ProHoster > Blag > Riarachán > Conas Feistí Criptithe Ethernet a Mheastóireacht agus a Chur i gCompar

Conas Feistí Criptithe Ethernet a Mheastóireacht agus a Chur i gCompar

Scríobh mé an t-athbhreithniú seo (nó, más fearr leat, treoir chomparáide) nuair a cuireadh de chúram orm roinnt feistí ó dhíoltóirí éagsúla a chur i gcomparáid. Ina theannta sin, bhain na feistí seo le haicmí éagsúla. Bhí orm ailtireacht agus tréithe na bhfeistí seo go léir a thuiscint agus “córas comhordanáidí” a chruthú chun comparáid a dhéanamh. Beidh áthas orm má chabhraíonn mo léirmheas le duine:

  • Cur síos agus sonraíochtaí feistí criptithe a thuiscint
  • Déan idirdhealú idir tréithe “páipéir” agus iad siúd atá fíorthábhachtach sa saol fíor
  • Téigh níos faide ná an gnáthshraith díoltóirí agus cuir san áireamh aon táirgí atá oiriúnach chun an fhadhb a réiteach
  • Cuir na ceisteanna cearta le linn caibidlíochta
  • Ceanglais tairisceana a tharraingt suas (RFP)
  • A thuiscint cad iad na tréithe a chaithfear a íobairt má roghnaítear samhail feiste áirithe

Cad is féidir a mheasúnú

I bprionsabal, tá an cur chuige infheidhme maidir le haon fheistí neamhspleácha atá oiriúnach chun trácht líonra a chriptiú idir deighleoga iargúlta Ethernet (criptiú tras-láithreáin). Is é sin, “boscaí” i gcás ar leith (ceart go leor, cuirfimid lanna/modúil don chassis san áireamh anseo freisin), atá ceangailte trí chalafoirt Ethernet amháin nó níos mó le líonra Ethernet áitiúil (campas) le trácht neamhchriptithe, agus trí calafort(anna) eile a sheoltar chuig cainéal/líonra trína ndéantar trácht criptithe cheana féin a tharchur chuig deighleoga iargúlta eile. Is féidir réiteach criptithe den sórt sin a imscaradh i líonra príobháideach nó líonra oibreora trí chineálacha éagsúla “iompair” (snáithín dorcha, trealamh roinnte minicíochta, Ethernet lasctha, chomh maith le “pseudowires” a leagtar trí líonra a bhfuil ailtireacht ródaithe éagsúil aige, MPLS go minic. ), le nó gan teicneolaíocht VPN.

Conas Feistí Criptithe Ethernet a Mheastóireacht agus a Chur i gCompar
Criptiú líonra i líonra Ethernet dáilte

Is féidir leis na feistí iad féin a bheith ceachtar speisialaithe (atá beartaithe go heisiach le haghaidh criptithe), nó ilfheidhmeach (hibrideach, coinbhéirseach), is é sin, feidhmeanna eile a chomhlíonadh freisin (mar shampla, balla dóiteáin nó ródaire). Rangaíonn díoltóirí éagsúla a gcuid gléasanna i ranganna/chatagóirí éagsúla, ach ní hionann sin is a rá - is é an t-aon rud atá tábhachtach ná an féidir leo trácht tras-láithreáin a chriptiú, agus cad iad na tréithe atá acu.

Ar eagla na heagla, meabhraím duit gur téarmaí neamhfhoirmiúla iad “criptiú líonra”, “criptiú tráchta”, “criptitheoir”, cé gur minic a úsáidtear iad. Is dócha nach bhfaighidh tú iad i rialacháin na Rúise (lena n-áirítear iad siúd a thugann GOSTs isteach).

Leibhéil criptithe agus modhanna tarchurtha

Sula dtosaímid ag cur síos ar na saintréithe iad féin a úsáidfear le haghaidh meastóireachta, beidh orainn ar dtús rud amháin tábhachtach a thuiscint, is é sin an "leibhéal criptithe." Thug mé faoi deara go luaitear go minic é i ndoiciméid oifigiúla an díoltóra (i gcur síos, lámhleabhair, etc.) agus i ndíospóireachtaí neamhfhoirmiúla (ag idirbheartaíochtaí, oiliúint). Is é sin, is cosúil go bhfuil a fhios ag gach duine go han-mhaith cad atá á labhairt againn, ach chonaic mé go pearsanta roinnt mearbhaill.

Mar sin cad is “leibhéal criptithe” ann? Is léir go bhfuilimid ag caint faoi líon na sraithe samhail líonra tagartha OSI/ISO ag a dtarlaíonn criptiú. Léimid GOST R ISO 7498-2-99 “Teicneolaíocht faisnéise. Córais oscailte a idirnascadh. Múnla tagartha bunúsach. Cuid 2. Ailtireacht slándála faisnéise.” Ón doiciméad seo is féidir a thuiscint gurb é leibhéal na seirbhíse rúndachta (ceann de na meicníochtaí chun criptiú a sholáthar) ná leibhéal an phrótacail, a bhfuil bloc sonraí na seirbhíse ("ualach pála", sonraí úsáideora) criptithe. Mar atá sé scríofa sa chaighdeán freisin, is féidir an tseirbhís a chur ar fáil ag an leibhéal céanna, “ar a chuid féin,” agus le cabhair ó leibhéal níos ísle (mar seo, mar shampla, is minic a chuirtear i bhfeidhm í i MACsec). .

Go praiticiúil, is féidir dhá mhodh chun faisnéis criptithe a tharchur thar líonra (tagann IPsec chun cuimhne láithreach, ach faightear na modhanna céanna i bprótacail eile freisin). IN iompar (tugtar dúchais uaireanta freisin) mód criptithe amháin seirbhís bloc sonraí, agus fanann na ceanntásca “oscailte”, gan chriptiú (uaireanta cuirtear réimsí breise le faisnéis seirbhíse an algartam criptithe leis, agus déantar réimsí eile a mhodhnú agus a athríomh). IN tollán modh céanna ar fad prótacal tá an bloc sonraí (is é sin, an paicéad féin) criptithe agus cuimsithe i mbloc sonraí seirbhíse den leibhéal céanna nó níos airde, is é sin, tá sé timpeallaithe ag ceanntásca nua.

Níl an leibhéal criptithe féin i gcomhcheangal le modh tarchurtha éigin maith ná olc, mar sin ní féidir a rá, mar shampla, go bhfuil L3 i modh iompair níos fearr ná L2 i mód tolláin. Níl ann ach go mbraitheann go leor de na tréithe trína ndéantar feistí a mheas orthu. Mar shampla, solúbthacht agus comhoiriúnacht. Chun oibriú i líonra L1 (seoladh srutha giotán), L2 (athrú fráma) agus L3 (ródú paicéad) i mód iompair, ní mór duit réitigh a chriptiú ag an leibhéal céanna nó níos airde (ar shlí eile beidh an fhaisnéis seolta criptithe agus beidh na sonraí nach sroicheann sé an ceann scríbe atá beartaithe aige), agus sáraíonn modh an tolláin an teorannú seo (cé go n-íobairtíonn sé tréithe tábhachtacha eile).

Conas Feistí Criptithe Ethernet a Mheastóireacht agus a Chur i gCompar
Modhanna criptithe L2 iompair agus tolláin

Anois, a ligean ar bogadh ar aghaidh go dtí anailís a dhéanamh ar na saintréithe.

Táirgiúlacht

Maidir le criptiú líonra, is coincheap casta, iltoiseach é an fheidhmíocht. Tarlaíonn sé go bhfuil múnla áirithe, cé go bhfuil sé níos fearr i tréith feidhmíochta amháin, níos lú ná i gceann eile. Dá bhrí sin, tá sé úsáideach i gcónaí na comhpháirteanna uile a bhaineann le feidhmíocht criptithe a mheas agus a dtionchar ar fheidhmíocht an líonra agus na hiarratais a úsáideann é. Anseo is féidir linn analaí a tharraingt le carr, a bhfuil ní hamháin luas uasta tábhachtach, ach freisin am luasghéaraithe go dtí na "céadta", ídiú breosla, agus mar sin de. Tugann cuideachtaí díoltóra agus a gcuid custaiméirí féideartha aird mhór ar shaintréithe feidhmíochta. De ghnáth, déantar feistí criptithe a rangú bunaithe ar fheidhmíocht i línte díoltóirí.

Is léir go mbraitheann an fheidhmíocht ar chastacht na n-oibríochtaí líonraithe agus cripteagrafacha a dhéantar ar an bhfeiste (lena n-áirítear cé chomh maith agus is féidir na tascanna seo a chomhthreomharú agus a phíblíne), chomh maith le feidhmíocht na crua-earraí agus cáilíocht an fhirmware. Mar sin, úsáideann samhlacha níos sine crua-earraí níos táirgiúla; uaireanta is féidir é a threalmhú le próiseálaithe breise agus modúil chuimhne. Tá go leor cineálacha cur chuige ann maidir le feidhmeanna cripteagrafacha a chur i bhfeidhm: ar láraonad próiseála lárnach (LAP), ar chiorcad iomlánaithe a bhaineann go sonrach le feidhmchlár (ASIC), nó ar chiorcad iomlánaithe loighce in-ríomhchláraithe (FPGA). Tá buntáistí agus míbhuntáistí ag gach cur chuige. Mar shampla, is féidir leis an LAP a bheith ina scrogall criptithe, go háirithe mura bhfuil treoracha speisialaithe ag an bpróiseálaí chun tacú leis an algartam criptithe (nó mura n-úsáidtear iad). Tá easpa solúbthachta ag sceallóga speisialaithe; ní féidir i gcónaí iad a "athbhreoslú" chun feidhmíocht a fheabhsú, feidhmeanna nua a chur leis, nó deireadh a chur le leochaileachtaí. Ina theannta sin, ní thiocfaidh a n-úsáid brabúsach ach amháin le méideanna móra táirgeachta. Sin é an fáth go bhfuil an oiread sin tóir ar an “meán órga” - úsáid FPGA (FPGA i Rúisis). Is ar FPGAanna a dhéantar na luasairí crypto mar a thugtar orthu - modúil crua-earraí speisialaithe ionsuite nó breiseán chun tacú le hoibríochtaí cripteagrafacha.

