A criptografia de link é um método de segurança usado em redes de comunicação para a transmissão de dados criptografados entre computadores individuais. Com esse método, os dados são criptografados e descriptografados por cada peça de hardware ao longo do caminho, como roteadores de rede ou outros dispositivos especializados. Quando o link de comunicação é criptografado dessa maneira, toda a transmissão de dados fica oculta, em oposição a outros esquemas de criptografia nos quais a transmissão ainda pode ser interceptada. O método também pode ser chamado de criptografia no nível do link ou criptografia da camada de link. Isso ocorre porque tudo acontece na camada inferior do modelo OSI (Open Systems Interconnect), conhecida como camada de enlace de dados.

Quando os pacotes de dados deixam a interface de rede, o pacote inteiro, os agrupamentos de dados enviados por conexões de rede, são criptografados. A criptografia de link é única dessa maneira, porque as informações do cabeçalho do pacote, que contêm informações sobre os endereços de origem e destino, são criptografadas junto com a carga útil real dos dados. Os pacotes seguros são enviados através da linha até encontrar outro dispositivo ao longo do caminho; nesse ponto, o cabeçalho é descriptografado e verificado para obter as informações de endereço. Se os pacotes ainda não chegaram ao destino, são criptografados novamente e enviados a caminho.

Isso é útil para manter a transmissão segura contra alguém tentando escutar na linha ou capturar os pacotes para análise. Um invasor é incapaz de saber de quem os dados vieram, para onde foram e o caminho percorrido ao longo do caminho. O processo também costuma estar livre de erros humanos, porque tudo acontece automaticamente, evitando que o usuário precise se lembrar de criptografar suas comunicações, facilitando transmissões de dados grandes e regulares que precisam ser seguras.

Existem algumas falhas na abordagem. A criptografia de link sofre muito em redes públicas como a Internet. Muitos que usam o método o usarão somente em linhas dedicadas e dedicadas, onde é possível obter maior controle sobre o hardware ao longo do caminho. Isso também significa que as chaves usadas para criptografar e descriptografar os dados devem ser mantidas em vários dispositivos, tornando cada ponto ao longo do caminho potencialmente vulnerável, caso um invasor obtenha acesso a um dos dispositivos ao longo da rota.

Outra solução alternativa é um método conhecido como super criptografia, que é usado para criptografar a carga útil dos dados na camada de aplicativo pelo usuário e, em seguida, as informações restantes do cabeçalho são criptografadas à medida que elas saem para a rede maior. O método adicional em uma super criptografia é conhecido como criptografia de ponta a ponta. A principal diferença entre uma criptografia de link, então, é que o método de ponta a ponta permite que os dados atravessem uma rede não segura por um período de tempo, porque as chaves de criptografia e descriptografia são conhecidas em cada extremidade da transferência. As informações de endereçamento e roteamento nos cabeçalhos ainda são visíveis para um interceptador, mas a carga útil de dados primária permanece segura. No entanto, nos casos de super criptografia, onde a criptografia de ponta a ponta e de link são usadas, os dados raramente precisam ir além do roteador local antes de entrar no link criptografado para transporte.