SDP中有ice-ufrag和ice-pwd个参数,但如果我能确保SDP提供/回答,那么他们(或任何其他参数)是否真的需要私密才能实现安全的端到端连接未修改(以数字签名为例)?
用例是P2P系统,我有另一方的公钥,并希望确保我实际上已安全地连接到它。然而另一方没有我的公钥而不关心我是谁。
WebRTC和相关规格太大,以至于我还没有找到这个问题的明确答案(建议在各处使用HTTPS,但除此之外不多),我也没有找到任何考虑WebRTC安全性的文章观点看法。希望具有深入WebRTC知识的人能够澄清这个问题。
将此标记为可能重复的问题不包括任何SDP来源证明(以数字签名或其他方式),这就是为什么这个问题是独一无二的。
答案 0 :(得分:2)
绝对!虽然WebRTC可以保护数据通信,但SDP是一个免费的电话,可以给你打电话。
如果您没有保护您的信令频道,那么您最终可能会与攻击者进行完全安全的通话,而攻击者并不知情,您可以将数据包转发给预期的呼叫接收者。
这是Man-in-the-middle attack的变体。有关详情,请参阅security.stackexchange.com。