Ós rud é go bhfuil muid ag caint faoi líonra criptithe, tá sé loighciúil go ndéanfaí feidhmíocht réitigh a thomhas sna méideanna céanna le feistí líonra eile - tréchur, céatadán caillteanais fráma agus latency. Sainmhínítear na luachanna seo i RFC 1242. Dála an scéil, níl aon rud scríofa faoin éagsúlacht mhoillithe a luaitear go minic (giodam) sa RFC seo. Conas na cainníochtaí seo a thomhas? Níor aimsigh mé modheolaíocht atá ceadaithe in aon chaighdeáin (oifigiúil nó neamhoifigiúil mar RFC) go sonrach le haghaidh criptithe líonra. Bheadh ​​sé loighciúil an mhodheolaíocht a úsáid le haghaidh feistí líonra atá cumhdaithe i gcaighdeán RFC 2544. Leanann go leor díoltóirí é - go leor, ach ní léir. Mar shampla, ní sheolann siad trácht tástála ach i dtreo amháin in ionad an dá cheann, mar molta caighdeánach. Ar aon nós.

Tá a saintréithe féin fós ag tomhas feidhmíochta feistí criptithe líonra. Ar an gcéad dul síos, tá sé ceart gach tomhas a dhéanamh le haghaidh péire feistí: cé go bhfuil na halgartaim criptithe siméadrach, ní gá go mbeadh moilleanna agus caillteanais paicéid le linn criptithe agus díchriptithe comhionann. Ar an dara dul síos, déanann sé ciall an delta a thomhas, tionchar criptithe líonra ar fheidhmíocht líonra deiridh, ag comparáid idir dhá chumraíocht: gan feistí criptithe agus leo. Nó, mar atá an cás le feistí hibrideacha, a chomhcheanglaíonn roinnt feidhmeanna chomh maith le criptiú líonra, le criptiú múchta agus ar siúl. Is féidir leis an tionchar seo a bheith difriúil agus braitheann sé ar scéim nasc na bhfeistí criptithe, ar na modhanna oibriúcháin, agus ar deireadh, ar nádúr an tráchta. Go háirithe, braitheann go leor paraiméadair feidhmíochta ar fhad na bpaicéad, agus is é sin an fáth, chun feidhmíocht réitigh éagsúla a chur i gcomparáid, is minic a úsáidtear graif de na paraiméadair seo ag brath ar fhad na bpacáistí, nó úsáidtear IMIX - dáileadh tráchta de réir paicéid. faid, a léiríonn go garbh an ceann fíor. Má dhéanaimid comparáid idir an bhunchumraíocht chéanna gan criptiú, is féidir linn réitigh criptithe líonra a chuirtear i bhfeidhm go héagsúil a chur i gcomparáid gan dul isteach sna difríochtaí seo: L2 le L3, stóráil agus ar aghaidh ) le gearrtha tríd, speisialaithe le coinbhéirseach, GOST le AES agus mar sin de.

Conas Feistí Criptithe Ethernet a Mheastóireacht agus a Chur i gCompar
Léaráid naisc le haghaidh tástála feidhmíochta

Is é an chéad tréith a dtugann daoine aird air ná “luas” an fheiste criptithe, is é sin bandaleithead (bandaleithead) a chomhéadain líonra, ráta sreafa giotán. Tá sé arna chinneadh ag na caighdeáin líonra a fhaigheann tacaíocht ó na comhéadain. I gcás Ethernet, is iad na huimhreacha is gnách ná 1 Gbps agus 10 Gbps. Ach, mar is eol dúinn, in aon líonra an t-uasmhéid teoiriciúil tréchur (tréchur) ag gach ceann dá leibhéil bíonn níos lú bandaleithead i gcónaí: déantar cuid den bhandaleithead a “ith suas” ag eatraimh idirfhráma, ceanntásca seirbhíse, agus mar sin de. Má tá gléas in ann trácht a fháil, a phróiseáil (inár gcás, a chriptiú nó a dhíchriptiú) agus a tharchur ag luas iomlán an chomhéadain líonra, is é sin, leis an tréchur teoiriciúil uasta don leibhéal seo den tsamhail líonra, ansin deirtear a bheith ag obair ag luas líne. Chun seo a dhéanamh, is gá nach gcaillfidh nó nach gcaitheann an gléas paicéid ar aon mhéid agus ar aon mhinicíocht. Mura dtacaíonn an gléas criptithe le hoibriú ag luas líne, ansin sonraítear a tréchur uasta de ghnáth sna gigabits céanna in aghaidh an tsoicind (uaireanta ag léiriú fad na bpacáistí - dá giorra na paicéid, is ísle an tréchur de ghnáth). Tá sé an-tábhachtach a thuiscint gurb é an tréchur uasta an t-uasmhéid aon chailleadh (fiú más féidir leis an ngléas trácht a “phumpáil” tríd féin ar luas níos airde, ach ag an am céanna roinnt paicéid a chailliúint). Chomh maith leis sin, bí ar an eolas go dtomhaiseann roinnt díoltóirí an tréchur iomlán idir na péirí calafoirt go léir, mar sin ní chiallaíonn na huimhreacha seo mórán má tá an trácht criptithe go léir ag dul trí chalafort amháin.

