Criptografia Simétrica em Redes de Comutação de Pacotes

A criptografia simétrica pode ser usada nos sistemas computacionais para oferecer confidencialidade aos dados que trafegam pela rede de comunicação. Entretanto, antes de utilizar a técnica para transmitir mensagens por uma rede de comutação de pacotes, é preciso decidir o que criptografar e onde a função de criptografia deverá estar localizada. Neste caso, existem duas opções fundamentais: criptografia ao nível de enlace e criptografia de ponta a ponta.

No ambiente distribuído de uma rede de comunicação, os dispositivos que garantem a segurança das informações podem ser posicionados para dar suporte à criptografia na camada de enlace ou oferecer proteção ponta a ponta. Na criptografia da camada de enlace, o meio de comunicação é provido nas extremidades com dispositivos executando criptografia. Já na criptografia de ponta a ponta, o processo criptográfico é executado nos dois sistemas finais.

Criptografia de Enlace

Com a criptografia de enlace, que em termos do modelo de referência OSI (Open systems Interconnection) ocorre nas camadas física ou de enlace de dados (Data Link), cada segmento de comunicação vulnerável é equipado nas duas extremidades com um dispositivo de criptografia, de forma que todo o tráfego através dos enlaces de comunicação é protegido. Para isso, é imprescindível que todo o caminho, da origem até o destino, utilize a criptografia de enlace. Cada par de nós que utiliza um enlace de comunicação deve compartilhar uma única chave de criptografia, com uma chave diferente sendo usada em cada enlace.

A desvantagem do método é que a mensagem precisa ser decriptografada toda vez que passar por um dispositivo de rede, um switch, por exemplo, uma vez que este precisa ler o endereço no cabeçalho do pacote a fim de rotear o frame. Consequentemente, a mensagem fica vulnerável em cada switch.



Criptografia Ponta a Ponta

A criptografia de ponta a ponta normalmente é realizada na camada de rede do modelo OSI, estando associada ao protocolo correspondente (Frame Relay ou ATM, por exemplo), de modo que a parte dos dados do usuário é criptografada na estrutura do protocolo utilizado. Trata-se de um processo que é executado nos dois sistemas finais, onde um host ou terminal de origem criptografa os dados, que são transmitidos através do meio de comunicação, até o host ou terminal de destino. Como o destino compartilha uma chave de criptografia com a origem, ele é capaz de decriptografar os dados.
A desvantagem é que, apesar da criptografia de ponta a ponta proteger os dados do usuário, ela não protege o padrão de tráfego, pois os cabeçalhos dos pacotes são transmitidos através da rede de comutação sem serem criptografados.