Desde Asterisk 20.12 soporte para SHA-256 y SHA-512-256

Enviado por admin el

El sistema de autenticación de Asterisk se basa en la RFC2617 que utiliza como método de cifrado MD5. En otro articulo estuve hablando justamente de ese método de cifrado diciendo que desde hace tiempo ya no es considerado seguro. Así que hoy, leyendo la noticia, me ha alegrado saber que Asterisk PBX, desde la versión 20.12, liberada el 6 de febrero, soporta dos métodos de cifrado nuevos y mas seguros:

 

  • SHA-256

  • SHA-512-256

El primer método de cifrado es soportado también por Kamailio, pues cuando se necesite se podrá autenticar Asterisk hacia Kamailio o viceversa utilizando este método de cifrado descrito en la RFC7616 que vuelve obsoleta la RFC2617.

 

Ahora, para que este método de cifrado funcione correctamente, se necesita:

 

  • mínimo la versión 2.15.1 de la pila SIP PJSIP

  • mínimo la versión 1.0.0 de OpenSSL para SHA-256

  • mínimo la versión 1.1.1 de OpenSSL para SHA-512-256

Claramente esto funciona solamente con el canal PJSIP donde, en el bloque de autenticación habrá que cambiar los valores del parámetro auth_type que ahora serán:

 

  • digest: para usar el nuevo algoritmo de cifrado o la contraseña en texto plano

  • google_oauth: la autenticación de Google utilizada en Google Voice

Se vuelven obsoletos los siguientes valores:

 

  • userpass

  • md5

y el siguiente parámetro:

 

  • md5_cred

En su lugar, habrá que crear tantas lines con el siguiente parametro:

 

password_digest

 

cuantas son las contraseñas HASH utilizadas. Ejemplo: si queremos que el usuario pueda utilizar la contraseña en MD5 y SHA-256, primero las creamos utilizando la siguiente sintaxis:

 

echo -n "usuario:realm:contraseña" | openssl dgst -MD5

echo -n "usuario:realm:contraseña" | openssl dgst -SHA-256

 

y luego utilizamos los resultados en los respectivos parámetros:

 

password_digest=MD5:60c68ed23939227701ada9bb5c6e0bdf

 

password_digest=SHA-256:da8fdec73644114cda0d59ac3e97b7db499caed7e05189c00c9e9eb59a437348

 

y para terminar indicamos que se pueden utilizar los dos metodos de cifrado para el UAC y UAS:

 

supported_algorithms_uac=SHA-256,MD5

supported_algorithms_uas=SHA-256,MD5

 

Yo creo que el problema es otro: ¿Conocen Softphone o teléfonos de mesa que soportan estos nuevos métodos de cifrado? Yo personalmente no.

Vota el Articulo: 

Sin votos (todavía)
Evalúa la calidad del articulo
Suscribirse a Comentarios de "Desde Asterisk 20.12 soporte para SHA-256 y SHA-512-256" Suscribirse a VozToVoice - Todos los comentarios