リンク暗号化とは
リンク暗号化は、個々のコンピューター間で暗号化されたデータを送信するために通信ネットワークで使用されるセキュリティ方式です。 この方法では、ネットワークルーターやその他の専用デバイスなど、パスに沿った各ハードウェアによってデータが暗号化および復号化されます。 この方法で通信リンクが暗号化されると、伝送を傍受できる他の暗号化方式とは対照的に、データ伝送全体が隠されます。 この方法は、リンクレベル暗号化、またはリンク層暗号化とも呼ばれます。 これは、すべてがデータリンク層と呼ばれるオープンシステムインターコネクト(OSI)モデルの下位層で発生するためです。
データパケットがネットワークインターフェイスを出ると、ネットワーク接続を介して送信されるデータの塊であるパケット全体が暗号化されます。 リンクの暗号化はこのようにユニークです。なぜなら、発信元アドレスと宛先アドレスに関する情報を含むパケットのヘッダー情報が、実際のデータペイロードとともに暗号化されるためです。 その後、安全なパケットは、途中で別のデバイスに到達するまで回線を介して送信され、その時点でヘッダーが復号化されてアドレス情報がチェックされます。 パケットが宛先に届かなかった場合、再度暗号化されて送信されます。
これは、誰かが回線を盗聴したり、分析のためにパケットをキャプチャしようとしたりしないように、送信を安全に保つのに便利です。 攻撃者は、データの送信元、データの送信先、データの経路を知ることができません。 また、プロセスはすべて自動的に行われるため、通常は人為的エラーが発生せず、ユーザーは通信を暗号化することを覚えておく必要がなく、安全である必要のある大規模で定期的なデータ送信が容易になります。
このアプローチにはいくつかの欠点があります。 インターネットなどのパブリックネットワークでは、リンクの暗号化が非常に困難です。 この方法を使用する多くの人は、専用の専用回線でのみ使用します。専用回線では、パスに沿ったハードウェアをより強力に制御できます。 これはまた、データの暗号化と復号化に使用されるキーを複数のデバイスで維持する必要があることを意味し、攻撃者がルート上のデバイスのいずれかにアクセスした場合、パス上の各ポイントが潜在的に脆弱になります。
もう1つの回避策は、スーパー暗号化と呼ばれる方法です。これは、ユーザーがアプリケーション層でデータペイロードを暗号化するために使用され、残りのヘッダー情報はより大きなネットワークに送信されるときに暗号化されます。 スーパー暗号化の追加の方法は、エンドツーエンド暗号化として知られています。 リンク暗号化の主な違いは、エンドツーエンドの方法では、暗号化と復号化のキーが転送の両端で既知であるため、データが一定期間セキュリティ保護されていないネットワークを通過できることです。 ヘッダー内のアドレス指定およびルーティング情報は盗聴者に見えますが、プライマリデータペイロードは安全なままです。 ただし、エンドツーエンド暗号化とリンク暗号化の両方が使用されるスーパー暗号化の場合、データが転送のために暗号化されたリンクに入る前に、データがローカルルーターよりも遠くに行く必要はほとんどありません。