Cá bhfuil sé thar a bheith tábhachtach oibriú ar luas líne (nó, i bhfocail eile, gan chailliúint paicéad)? I naisc ard-bandaleithead, ard-latency (cosúil le satailíte), áit a gcaithfear méid mór fuinneoige TCP a shocrú chun luasanna tarchurtha arda a choinneáil, agus i gcás ina laghdaítear feidhmíocht líonra go mór le cailliúint paicéid.

Ach ní úsáidtear an bandaleithead go léir chun sonraí úsáideacha a aistriú. Ní mór dúinn áireamh leis an mar a thugtar air forchostais (overhead) bandaleithead. Is é seo an chuid de thréchur an fheiste criptithe (mar chéatadán nó beart in aghaidh an phaicéid) a chuirtear amú i ndáiríre (ní féidir é a úsáid chun sonraí feidhmchláir a aistriú). Tagann forchostais chun cinn, ar an gcéad dul síos, mar gheall ar mhéadú ar mhéid an réimse sonraí i bpacáistí líonra criptithe (ag brath ar an algartam criptithe agus a mhodh oibriúcháin). Ar an dara dul síos, mar gheall ar an méadú ar fhad na gceanntásca paicéad (modh tolláin, cur isteach seirbhíse an phrótacail criptithe, cur isteach insamhalta, etc. ag brath ar phrótacal agus modh oibríochta an mhodha cipher agus tarchurtha) - de ghnáth is iad na costais forchostais seo an is suntasaí, agus íocann siad aird ar dtús. Ar an tríú dul síos, mar gheall ar ilroinnt paicéid nuair a sháraítear uasmhéid an aonaid sonraí (MTU) (má tá an líonra in ann paicéad a sháraíonn an MTU a roinnt ina dhá cheann, ag dúbailt a cheanntásca). Ar an gceathrú dul síos, mar gheall ar chuma tráchta seirbhíse breise (rialú) ar an líonra idir feistí criptithe (le haghaidh malartú eochair, suiteáil tolláin, etc.). Tá forchostais íseal tábhachtach nuair a bhíonn teorainn le hacmhainn chainéil. Tá sé seo le feiceáil go háirithe i dtrácht ó phaicéid bheaga, mar shampla, guth – áit ar féidir le costais forchostais níos mó ná leath de luas an chainéil a “ithe suas”!

Conas Feistí Criptithe Ethernet a Mheastóireacht agus a Chur i gCompar
Bandaleithid

Ar deireadh, tá níos mó moill tugtha isteach – an difríocht (i gcodáin soicind) sa mhoill líonra (an t-am a thógann sé ar shonraí aistriú ó dhul isteach sa líonra go dtí é a fhágáil) idir tarchur sonraí gan criptiú líonra agus le criptiú líonra. Go ginearálta, dá ísle an latency (“latency”) an líonra, is ea is tábhachtaí a éiríonn an fhoighne a thugann gléasanna criptithe isteach. Tugann an oibríocht criptithe féin isteach an mhoill (ag brath ar an algartam criptithe, fad an bhloic agus modh oibríochta an tsipéir, chomh maith le cáilíocht a chur chun feidhme sna bogearraí), agus próiseáil an phacéid líonra sa fheiste. . Braitheann an fholús a thugtar isteach ar mhodh próiseála na bpaicéad (pas tríd nó stóráil agus ar aghaidh) agus ar fheidhmíocht an ardáin (go ginearálta bíonn cur i bhfeidhm crua-earraí ar FPGA nó ASIC níos tapúla ná cur i bhfeidhm bogearraí ar LAP). Bíonn latency níos ísle beagnach i gcónaí ag criptiú L2 ná criptiú L3 nó L4, toisc go mbíonn feistí criptithe L3/L4 coinbhéirsithe go minic. Mar shampla, le cripteoirí Ethernet ardluais curtha i bhfeidhm ar FPGAanna agus criptithe ar L2, tá an mhoill de bharr na hoibríochta criptithe imithe i léig - uaireanta nuair a bhíonn criptiú cumasaithe ar phéire feistí, laghdaítear an mhoill iomlán a thug siad isteach fiú! Tá an fhoighne íseal tábhachtach i gcás ina bhfuil sé inchomparáide le moilleanna foriomlána cainéil, lena n-áirítear moill ar iomadú, atá thart ar 5 μs in aghaidh an chiliméadair. Is é sin, is féidir linn a rá le haghaidh líonraí ar scála uirbeach (na mílte ciliméadar trasna), is féidir le micreasoicindí cinneadh a dhéanamh go leor. Mar shampla, le haghaidh macasamhlú bunachar sonraí sioncrónach, trádáil ard-minicíochta, an blockchain céanna.

