PDF de programación - Fibernet - Cifrado de comunicaciones ópticas

Fibernet
Cifrado de comunicaciones ópticas

www.fibernet.es

9-abril-2015

www.fibernet.es

1

Contenido

1.

¿Por qué cifrar los enlaces ópticos?

2.

Descripción de un sistema criptográfico

3.

Soluciones de cifrado de Fibernet

www.fibernet.es

9-abril-2015

www.fibernet.es

2

¿Por qué cifrar los enlaces ópticos?

www.fibernet.es

9-abril-2015

www.fibernet.es

3

¿Por qué cifrar los enlaces ópticos?

¿Se pueden espiar los datos de una
fibra óptica?

En general, podemos pensar que la fibra es más segura que las conexiones

eléctricas cableadas o, especialmente, radiadas.

• La radiación electromagnética es más fácilmente “espiable”

• Las fibras suelen localizarse en sitios poco accesibles (enterradas, etc.)

Pero las fibras también pueden ser “pinchadas”

•

•

Insertando splitters(normalmente en puntos
de conexión)

Incluso sin llegar a cortar la comunicación

www.fibernet.es

9-abril-2015

www.fibernet.es

4

¿Por qué cifrar los enlaces ópticos?

Espiar sin cortar la comunicación

Se basa en hacer que una pequeña porción de luz escape de la fibra

Basta extraer un pequeño porcentaje de la potencia de señal

Por ejemplo, mediante una doblez en la fibra

Fibra

Cable de fibra interceptado

Protección

Curvatura

Luz que
escapa

FIBER

TAP

Sensor óptico

+

conversor

Existen múltiples dispositivos comerciales, disponibles a un coste no prohibitivo,

www.fibernet.es

capaces de extraer señal de la fibra de esta manera

9-abril-2015

www.fibernet.es

5

¿Por qué cifrar los enlaces ópticos?

Potencial de la fibra como fuente de información

La cantidad de datos y su concentración resultan tentadores

Existe la tecnología y los interesados tienen amplios recursos

Se puede incluso pagar el uso de
costosos submarinos para
interceptar comunicaciones.
Ejemplo: en 2005 la prensa
hablaba del submarino USS
Jimmy Carter (> 3000 M$),
especulándose sobre su
dedicación al espionaje de
comunicaciones

No es, en absoluto, algo nuevo

www.fibernet.es

9-abril-2015

www.fibernet.es

6

¿Por qué cifrar los enlaces ópticos?

Los archivos del ex-agente de la CIA Edward Snowden no sólo revelaron que el
espionaje de la fibra se hace, sino también que incluso se cuenta con cierta ayuda ...

www.fibernet.es

9-abril-2015

www.fibernet.es

7

¿Por qué cifrar los enlaces ópticos?

¿Cómo proteger la fibra?
Ante estas amenazas se pueden hacer tres cosas:

Velar por la seguridad física de las instalaciones

Recintos controlados, empalmes antes que conectores, etc.

Detectar posibles manipulaciones no deseadas de la fibra

Uso de equipos capaces de detectar cortes, variaciones de atenuación, etc.

Producto Fibersecde Fibernet

Cifrar los datos que la fibra porta

Gama de tarjetas con cifradode Fibernet

Lo ideal es aplicar todas estas medidas; a continuación se
comentará el CIFRADO.

www.fibernet.es

9-abril-2015

www.fibernet.es

8

¿Por qué cifrar los enlaces ópticos?

¿Cómo cifrar los datos?
Hay tecnologías muy extendidas en la industria para cifrar extremo a extremo

Ej.: IPSEC - Protección de comunicaciones IP (cifrado, protección de
integridad, autenticación), aplicable en general o para determinadas
comunicaciones.

Soluciones buenas si se aplican correctamente, pero:

No están libres de vulnerabilidades si hay descuidos en su aplicación.

• Hay constancia de ataques con éxito (ej.: revelaciones de Snowden)

• P.ej. IPSEC es una tecnología muy compleja, con múltiples opciones de

configuración, con implementaciones variadas (según el sistema operativo,
etc.) y con muchos atacantes. Se requiere una alta experiencia.

Pueden reforzarse añadiendo protección en el tramo físico menos seguro: el

que recorre la fibra.

Por otra parte, un cifrado hardware del enlace de fibra no consume recursos de los
equipos existentes ni introduce latencias perceptibles.

www.fibernet.es

9-abril-2015

www.fibernet.es

9

¿Por qué cifrar los enlaces ópticos?

Seguridad reforzada
Igual que un cable de fibra emplea múltiples capas
protectoras, presentes o no según el tramo del recorrido,
también podemos dotar a nuestro esquema de seguridad de
varias capas.

Cifrado de
enlace de F.O.

IPSEC

Red corporativa,
emplazamiento A

Red corporativa,
emplazamiento B

Fibra óptica

Zona segura

Zona de alta

seguridad

Zona insegura

Zona de alta

seguridad

Zona segura

Cifrado de Fibra

www.fibernet.es
IPSEC ...

9-abril-2015

www.fibernet.es

10

Descripción de un
sistema criptográfico

www.fibernet.es

9-abril-2015

www.fibernet.es

11

Descripción de un sistema criptográfico

Objetivo: proteger los datos en la
fibra óptica Criptografía
La idea central es la de ocultar la informacióna personas u

Pero... ¿qué es?

organizaciones no autorizadas (“cifrado” o “encriptación”).

R.A.E: “Arte de escribir con clave secreta o de un modo enigmático”.

Más cosas a considerar: autenticación de interlocutores, gestión

de claves, etc. Así, la criptografía se refiere al conjunto de técnicas para
garantizar comunicaciones segurasen presencia de posibles
“adversarios”.

Wikipedia (ES): “Algoritmos, protocolos y sistemas que se utilizan para
proteger la información y dotar de seguridad a las comunicaciones y a
las entidades que se comunican”.

Wikipedia (EN): “The practice and study of techniques for secure
communication in the presence of third parties (called adversaries)”.

www.fibernet.es

Un sistema de seguridad sólo es tan fuerte como
el más débil de sus elementos

9-abril-2015

www.fibernet.es

12

Descripción de un sistema criptográfico

Amenazas a las que enfrentarnos

1. Escuchas indebidas

“Alice”

“Eve”

“Bob”

2. Suplantación (“man in the middle”)

“Alice”

“Eve”

“Bob”

3. Ataques al servicio (DoS, Denial of Service)

Protección:

Cifrado

(o “encriptación”)

Autenticación

(o “autentificación”)

“Alice”

“Eve”

“Bob”

Filtrado de puertos, etc.

(De menor interés en
enlaces punto a punto)

9-abril-2015

Descripción de un sistema criptográfico

La importancia de usar tecnología bien conocida

Al contrario de lo que pudiera parecer, el conocimiento del sistema no lo
pone en peligro, sino que da más garantías sobre su eficacia.

Algoritmos complejos, pueden esconder debilidades o incluso

características malintencionadas.

Amplia comunidad de expertos en criptografía, dedicados a analizar

algoritmos, contrastarlos con teorías matemáticas, atacarlos para
comprobar su grado de seguridad, etc.

Principio de Kerckhoffs:La seguridad de un sistema criptográfico debe
depender sólo de la confidencialidad de la clave, no de la del
algoritmo.

National Institute of Standards and Technology

Internet Engineering Task Force

www.fibernet.es

9-abril-2015

www.fibernet.es

14

Descripción de un sistema criptográfico

Cifrado de Fibernet

A continuación se comentará un enfoque de Fibernet al problema del

cifrado de un enlace de fibra.

Se trata de una solución hardware.

El cifrado se efectúa en la capa de enlace.

Se aplica a diversos protocolos de comunicaciones.

www.fibernet.es

9-abril-2015

www.fibernet.es

15

Descripción de un sistema criptográfico

¿Qué algoritmo de cifrado utilizar para proteger
los datos en la fibra?

Cifrado simétrico
Se utiliza la misma clave para cifrar y para descifrar

Más rápido, típico para comunicación de datos a alta velocidad

Ej.: DES, Triple DES, AES

Cifrado asimétrico

Adecuado para los datos de una
comunicación sobre fibra óptica.

Algoritmos de clave pública y clave privada

Cada agente cifra con la clave pública de su interlocutor y el resultado

sólo puede descifrarse con la clave privada.

Potente y facilita el problema de la distribución de las claves, pero ...

.. más complejo y lento, demasiado lento para comunicaciones a alta

www.fibernet.es

velocidad (a menudo aplicado en autenticación)

Ej.: RSA

9-abril-2015

www.fibernet.es

16

Descripción de un sistema criptográfico

Cifradores de bloque

Funciones de cifrado que trabajan sobre bloques de datos de tamaño fijo.
Los cifradores de clave simétrica más utilizados lo son: DES, TDES, AES

AES (Advanced Encryption Standard)

bloques de 128 bits (4x4 bytes)
clave de 128, 192 o 256 bits

Transformaciones: sustituciones, permutaciones, mezcla con clave ... :

Substitución de bytes (S-box)

Desplazamientos en filas

Combinaciones por columnas

www.fibernet.es

(a la inversa para

descifrar)

Mezcla con clave

9-abril-2015

www.fibernet.es

17

Descripción de un sistema criptográfico

Rondas del AES

Las anteriores etapas se repiten un número de “rondas”

(ej. 14 rondas si la clave es de 256 bits)

En cada ronda se utiliza una “clave de ronda” derivada

Difusión y
Confusión

de la clave definida.

En conjunto:

•

•

La clave afecta de una forma complicada a la salida

Cualquier cambio en la entrada produce grandes
variaciones en la salida

Claude Shannon

Implementación en hardware

Es posible combinar etapas

Se puede utilizar “pipelining”

Texto
en claro

t

Ronda 1

Ronda 2

Ronda 3

. . .

Texto
cifrado

Bloque N+2
Bloque N+3
Bloque N+4

Bloque N+1
Bloque N+2
Bloque N+3

Bloque N
www.fibernet.es
Bloque N+1
Bloque N+2

9-abril-2015

www.fibernet.es

18

Descripción de un sistema criptográfico

El problema del modo “Electronic Codebook” (ECB)

Dos bloques de entrada al AES idénticos dan dos bloques de salida idénticos.

No deseable, especialmente cuando puede haber datos “típicos”.

Para solventarlo: “modos de operación”. Modo ECB= cifrador sin más.

Ejemplo: Modo CBC

Cada operación de cifrado depende del resultado cifrado anterior -> salidas

diferentes

Problema: la realimentación acaba con la posible ventaja del “pipelining”

Las comunicaciones en