Die IETF (Internet Engineering Task Force)
schlägt vor, Proof of Transit (PoT)
zu implementieren - ein „Reiseprotokoll“ für Netzwerkpakete. Lesen Sie mehr über die Initiative und die Prinzipien von PoT - unter dem Strich.
/ Flickr / JonoTakesPhotos / CCWarum brauchten Sie einen Transitnachweis?
Laut Cisco-Experten stellt die Virtualisierung von Comcast und JP Morgan Chase nicht vollständig sicher, dass Netzwerkpakete nicht ersetzt oder geändert wurden. Ein solcher Bedarf kann beispielsweise durch die internen Richtlinien der Organisation oder durch die Anforderungen der Regulierungsbehörde gerechtfertigt sein.
Jetzt kann dieses Problem indirekt gelöst werden, aber laut
den Autoren der Initiative erschweren die Entwicklung von Netzwerken und die Entstehung von Technologien wie
NFV ,
LISP und
NSH diesen Prozess erheblich. Daher wurde ein neuer Ansatz mit dem Namen Proof of Transit vorgeschlagen. Es wird davon ausgegangen, dass Sie so etwas wie eine Historie oder ein Tagebuch über den Durchgang eines Pakets entlang einer bestimmten Route durchführen können.
Wie funktioniert der vorgeschlagene Ansatz?
Die im Dokument
vorgestellte Lösung basiert auf dem Hinzufügen einer kleinen Datenmenge zu jedem Paket. Diese Daten werden verwendet, um den Verlauf zu kompilieren und die Richtigkeit des Pfads zu überprüfen. Die Parameter der obligatorischen Knoten werden unter Verwendung geheimer Schlüssel oder
eines geheimen Freigabeschemas beschrieben .
Jeder Knoten verwendet seinen eigenen Schlüssel oder einen eigenen geheimen Anteil, um die PoT-Paketdaten zu aktualisieren. Wenn der Prüfer das Paket empfängt, überprüft er die Authentizität des Pfades.
/ Flickr / Ryan H. / CCUm die Sicherheit dieses Ansatzes zu gewährleisten, schlagen Experten vor, bei der Generierung von PoT-Daten
ein geheimes Shamir-Sharing-Schema zu verwenden. Mit einfachen Worten besteht das Funktionsprinzip dieser Schutzmethode darin, das Geheimnis schrittweise in bedingte "Koordinaten" von Punkten (Knoten) zu trennen, entlang derer eine gegebene Interpolation einer gegebenen Kurve (Paketpfad) erfolgt - Berechnung des Lagrange-Interpolationspolynoms.
Die Knoten verwenden ihren geheimen Anteil, um die POT-Daten jedes Pakets zu aktualisieren, und die Überprüfung der Richtigkeit der POT-Daten erfolgt durch Erstellen einer Kurve. Wenn einer der Punkte fehlt oder ersetzt wird, ist es unmöglich, ein Polynom zu konstruieren. Dies bedeutet, dass das Paket den angegebenen Pfad nicht passiert hat.
Um die Sicherheit zu erhöhen, schlagen die Autoren vor, zwei Polynome zu verwenden: POLY-1 (geheim und permanent) und POLY-2 (öffentlich, willkürlich und individuell für jedes Paket). Der Algorithmus lautet hier wie folgt: Jeder Knoten empfängt den geheimen Wert eines Punktes auf der POLY-1-Kurve. Danach erzeugt der Knoten einen Punkt auf der POLY-2-Kurve, wenn ein Paket durch ihn hindurchgeht. Als nächstes addiert jeder der Knoten den Wert eines Punktes auf der POLY-1-Kurve zu einem Punkt auf POLY-2, um einen Punkt auf POLY-3 zu erhalten und ihn zusammen mit dem Paket an den Verifizierungsknoten zu übertragen. Am Ende des Pfades erstellt der Prüfer die POLY-3-Kurve auf der Grundlage der empfangenen Daten und überprüft die Übereinstimmung von POLY-3 = POLY-1 + POLY-2 (in diesem Fall kennt nur der Prüfer die Parameter des POLY-1-Polynoms).
/ Flickr / Kultur Vannin / ccKritik an PoT
In den Kommentaren zu The Register stellt das Publikum der Website
eine Reihe von Mängeln des vorgeschlagenen Ansatzes fest. Jemand befürchtet beispielsweise, dass die Umsetzung der Idee dazu führen wird, dass das "Gewicht" des UDP-Pakets erheblich zunimmt und PoT nicht mit IPSec auskommt. Darüber hinaus ist nicht klar, wie PoT im Falle eines Ausfalls auf einem der angegebenen Knoten funktioniert. Es stellt sich heraus, dass PoT-Daten alternative Routen legen müssen. Was in solchen Fällen zu tun ist, wurde der IETF noch nicht erklärt.
Zukünftiges Dokument
Es sei darauf hingewiesen, dass sich der Entwurf der Initiative im Stadium der Diskussion und Verfeinerung befindet und bislang nichts vorgibt. Innerhalb von sechs Monaten (bis zum 2. Dezember 2018) kann die IETF sie ändern, ersetzen oder als veraltet anerkennen.
Worüber Sie im Unternehmensblog auf der VAS Experts-Website lesen können: