Hva er lenkkryptering?
Linkkryptering er en sikkerhetsmetode som brukes i kommunikasjonsnettverk for overføring av krypterte data mellom individuelle datamaskiner. Med denne metoden blir dataene kryptert og dekryptert av hvert maskinvare langs banen, for eksempel nettverksrutere eller andre spesialiserte enheter. Når kommunikasjonslenken er kryptert på denne måten, skjules hele dataoverføringen i motsetning til andre krypteringsordninger der overføringen fremdeles kan avlyttes. Metoden kan også bli referert til som kryptering av lenkenivå eller kryptering av koblingslag. Dette fordi alt skjer i det nedre laget av OSI-modellen (open systems interconnect), kjent som datalinklaget.
Når datapakker forlater nettverksgrensesnittet, krypteres hele pakken, klumper av data som sendes over nettverkstilkoblinger. Koblingskryptering er unik på denne måten fordi pakkeens toppinformasjon, som inneholder informasjon om opprinnelses- og destinasjonsadresser, er kryptert sammen med den faktiske datalasten. De sikre pakkene blir deretter sendt over linjen til de møter en annen enhet underveis, på hvilket tidspunkt overskriften blir dekryptert og sjekket for adresseinformasjonen. Hvis pakkene ikke helt har nådd målet, krypteres de igjen og sendes på vei.
Dette er nyttig for å holde overføringen trygg mot noen som prøver å avlyttes på linjen eller fange opp pakkene for analyse. En angriper kan ikke vite hvem dataene kom fra, hvor de er på vei, og banen den tok underveis. Prosessen er også vanligvis fri for menneskelig feil, fordi det hele skjer automatisk, og sparer brukeren fra å måtte huske å kryptere kommunikasjonen hennes, noe som gir lett for store, regelmessige dataoverføringer som må være sikre.
Det er noen få mangler ved tilnærmingen. Koblingskryptering lider sterkt i offentlige nettverk som Internett. Mange som bruker metoden vil bare bruke den over dedikerte, leide linjer, der større kontroll over maskinvaren langs banen kan oppnås. Dette betyr også at nøklene som brukes til å kryptere og dekryptere dataene må opprettholdes på flere enheter, noe som gjør hvert punkt langs banen potensielt utsatt dersom en angriper får tilgang til en av enhetene langs ruten.
En annen løsning er en metode som kalles superkryptering, som brukes til å kryptere datalasten i applikasjonslaget av brukeren, og deretter blir den gjenværende overskriftsinformasjonen kryptert når den går ut i det større nettverket. Den ekstra metoden i en superkryptering er kjent som ende-til-ende-kryptering. Den primære forskjellen mellom en lenkkryptering er da at end-to-end-metoden gjør at dataene kan krysse et usikret nettverk i en viss varighet, fordi nøklene for kryptering og dekryptering er kjent i hver ende av overføringen. Adresserings- og rutingsinformasjonen i overskriftene er fremdeles synlig for en avlyttersjekker, men den primære nyttelasten for data forblir trygg. I tilfeller av superkryptering, der både end-to-end og link-kryptering brukes, må dataene sjelden gå lenger enn en lokal ruter før de går inn i den krypterte lenken for transport.