Conas Feistí Criptithe Ethernet a Mheastóireacht agus a Chur i gCompar
Moill tugtha isteach

Scalability

Is féidir na mílte nóid agus gléasanna líonra, na céadta deighleog líonra áitiúil a áireamh i líonraí móra dáilte. Tá sé tábhachtach nach gcuireann réitigh criptithe srianta breise ar mhéid agus topology an líonra dáilte. Baineann sé seo go príomha leis an líon uasta seoltaí óstaigh agus líonra. D’fhéadfadh teorainneacha den sórt sin a bheith i gceist, mar shampla, le linn topology líonra ilphointí criptithe (le naisc shlána neamhspleácha, nó tolláin) nó criptiúchán roghnach a chur i bhfeidhm (mar shampla, de réir uimhir phrótacail nó VLAN). Más rud é sa chás seo seoltaí líonra (MAC, IP, VLAN ID) a úsáid mar eochracha i dtábla ina bhfuil líon na sraitheanna teoranta, ansin tá na srianta le feiceáil anseo.

Ina theannta sin, is minic a bhíonn roinnt sraitheanna struchtúracha ag líonraí móra, lena n-áirítear an croíghréasán, agus cuireann gach ceann acu a scéim seoltaí féin agus a beartas ródaithe féin i bhfeidhm. Chun an cur chuige seo a chur i bhfeidhm, is minic a úsáidtear formáidí fráma speisialta (cosúil le Q-in-Q nó MAC-in-MAC) agus prótacail um chinneadh bealaigh. D'fhonn gan bac a chur ar thógáil líonraí den sórt sin, caithfidh feistí criptithe frámaí den sórt sin a láimhseáil i gceart (is é sin, sa chiall seo, ciallóidh scalability comhoiriúnacht - níos mó ar sin thíos).

Solúbthacht

Anseo táimid ag caint faoi thacú le cumraíochtaí éagsúla, scéimeanna nasctha, topologies agus rudaí eile. Mar shampla, maidir le líonraí lasctha bunaithe ar theicneolaíochtaí Ethernet Iompróra, ciallaíonn sé seo tacaíocht do chineálacha éagsúla naisc fhíorúla (E-Líne, E-LAN, E-Tree), cineálacha éagsúla seirbhíse (de réir calafoirt agus VLAN araon) agus teicneolaíochtaí iompair éagsúla. (tá siad liostaithe thuas cheana féin). Is é sin le rá, ní mór don fheiste a bheith in ann oibriú i modhanna líneacha (“pointe go pointe”) agus ilphointí, tolláin ar leith a bhunú do VLANanna éagsúla, agus seachadadh paicéid lasmuigh d’ordú a cheadú laistigh de chainéal slán. Ligeann an cumas modhanna éagsúla cipher a roghnú (lena n-áirítear fíordheimhniú inneachair nó gan é) agus modhanna éagsúla tarchuir paicéad duit cothromaíocht a bhaint amach idir neart agus feidhmíocht ag brath ar na coinníollacha reatha.

Tá sé tábhachtach freisin tacú le líonraí príobháideacha, a bhfuil a dtrealamh faoi úinéireacht eagraíocht amháin (nó ar cíos di), agus líonraí oibreoirí, a bhfuil codanna éagsúla díobh á mbainistiú ag cuideachtaí éagsúla. Is maith an rud é má cheadaíonn an réiteach bainistíocht inmheánach agus tríú páirtí (ag baint úsáide as samhail seirbhíse bainistithe). I líonraí oibreoirí, is feidhm thábhachtach eile é tacaíocht a thabhairt d'ilthionóntacht (a roinnt ag custaiméirí éagsúla) i bhfoirm aonrú cripteagrafach custaiméirí aonair (síntiúsóirí) a dtéann a dtrácht tríd an sraith chéanna feistí criptithe. Éilíonn sé seo go hiondúil go n-úsáidfear tacair ar leith eochracha agus deimhnithe do gach custaiméir.

Má cheannaítear gléas le haghaidh cás ar leith, b'fhéidir nach bhfuil na gnéithe seo go léir an-tábhachtach - ní mór duit ach a chinntiú go dtacaíonn an gléas leis an méid atá uait anois. Ach má cheannaítear réiteach “le haghaidh fáis”, chun tacú le cásanna sa todhchaí freisin, agus má roghnaítear é mar “chaighdeán corparáideach”, ansin ní bheidh an tsolúbthacht iomarcach - go háirithe ag cur san áireamh na srianta ar idir-inoibritheacht feistí ó dhíoltóirí éagsúla ( tuilleadh faoi seo thíos).

Simplíocht agus áisiúlacht

Is coincheap ilfhachtóiriúil é éascaíocht seirbhíse freisin. Thart ar, is féidir linn a rá gurb é seo an t-am iomlán a chaitheann speisialtóirí de cháilíocht áirithe a theastaíonn chun tacú le réiteach ag céimeanna éagsúla dá shaolré. Mura bhfuil aon chostais ann, agus go bhfuil suiteáil, cumraíocht agus oibriú go hiomlán uathoibríoch, ansin tá na costais nialasach agus tá an áisiúlacht iomlán. Ar ndóigh, ní tharlaíonn sé seo sa saol fíor. Is samhail é comhfhogasú réasúnta "snaidhm ar shreang" (bump-in-the-wire), nó nasc trédhearcach, nuair nach gá aon athruithe láimhe nó uathoibríocha ar chumraíocht an líonra a chur leis agus gléasanna criptithe a dhíchumasú. Ag an am céanna, simplítear an réiteach a chothabháil: is féidir leat an fheidhm criptithe a chasadh air/amach go sábháilte, agus más gá, an gléas a sheachbhóthar le cábla líonra (is é sin, na calafoirt sin den trealamh líonra a nascadh go díreach lena mbaineann bhí sé ceangailte). Fíor, tá míbhuntáiste amháin ann - is féidir le hionsaitheoir an rud céanna a dhéanamh. Chun an prionsabal "nód ar shreang" a chur i bhfeidhm, ní mór trácht amháin a chur san áireamh ciseal sonraíAch sraitheanna rialaithe agus bainistíochta – caithfidh feistí a bheith trédhearcach dóibh. Mar sin, ní féidir trácht den sórt sin a chriptiú ach amháin nuair nach bhfuil aon fhaighteoirí den chineál seo tráchta sa líonra idir na feistí criptithe, ós rud é má dhéantar é a chaitheamh i leataobh nó a chriptiú, ansin nuair a chumasaíonn nó má dhíchumasaíonn tú criptiú, féadfaidh an chumraíocht líonra athrú. Is féidir leis an bhfeiste criptithe a bheith trédhearcach freisin maidir le comharthaíocht ciseal fisiceach. Go háirithe, nuair a chailltear comhartha, caithfidh sé an caillteanas seo a tharchur (is é sin, a tharchuradóirí a mhúchadh) ar ais agus amach ("do féin") i dtreo an chomhartha.

Tá sé tábhachtach freisin tacaíocht a thabhairt maidir le roinnt údaráis idir na ranna slándála faisnéise agus TF, go háirithe an roinn líonra. Caithfidh an réiteach criptithe tacú le samhail rialaithe rochtana agus iniúchta na heagraíochta. Ba cheart an gá atá le hidirghníomhaíocht idir ranna éagsúla chun gnáthoibríochtaí a dhéanamh a íoslaghdú. Dá bhrí sin, tá buntáiste ann maidir le háisiúlacht le haghaidh feistí speisialaithe a thacaíonn go heisiach le feidhmeanna criptithe agus atá chomh trédhearcach agus is féidir d'oibríochtaí líonra. Go simplí, níor cheart go mbeadh aon chúis ag fostaithe slándála faisnéise dul i dteagmháil le “speisialtóirí líonra” chun socruithe líonra a athrú. Agus níor cheart go mbeadh gá leo siúd, ar a seal, socruithe criptithe a athrú agus an líonra á chothabháil.

Fachtóir eile is ea cumais agus áisiúlacht na rialuithe. Ba chóir go mbeadh siad amhairc, loighciúil, soláthraíonn siad allmhairiú-onnmhairiú suímh, uathoibriú, agus mar sin de. Ba cheart duit aird a thabhairt láithreach ar na roghanna bainistíochta atá ar fáil (a dtimpeallacht bhainistíochta féin, comhéadan gréasáin agus líne ordaithe de ghnáth) agus cén sraith feidhmeanna atá ag gach ceann acu (tá teorainneacha ann). Feidhm thábhachtach is ea tacaíocht as-bhanna rialú (lasmuigh den bhanna), is é sin, trí líonra rialaithe tiomnaithe, agus in-bhanna rialú (i mbanda), is é sin, trí líonra coiteann trína ndéantar trácht úsáideach a tharchur. Caithfidh uirlisí bainistíochta gach cás neamhghnácha a chur in iúl, lena n-áirítear teagmhais slándála faisnéise. Ba cheart gnáthoibríochtaí, athchleachtacha a dhéanamh go huathoibríoch. Baineann sé seo go príomha le príomhbhainistíocht. Ba cheart iad a ghiniúint/a dháileadh go huathoibríoch. Is buntáiste mór é tacaíocht PKI.

Comhoiriúnacht

Is é sin, comhoiriúnacht an fheiste le caighdeáin líonra. Thairis sin, ciallaíonn sé seo ní hamháin caighdeáin thionsclaíocha arna nglacadh ag eagraíochtaí údarásacha amhail IEEE, ach freisin prótacail dílseánaigh ceannairí tionscail, mar Cisco. Tá dhá phríomhbhealach ann chun comhoiriúnacht a chinntiú: trí trédhearcacht, nó tríd tacaíocht follasach prótacail (nuair a thagann gléas criptithe chun bheith ar cheann de na nóid líonra do phrótacal áirithe agus a phróiseálann trácht rialaithe an phrótacail seo). Braitheann comhoiriúnacht le líonraí ar iomláine agus cirte cur i bhfeidhm na bprótacal rialaithe. Tá sé tábhachtach tacú le roghanna éagsúla don leibhéal PHY (luas, meán tarchurtha, scéim ionchódaithe), frámaí Ethernet de bhformáidí éagsúla le haon MTU, prótacail seirbhíse L3 éagsúla (an teaghlach TCP/IP go príomha).

Cinntítear trédhearcacht trí mheicníochtaí sóchán (ag athrú go sealadach inneachar na gceanntásca oscailte sa trácht idir cripteoirí), scipeáil (nuair a fhanann paicéid aonair gan chriptiú) agus eangú thús an chriptithe (nuair nach mbíonn réimsí criptithe paicéid de ghnáth criptithe).

