IETF (Internet Engineering Task Force)
mengusulkan untuk mengimplementasikan Proof of Transit (PoT) - "travel log" untuk paket jaringan. Baca lebih lanjut tentang inisiatif dan prinsip-prinsip PoT - di bawah potongan.
/ Flickr / JonoTakesFoto / CCMengapa Anda membutuhkan Bukti Transit
Menurut pakar Cisco, virtualisasi Comcast dan JP Morgan Chase tidak sepenuhnya memastikan bahwa paket jaringan belum diganti atau dimodifikasi. Kebutuhan seperti itu dapat dibenarkan, misalnya, oleh kebijakan internal organisasi atau oleh persyaratan regulator.
Sekarang masalah ini dapat diselesaikan secara tidak langsung, tetapi menurut penulis inisiatif, evolusi jaringan dan munculnya teknologi seperti
NFV ,
LISP dan
NSH secara signifikan mempersulit proses ini. Oleh karena itu, pendekatan baru diusulkan yang disebut Bukti Transit. Diasumsikan bahwa hal itu memungkinkan Anda untuk melakukan sesuatu seperti sejarah atau jurnal dari perjalanan paket di sepanjang rute yang diberikan.
Bagaimana cara kerja pendekatan yang diusulkan?
Solusi yang
disajikan dalam dokumen ini didasarkan pada menambahkan sejumlah kecil data ke setiap paket. Data ini digunakan untuk mengkompilasi riwayat dan memverifikasi kebenaran jalur. Parameter dari node wajib dijelaskan menggunakan kunci rahasia atau
skema berbagi rahasia .
Setiap node menggunakan kunci sendiri atau berbagi rahasia untuk memperbarui data paket PoT. Saat verifikasi menerima paket, itu memverifikasi keaslian jalur.
/ Flickr / Ryan H. / CCUntuk memastikan keamanan dari pendekatan ini, para ahli mengusulkan menggunakan
skema berbagi rahasia Shamir pada tahap menghasilkan data PoT. Dengan kata sederhana, prinsip operasi metode perlindungan ini adalah untuk memisahkan langkah demi langkah dari rahasia menjadi "koordinat" titik (node) bersyarat, di mana terdapat interpolasi berikutnya dari kurva yang diberikan (jalur paket) - perhitungan polinomial interpolasi Lagrange.
Node menggunakan bagian rahasia mereka untuk memperbarui data POT dari setiap paket, dan verifikasi kebenaran data POT dilakukan dengan membuat kurva. Jika ada poin yang hilang atau diganti, tidak mungkin untuk membuat polinomial. Ini berarti bahwa paket tersebut tidak melewati jalur yang ditentukan.
Untuk meningkatkan keamanan, penulis mengusulkan menggunakan 2 polinomial: POLY-1 (rahasia dan permanen) dan POLY-2 (publik, sewenang-wenang dan individu untuk setiap paket). Algoritma di sini adalah sebagai berikut: setiap node menerima nilai rahasia suatu titik pada kurva POLY-1. Setelah itu, node menghasilkan titik pada kurva POLY-2, setiap kali paket melewatinya. Selanjutnya, masing-masing node menambahkan nilai titik pada kurva POLY-1 ke titik pada POLY-2 untuk mendapatkan titik pada POLY-3 dan mentransfernya ke simpul verifikasi bersama dengan paket. Di akhir lintasan, verifier membangun kurva POLY-3 berdasarkan data yang diterima dan memeriksa kepatuhan POLY-3 = POLY-1 + POLY-2 (dalam kasus ini hanya verifier yang mengetahui parameter polinomial POLY-1).
/ Flickr / culture vannin / ccKritik terhadap PoT
Dalam komentar pada The Register, audiens situs
mencatat sejumlah ketidaksempurnaan dari pendekatan yang diusulkan. Seseorang, misalnya, takut implementasi ide tersebut akan mengarah pada fakta bahwa "berat" paket UDP akan meningkat secara signifikan, dan PoT tidak akan dapat bergaul dengan IPSec. Selain itu, tidak jelas bagaimana PoT akan bekerja jika terjadi kegagalan pada salah satu node yang diberikan. Ternyata data PoT perlu menetapkan rute alternatif. Apa yang harus dilakukan dalam kasus-kasus seperti itu, IETF belum dijelaskan.
Dokumen masa depan
Perlu dicatat bahwa versi konsep inisiatif ini pada tahap diskusi dan penyempurnaan dan sejauh ini tidak berpura-pura menjadi apa pun. Dalam waktu enam bulan (hingga 2 Desember 2018), IETF dapat mengubah, mengganti atau mengenalinya sebagai usang.
Apa yang dapat Anda baca di blog perusahaan di situs web VAS Experts: