From: Sergey Matveev <stargrave@stargrave.org>
Date: Tue, 12 Jul 2022 15:36:46 +0000 (+0300)
Subject: MinimaLT протокол
X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=6e30e1c9e0cf17d773f9238d0d164175c28924fc;p=stargrave-blog.git

MinimaLT протокол

http://cr.yp.to/tcpip/minimalt-20131031.pdf
Зашифрованный транспортный протокол, с PFS, защитой IP заголовков,
возможностью аутентификации как только сервера, так и клиента.
Напоминает и TLS и IPsec. Но этот протокол делает handshake с PFS-ом
за один roundtrip, быстрее чем TCP. Возможность продолжать работу
даже при смене IP адресов. Возможность защиты от DoS-а вставкой паззлов
требуемых для подключения. А также он может туннелировать несколько
независимых соединений.

Работает это даже с меньшими задержками чем TCP, но не как-то магически,
а за счёт того, что используется directory сервер, с которого получают
короткоживущие эфемерные публичные ключи сервера. Это может быть и DNS
например, к которому всё равно запрос должен пойти для узнавания IP
адреса. Так что, действительно, round-trip штатно будет только один,
если в целом смотреть на всю эту экосистему.

А вообще транспортный host-to-host режим IPsec-а много в чём близок к
этому решению. TLS в статье обосрали конечно полностью. MinimaLT
заменяет собой TCP+IPsec/TLS обязательно интегрируясь с directory
сервером (например DNS-ом), поэтому и получается такой profit и
простота. Как например ZFS заменяет собой RAID+LVM+кучу-всего.
---