Conas Feistí Criptithe Ethernet a Mheastóireacht agus a Chur i gCompar
Conas a chinntítear trédhearcacht

Mar sin, seiceáil i gcónaí go beacht conas a chuirtear tacaíocht ar fáil do phrótacal ar leith. Go minic tá tacaíocht i mód trédhearcach níos áisiúla agus iontaofa.

Idir-inoibritheacht

Is comhoiriúnacht é seo freisin, ach ar chiall dhifriúil, is é sin an cumas oibriú le chéile le samhlacha eile feistí criptithe, lena n-áirítear iad siúd ó mhonaróirí eile. Braitheann go leor ar staid chaighdeánaithe na bprótacal criptithe. Níl ann ach aon chaighdeáin criptithe a nglactar leo go ginearálta ar L1.

Tá caighdeán 2ae (MACsec) ann le haghaidh criptithe L802.1 ar líonraí Ethernet, ach ní úsáideann sé deireadh go deireadh (deireadh go deireadh), agus interport, criptiú “hop-by-hop”, agus ina leagan bunaidh mí-oiriúnach le húsáid i líonraí dáilte, mar sin tá an chuma ar a síntí dílseánaigh a sháraíonn an teorannú seo (ar ndóigh, mar gheall ar idir-inoibritheacht le trealamh ó mhonaróirí eile). Fíor, i 2018, cuireadh tacaíocht do líonraí dáilte leis an gcaighdeán 802.1ae, ach níl aon tacaíocht ann fós do thacair algartam criptithe GOST. Mar sin, déantar idirdhealú a dhéanamh ar phrótacail criptithe L2 dílseánaigh, neamhchaighdeánacha, mar riail, trí éifeachtúlacht níos mó (go háirithe, bandaleithead níos ísle lastuas) agus solúbthacht (an cumas halgartaim agus modhanna criptithe a athrú).

Ag leibhéil níos airde (L3 agus L4) tá caighdeáin aitheanta, IPsec agus TLS go príomha, ach anseo freisin níl sé chomh simplí. Is é fírinne an scéil gur sraith prótacal atá i ngach ceann de na caighdeáin seo, gach ceann acu le leaganacha agus síntí éagsúla ag teastáil nó roghnach le cur i bhfeidhm. Ina theannta sin, is fearr le roinnt déantúsóirí a gcuid prótacail criptithe dílseánaigh a úsáid ar L3/L4. Dá bhrí sin, i bhformhór na gcásanna níor cheart duit brath ar idir-inoibritheacht iomlán, ach tá sé tábhachtach go n-áiritheofar ar a laghad idirghníomhaíocht idir samhlacha éagsúla agus glúnta éagsúla an mhonaróra céanna.

Iontaofacht

Chun réitigh éagsúla a chur i gcomparáid, is féidir leat meán-am idir teipeanna nó fachtóir infhaighteachta a úsáid. Mura bhfuil na huimhreacha seo ar fáil (nó mura bhfuil muinín ar bith iontu), is féidir comparáid cháilíochtúil a dhéanamh. Beidh buntáiste ag feistí a bhfuil bainistíocht áisiúil orthu (níos lú riosca earráidí cumraíochta), cripteoirí speisialaithe (ar an gcúis chéanna), chomh maith le réitigh a mbeidh mórán ama acu chun teip a bhrath agus a dhíchur, lena n-áirítear modhanna cúltaca “te” de na nóid iomlána agus gléasanna.

Costas

Nuair a thagann sé le costas, mar atá le formhór na réitigh TF, tá ciall leis costas iomlán na húinéireachta a chur i gcomparáid. Chun é a ríomh, ní gá duit an roth a athchruthú, ach úsáid a bhaint as aon mhodheolaíocht oiriúnach (mar shampla, ó Gartner) agus aon áireamhán (mar shampla, an ceann a úsáidtear cheana féin san eagraíocht chun TCO a ríomh). Is léir gur le haghaidh réiteach criptithe líonra, is éard atá i gcostas iomlán na húinéireachta dhíreach costais a bhaineann leis an réiteach féin a cheannach nó a fháil ar cíos, bonneagar le haghaidh óstáil trealaimh agus costais imscartha, riaracháin agus cothabhála (cibé acu intí nó i bhfoirm seirbhísí tríú páirtí), chomh maith le indíreach costais ó aga neamhfhónaimh réitigh (de bharr táirgiúlacht an úsáideora deiridh a bheith caillte). Is dócha nach bhfuil ach subtlety amháin ann. Is féidir tionchar feidhmíochta an réitigh a mheas ar bhealaí éagsúla: mar chostais indíreacha de bharr táirgiúlacht caillte, nó mar chostais dhíreacha “fhíorúla” a bhaineann le ceannach/uasghrádú agus cothabháil uirlisí líonra a dhéanann cúiteamh as caillteanas feidhmíochta líonra de bharr úsáid a bhaint as. criptithe. In aon chás, is fearr caiteachais atá deacair a ríomh le cruinneas leordhóthanach a fhágáil as an ríomh: ar an mbealach seo beidh níos mó muiníne sa luach deiridh. Agus, mar is gnách, ar aon nós, tá ciall le feistí éagsúla a chur i gcomparáid le TCO le haghaidh cás sonrach a n-úsáide - fíor nó tipiciúil.

