O presente texto visa explanar, de maneira geral, como a criptografia pode ser aplicada em cada uma das camadas do modelo OSI de redes, com seus pontos fortes e fracos.
O termo criptografia deriva do grego kryptós (escondido, oculto) + gráphein (escrita). Então, a grosso modo, pode ser entendido como a ciência ou arte de escrever de maneira oculta. Escrever uma informação de tal forma que seu significado permaneça oculto a todos, exceto a quem for autorizado.
No tratamento da informação a criptografia é aplicada sempre que é necessário manter a confidencialidade da informação, seja armazenada ou trafegada. Sendo que as formas de criptografia e as maneiras como são aplicadas à informação são bastante diversas, tendo cada uma suas características, seus pontos positivos e pontos negativos.
Especificamente com relação a informação trafegada em ambientes computacionais, ou seja, na comunicação de dados, podem ser aplicados diversos recursos para garantir a confidencialidade. Baseando nas camadas de referencia do modelo OSI, temos algumas soluções de criptografia para cada uma delas.
No tópico abaixo teremos uma explanação geral das formas de aplicação de criptografia em cada uma das camadas e, após, uma tabela sintetizando.
Aplicação, vantagens e desvantagens
Camada de enlace
A criptografia é aplicada na camada de enlace do modelo de referencia RM/OSI quando existe fragilidade de segurança no meio físico. Um dos usos mais comuns é em redes wireless, justamente pela fragilidade do meio (o próprio ar). Nestas situações todo pacote é colocado em quadros criptografados e enviado diretamente ao destinatário, independente do protocolo de rede utilizado. Quando o destinatário recebe o quadro, este decripta, desempacota e lhe dá o destino cabível. Como a informação viaja dentro de quadros existe liberdade de escolha dos protocolos das camadas superiores e a criptografia está presente apenas entre os pontos de enlace onde o protocolo de criptografia está sendo utilizado, de maneira praticamente transparente ao usuário.
Tomando como exemplo um link wireless (802.11x), que aplica criptografia WEP, ligando duas redes distintas, todo tráfego das camadas superiores, que ocorrer, apenas, entre os dois dispositivos wireless, estará criptografado, ou seja, o tráfego antes e após estes estarão em seu formato original, sem criptografia. Os quadros de controle não são cifrados.
Camada de rede
A criptografia na camada de rede é feita através da aplicação de protocolos como o IPSec ao protocolo IP, no caso do IPv6 esse protocolo já é nativo.
Esta criptografia garante que os dados contidos nas camadas superiores não serão interceptados, garantindo confidencialidade.
Esse tipo de criptografia pode ser utilizado no modo transporte, tratando, diretamente, todos ou alguns pacotes trocados entre duas entidades, ou no modo túnel, onde todo pacote da camada de rede é colocado dentro de outro pacote IP que por sua vez recebe criptografia.
Como atua na camada de rede as inferências necessárias por parte do usuário são mínimas, sendo que muitas vezes estes nem tomam conhecimento de sua existência.
Camada de sessão/transporte
A utilização de protocolos de criptografia, como o SSL e o TLS, nas camadas de seção e transporte agrega criptografia fim-a-fim, cifrando apenas a informação vinda da camada de aplicação e colocando dentro de pacotes IP que são enviados.
Sendo assim uma comunicação específica, entre duas entidades, é criptografada e garantida sua confiabilidade. Porém, ao contrário da criptografia nas camadas de enlace e rede, o protocolo de criptografia é aplicado apenas à aplicações específicas e em determinadas situações. É possível que apenas parte da informação entre cliente e servidor seja cifrada.
Geralmente exige autenticação por ambas partes, tanto o servidor como o cliente devem ter suas identidades conferidas, seja por senhas, certificados ou outra forma.
Camada de aplicação
A criptografia aplicada à camada de aplicação trata os dados em seu formato original, seja um arquivo ou texto. Antes mesmo de serem considerados tráfego na rede, pois é a camada de apresentação que lhos conduzirá as camadas inferiores que trafegarão na rede.
É uma implementação de mais alto nível, porém menos transparente ao usuário. Sendo utilizada, por exemplo, quando se deseja enviar algum arquivo de maneira que somente o destinatário o compreenda. Além disso, é possível autenticar esse arquivo garantindo a integridade e a irretratabilidade.
Nesta camada a criptografia protege apenas o dado, não ocultando nenhuma outra informação, como o destino desse dado ou o meio por onde serão transportados.
Quadro Comparativo
CAMADAS
|
PROTOCOLOS
|
VANTAGENS
|
DESVANTAGENS
|
UTILIZAÇÃO
|
Enlace
|
WEP, WPA
|
Agrega segurança ao meio físico. Não dependente do protocolo de rede. Alta transparência.
|
Dados de controle viajam em aberto.
|
Enlaces Wireless, segurança no meio físico.
|
Rede
|
IPSec, IPv6
|
Flexibilidade de protocolos transporte. Pouca interferência do usuário. Transparência.
|
Dependente do protocolo IP
|
VPN's camada 3, criptografia em VPN's camada 2, criptografia de dados trocados diretamente entre entidades.
|
Sessão/ Transporte
|
SSL, TLS
|
Possibilidade de garantia de identidade. Garantida de integridade e confidencialidade.
|
Dependência do protocolo TCP. Cifra apenas a informação trafegada.
|
Principalmente para agregar segurança à comunicações na internet. WEB, e-mail, LDAP.
|
Aplicação
|
S/MIME, PGP, SET, Kerberos
|
Os dados são cifrados antes de serem trafegados. Nível mais alto.
|
Necessário uma maior inferência do usuário. Não oculta o destino da informação ou outros detalhes.
|
Implementar criptografia de arquivos. Assinaturas digitais.
|