Asterisk 现已支持SHA-256和SHA-512-256 这两种SIP认证摘要算法。
SIP和HTTP都使用相同的摘要认证机制,这一机制最早在RFC-2069″HTTP的扩展:摘要访问认证”中就有描述。当时,唯一普遍支持的摘要算法是MD5,但该算法自2010年左右就被认为”在密码学上已被破解且不适合继续使用”。2015年,随着RFC-7616的发布,更为安全的SHA-256和SHA-512-256算法被添加进来。即便这样,SIP生态系统对这些算法的支持一直都不够完善。不过最终,随着Asterisk 22.2.0、21.7.0和20.12.0版本的发布,这些算法在使用chan_pjsip通道驱动程序作为SIP客户端和服务器时都得到了完全支持。
但是需要注意,需要pjproject 2.15.1或更高版本(该版本现在是官方捆绑版本),SHA-256需要OpenSSL 1.0.0或更高版本,而SHA-512-256需要OpenSSL 1.1.1或更高版本。如果运行的OpenSSL版本低于1.1.1,继续使用MD5算法的话,可能会出现安全问题。
新算法的添加需要对PJSIP “auth”对象配置进行更改,简言之,用户可以分别配置auth对象作为客户端或服务器时使用的算法,可以指定使用MD5、SHA-256和SHA-512-256预先散列的凭据。用户还可以在PJSIP “global”对象中设置支持的客户端和服务器算法的默认列表,这表示只需在”global”配置中添加两行,就可以轻松让所有auth对象支持新算法。
内容来源:https://www.asterisk.org/asterisk-supports-the-sha-256-and-sha-512-256-digest-algorithms/
本文来自作者投稿,版权归原作者所有。如需转载,请注明出处:https://www.nxrte.com/zixun/56267.html