Marthanacht

Agus is é an tréith dheireanach ná marthanacht an réitigh. I bhformhór na gcásanna, ní féidir marthanacht a mheasúnú ach go cáilíochtúil trí réitigh éagsúla a chur i gcomparáid. Ní mór dúinn cuimhneamh go bhfuil feistí criptithe ní hamháin modhanna, ach freisin ábhar cosanta. Féadfaidh siad a bheith faoi lé bagairtí éagsúla. Ar thús cadhnaíochta tá bagairtí sáraithe rúndachta, atáirgeadh agus modhnú teachtaireachtaí. Is féidir na bagairtí seo a bhaint amach trí leochaileachtaí an tsiféir nó a mhodhanna aonair, trí leochaileachtaí i bprótacail criptithe (lena n-áirítear ag na céimeanna a bhaineann le nasc a bhunú agus eochracha giniúna/dáilte). Beidh an buntáiste ann do réitigh a cheadaíonn an t-algartam criptithe a athrú nó an modh cipher a athrú (ar a laghad trí nuashonrú firmware), réitigh a sholáthraíonn an criptiú is iomláine, i bhfolach ón ionsaitheoir ní hamháin sonraí úsáideora, ach freisin seoladh agus faisnéis seirbhíse eile. , chomh maith le réitigh theicniúla a dhéanann ní hamháin criptiú, ach freisin teachtaireachtaí a chosaint ó atáirgeadh agus modhnú. I gcás gach halgartaim criptithe nua-aimseartha, sínithe leictreonacha, giniúint eochair, etc., atá cumhdaithe i gcaighdeáin, is féidir glacadh leis go bhfuil an neart mar an gcéanna (ar shlí eile is féidir leat a bheith caillte i bhfiántas na cripteagrafaíochta). Ar cheart gur halgartaim GOST iad seo de riachtanas? Tá gach rud simplí anseo: má éilíonn cás an iarratais deimhniú FSB le haghaidh CIPF (agus sa Rúis is minic a bhíonn sé seo; i gcás fhormhór na gcásanna criptithe líonra tá sé seo fíor), ní roghnóimid ach idir chinn dheimhnithe. Mura bhfuil, níl aon phointe ann feistí gan deimhnithe a eisiamh ó bhreithniú.

Bagairt eile is ea an bhagairt ar hackáil, rochtain neamhúdaraithe ar fheistí (lena n-áirítear trí rochtain fhisiciúil lasmuigh agus laistigh den chás). Is féidir an bhagairt a chur i gcrích trí
leochaileachtaí i gcur i bhfeidhm - i crua-earraí agus cód. Mar sin, beidh réitigh le “dromchla ionsaí” íosta tríd an líonra, le himfháluithe cosanta ó rochtain fhisiciúil (le braiteoirí ionsáite, cosaint tóraíochta agus athshocrú uathoibríoch ar phríomhfhaisnéis nuair a osclaítear an t-imfhálú), chomh maith leo siúd a cheadaíonn nuashonruithe firmware. buntáiste sa chás go n-aithnítear leochaileacht sa chód. Tá bealach eile ann: má tá deimhnithe FSB ag na feistí go léir atá á gcur i gcomparáid, is féidir an aicme CIPF ar eisíodh an deimhniú ina leith a mheas mar tháscaire ar fhriotaíocht in aghaidh hacking.

Ar deireadh, tá cineál eile bagairt earráidí le linn thus agus oibriú, an fachtóir daonna ina fhoirm íon. Léiríonn sé seo buntáiste eile a bhaineann le criptitheoirí speisialaithe seachas réitigh coinbhéirsithe, a bhíonn dírithe go minic ar “speisialtóirí líonra” séasúracha agus a d’fhéadfadh deacrachtaí a bheith acu do “gnáth-speisialtóirí slándála faisnéise”.

Achoimre

I bprionsabal, anseo bheadh ​​​​sé indéanta táscaire lárnach de chineál éigin a mholadh chun feistí éagsúla a chur i gcomparáid, rud éigin cosúil le

$$display$$K_j=∑p_i r_{ij}$$display$$

áit arb é p meáchan an táscaire, agus is é r céim na feiste de réir an táscaire seo, agus is féidir aon cheann de na tréithe a liostaítear thuas a roinnt ina tháscairí “adamhacha”. D’fhéadfadh foirmle den sórt sin a bheith úsáideach, mar shampla, agus tograí tairisceana á gcur i gcomparáid le rialacha réamhaontaithe. Ach is féidir leat a fháil trí le tábla simplí mar

Characterization
Gléas 1
Gléas 2
...
Gléas N

Bandaleithid
+
+

+ + +

Forchostais
+
++

+ + +

Moill
+
+

++

Scalability
+ + +
+

+ + +

Solúbthacht
+ + +
++

+

Idir-inoibritheacht
++
+

+

Comhoiriúnacht
++
++

+ + +

Simplíocht agus áisiúlacht
+
+

++

lamháltas locht
+ + +
+ + +

++

Costas
++
+ + +

+

Marthanacht
++
++

+ + +

Beidh áthas orm ceisteanna agus cáineadh cuiditheach a fhreagairt.

Foinse: will.com

Add a comment