificadores de objeto definidos y los cambios incorporados de la guía del implementador de la Rec. UIT-T H.323. La versión 3 de la Rec. UIT-T H.235 sustituye a la versión 2 con las siguientes mejoras: un procedimiento para señales DTMF criptadas, unos identificadores de objeto para el algoritmo de criptación AES a efectos de criptación de cabida útil de medios, el modo de criptación para el cifrado de trenes OFB mejorado (EOFB, enhanced OFB) para la criptación de trenes de medios, una opción de sólo autenticación para el paso sin problemas a través de un NAT/cortafuegos, presentada en el anexo D, un procedimiento de distribución de claves en el canal RAS, algunos procedimientos para el transporte más seguro de claves de sesión y una distribución y actualización de claves más robustas, unos procedimientos para proporcionar seguridad a trenes de cabida útil múltiple, un mejor soporte de seguridad para las llamadas con encaminamiento directo en un nuevo anexo I, unos medios de señalización que permitan informes de error más flexibles, algunas aclaraciones y mejoras de la eficacia con el fin de lograr seguridad en el arranque rápido y para la señalización Diffie-Hellman, junto con parámetros Diffie-Hellman más largos y ciertos cambios provenientes de la guía del implementador de la Rec. UIT-T H.323. |