Tento článek je přetištěn z e-Bulletinu ze dne 7. dubna, 1997, vydání skupiny PatriciaSeybold Group’s Internetovské nástroje a technologické služby Článek je zde reprodukován v takové formě, v jaké byl původně poublikován.

© 1997 Patricia Seybold Group, 85 Devonshire Street, 5thFloor, Boston Massachusetts 02109-3504. Telephone 617.742.5200, Fax 617.742.1028,Internet: http://webtools.psgroup.com.Reprodukce části i celku je zakázána. Chcete-li cokoliv znovu publikovat, volejte l617.742.5200.


e-Bulletin
7. duben 1997

Data Fellows přináší silné šifrování do virtuálních soukromých sítí
Finská společnost demonstruje pošetilost US politiky
napsal Michael Goulde

Potřeba: Silné šifrování pro globální virtuální sítě Se změnou infrastruktury Internetu směrem k robustnosti, spolehlivosti a velikosti kapacity, stává se Internet stále atraktivnější jako doplněk nebo dokonce náhrada za drahé soukromé sítě. V minulosti byly hlavními dvěma skutečnostmi, které odrazovaly klienty od použití Internetu pro komunikaci s kritickými daty, nedostatek jeho spolehlivosti a obavy o jeho zabezpečení. Necháme-li otázku bezpečnosti ještě na chvíli stranou, standardní přístup pro zabezpečení Internetu pro tajná data společností představuje použití kombinace šifrování s veřejnými klíči a soukromými klíči pro autentizaci uzlů se zašifrováním dat před jejich odesláním do sítě a jejich následným dešifrováním na druhém konci. Obvykle platí, že, čím silnější je šifra, tím bezpečnější jsou data.

US ITAR exportní omezení, která jsou platná pro export technologie silných šifer pro šifrování dat (ne autentizace) omezuje počet bitů klíčů, které mohou být exportovány v rámci produktů vyrobených v US. Ačkoliv US obchodníci nejsou omezeni těmito omezeními u svých produktů, jestliže je prodávají v US, stejný stupeň šifrování nemůže být zahrnut do produktů prodávaných do zahraničí. To znamená, že nějaké místo v USA, které má komunikovat s místem někde za mořem, musí použít méně bezpečný algoritmus, jestliže využívá US podporovaný Virtual Private Network produkt, i když tento produkt je k dispozici se silnější šifrou. Většina US obchodníků je omezena na 40 bitů pro export, ačkoliv několik z nich nyní získalo povolení exportovat až 56-bitů dlouhé klíče.

Je rozumné očekávat, že US společnostic se zámořskými kancelářemi a zámořskými obchodními partnery by měly být schopny vytvořit si bezpečnou virtuální soukromou síť pomocí nejbezpečnější dostupné technologie. Při daných US exportních omezeních, musí zakoupit technologii od zámořského obchodníka, aby dostali 128-bitů dlouhé nebo ještě delší klíče. Neameričtí obchodníci nejsou ničím omezeni v tom, co mohou importovat, takže US firma může koupit cizí produkt pro své US a zámořské kanceláře a obchodní partnery a může mít silné šifrování po celé své globální virtuální soukromé síti.

Data Fellows F-Secure VPN je nyní globálně k dispozici Jedním takovým produktem, který je dostupný na globálním základě, je F-Secure VPN od společnosti Data Fellows se sídlem v Espoo, Finsko, a s US kancelářemi v San Jose, California. Data Fellows také distribuuje své produkty po celé Evropě a má své partnery v mnoha asijských a afrických zemích.

