L'IETF (Internet Engineering Task Force)
propose de mettre
en œuvre la preuve de transit (PoT) - un «journal de voyage» pour les paquets réseau. En savoir plus sur l'initiative et les principes du PoT - sous la coupe.
/ Flickr / JonoTakesPhotos / CCPourquoi aviez-vous besoin d'une preuve de transit
Selon les experts Cisco, la virtualisation Comcast et JP Morgan Chase ne garantit pas entièrement que les paquets réseau n'ont pas été remplacés ou modifiés. Un tel besoin peut être justifié, par exemple, par les politiques internes de l'organisation ou par les exigences du régulateur.
Or, ce problème peut être résolu indirectement, mais selon
les auteurs de l'initiative, l'évolution des réseaux et l'émergence de technologies telles que
NFV ,
LISP et
NSH compliquent considérablement ce processus. Par conséquent, une nouvelle approche a été proposée appelée Preuve de transit. On suppose qu'il vous permet de mener quelque chose comme une histoire ou un journal du passage d'un paquet le long d'une route donnée.
Comment fonctionne l'approche proposée?
La solution
présentée dans le document est basée sur l'ajout d'une petite quantité de données à chaque package. Ces données sont utilisées pour compiler l'historique et vérifier l'exactitude du chemin. Les paramètres des nœuds obligatoires sont décrits à l'aide de clés secrètes ou d'
un schéma de partage secret .
Chaque nœud utilise sa propre clé ou part de secret pour mettre à jour les données des paquets PoT. Lorsque le vérificateur reçoit le paquet, il vérifie l'authenticité du chemin.
/ Flickr / Ryan H. / CCPour garantir la sécurité de cette approche, les experts proposent d'utiliser
un schéma de partage secret Shamir au stade de la génération de données PoT. En termes simples, le principe de fonctionnement de cette méthode de protection est de séparer étape par étape le secret en "coordonnées" conditionnelles de points (nœuds), le long desquelles il y a une interpolation ultérieure d'une courbe donnée (chemin de paquet) - calcul du polynôme d'interpolation de Lagrange.
Les nœuds utilisent leur part de secret pour mettre à jour les données POT de chaque paquet, et la vérification de l'exactitude des données POT se fait en construisant une courbe. Si l'un des points est manquant ou substitué, il sera impossible de construire un polynôme. Cela signifie que le paquet n'a pas passé le chemin spécifié.
Pour améliorer la sécurité, les auteurs proposent d'utiliser 2 polynômes: POLY-1 (secret et permanent) et POLY-2 (public, arbitraire et individuel pour chaque package). L'algorithme est le suivant: chaque nœud reçoit la valeur secrète d'un point sur la courbe POLY-1. Après cela, le nœud génère un point sur la courbe POLY-2, chaque fois qu'un paquet la traverse. Ensuite, chacun des nœuds ajoute la valeur d'un point sur la courbe POLY-1 à un point sur POLY-2 pour obtenir un point sur POLY-3 et le transférer au nœud de vérification avec le paquet. À la fin du chemin, le vérificateur construit la courbe POLY-3 sur la base des données reçues et vérifie la conformité de POLY-3 = POLY-1 + POLY-2 (dans ce cas, seul le vérificateur connaît les paramètres du polynôme POLY-1).
/ Flickr / culture vannin / ccCritique du PoT
Dans les commentaires sur The Register, l'audience du site
note un certain nombre d'imperfections de l'approche proposée. Quelqu'un, par exemple, a peur que la mise en œuvre de l'idée conduise au fait que le "poids" du paquet UDP augmentera de manière significative, et PoT ne pourra pas s'entendre avec IPSec. De plus, il n'est pas clair comment le PoT fonctionnera en cas de défaillance sur l'un des nœuds donnés. Il s'avère que les données PoT devront établir des itinéraires alternatifs. Que faire dans de tels cas, l'IETF n'a pas encore été expliqué.
Document futur
Il convient de noter que le projet de version de l'initiative est au stade de la discussion et de l'amélioration et, jusqu'à présent, ne prétend être rien. Dans un délai de six mois (jusqu'au 2 décembre 2018), l'IETF peut le modifier, le remplacer ou le reconnaître comme obsolète.
Ce que vous pouvez lire sur le blog d'entreprise sur le site Web de VAS Experts: