保护 UDP - OpenSSL 或 GnuTls 或...？

Question

我需要保护我的 UDP 流量。据我了解，DTLS 协议是最好的方法。还有另一种 - IPsec - 但它看起来不适合我，因为它不容易使用并且可能存在硬件问题。

我发现有些库实现了 DTLS。所以现在我正在尝试选择 - OpenSSL 还是 GnuTls？你能建议我用什么更好吗？有什么缺点或优点？或者可能有另一个库实现了 DTLS 支持？

Answer 1

我发现了以下有关库和 DTLS 的事实。

1. 还有另一个支持 DTLS 的库 - CyaSSL，但目前仅在测试模式下支持 DTLS。

2. 虽然 RFC 4347 的日期是 2006 年 4 月，但 OpenSSL 自 2005 年 (v0.9.8) 起就支持 DTLS。许多 Linux 发行版都包含此版本。 OpenSSL API 看起来有点丑，但看起来 DTLS 实现很稳定。

3. GnuTls 自 2011 年 (v3.0.0) 起支持 DTLS。看起来 Linux 还没有包含这个版本。 （例如，Ubuntu 11.04 使用 v2.8.6，Ubuntu 11.10 将使用 v2.10.5，而不是 v3.0.0。）没有关于何时使用 v3.0 的信息。它可以手动构建，但是它依赖于太多额外的库，这些库在某些发行版中可能没有本机支持。

4. 看起来所有这些库都可以在其他平台（例如Windows）上使用。

5. 已知的 OpenSSL 问题：OpenSSL 默认情况下为 DTLS 启用压缩，但事实并非如此。 OpenSSL v0.9.8 API 不提供任何禁用压缩的方法。该方法应手动实现。

摘要：

说到可用性，我个人更喜欢 GnuTls API，但目前 OpenSSL 看起来更适合使用。

Answer 2

IPsec 是最古老的，因此最兼容和稳定，但需要系统管理员执行任务，并且对于新手来说可能相当具有挑战性。 DTLS 正在从应用程序方面解决问题，程序员可以通过较少的更改来显着简化并与现有环境集成。

OpenSSL 和 GnuTLS 之间的选择几乎总是取决于许可证。

OpenSSL 许可证包含广告条款：

3.所有提及此功能或用途的广告材料 *
软件必须显示以下确认：*“This
产品包括由 OpenSSL 项目 * 开发的软件
在 OpenSSL 工具包中使用。 (http://www.openssl.org/)"

来自维基百科的 GnuTLS：

GnuTLS 最初创建是为了允许 GNU 项目的应用程序
使用 TLS 等安全协议。尽管 OpenSSL 已经存在，
OpenSSL 的许可证与 GPL 不兼容；[4] 因此软件
在 GPL 下，例如 GNU 软件，如果不使用 OpenSSL 就无法使用
制定 GPL 链接例外。

http://en.wikipedia.org/wiki/GnuTLS