Produkt společnosti Data Fellows se jmenuje F-Secure Virtual Private Network (VPN). VPN je šifrovací router, který využívá RSA šifrování s veřejnými klíči pro autentizaci (uživatelem nastavitelné pro jakoukoliv délku klíče, kterou RSA připouští, což může být více nebo méně než 1024) a symetrického šifrování s délkou klíče mezi 128-bity a 168-bity pro tok dat. (Předností symetrického šifrování oproti systémům s veřejnými klíči je rychlost šifrování. Předností systémů s veřejnými klíči oproti symetrickému šifrování pro autentizaci je snadnost distribuce klíčů.) Skutečná délka klíče je založena na tom, jak se dohodnou sousední VPN routery. VPN může také používat triple DES, Blowfish, IDEA nebo DES šifrovací algoritmy; rozhodnutí je provedeno během konfigurace v době instalace. Definujete si prioritu algoritmů pro používání a pak je dohodnuto používání správného algoritmu. Pakety jsou současně se šifrováním zkomprimovány, což pomáhá zajistit výkon v celé VPN.

Funkce navržené pro snadné používání a bezpečnost Šifrování je prováděno v software VPN routeru, který může být nainstalován na virtuálně jakémkoliv standardním Intel Pentium PC. Počítače mohou být nastaveny jako "dual homed hosts" (dva NIC) a použity jako firewally, pokud je to žádoucí, ale není to vyžadováno, jestliže zde již nějaký firewall existuje. VPN by mohlo být použito bez firewallu, ale to není rozumné a nedoporučujeme Vám to.

Software je distribuován na CD ROM, který je použit pro vytvoření boot diskety pomocí Windows NT nebo Windows 95 systému pro definici konfigurace. Jakmile je nainstalován, VPN router je v podstatě černou skřínkou s žádným přístupem zvenčí. VPN software běží ve verzi NetBSD Unix, která byla očesána až na své základy. To odlišuje produkt společnosti Data Fellows od jiných tunelujících produktů, které běží na vrcholově nebo plně funkčním Unix nebo Windows NT systému. Protože obchodníci podnikli opatření, aby zajistili své tunely, je zde velké riziko porušení bezpečnosti, jestliže existuje nějaký operační systém jako základ, který je náchylný k potenciálnímu narušení. Obchodníci budou v tomto bodě argumentovat, ale skutečnost je taková, že čím méně je zde operačního systému, tím méně je zde možností pro hackery.

F-Secure VPN routery mohou být nastaveny tak, že budou měnit klíče sezneí každou hodinu, a tím je budou činit ještě neproniknutelnějšími pro hackery. Využití SSH 2.0 pro autentizaci umožňuje produktu F-Secure využívat distribuovaný přístup ke správě klíčů. Každý router si ukládá sám veřejné klíče pro své sousední routery, a není používán centrální depozitář klíčů pro uložení všech klíčů. Tímto způsobem zde neexistuje jeden bod, jehož selhání by mohlo vést k selhání celé virtuální soukromé sítě.

Opatření pro snadnou dostupnost Podobně může být na každé síti nastaveno více VPN s routing sadou, takže jestliže selže jeden router, šifrování sítě může stále pokračovat dál, protože je zde sekundární router. Tento přístup může být také použit k poskytnutí šifrování ve větší míře, ačkoliv slabinou výkonu šifrování v těchto prostředích je mnohem pravděpodobněji sama síť, a nikoliv šifrovací motor.
Navržený tak, aby byl otevřený a snadno integrovatelný F-Secure je nezávislý na firewalu a routeru. V malých sítích může jednoduše nahradit firewall nebo router. To je v kontrastu s tunelovými produkty prodávanými jako dodatek či vylepšení mnohými obchodníky s routery a firewally. S těmito produkty, jako jsou produkty společností Raptor, TIS nebo Compatible Systems, musíte používat vždy příslušný firewall nebo router na každé pozici. To může fungovat, jestliže máte jen to své místo, ale jestliže stavíte bezpečná spojení s obchodními partnery, je obtížné diktovat jim, jaký firewall nebo router mají používat. F-Secure je v tomto směru velmi otevřený.
Plánovaná vylepšení do budoucnosti Společnost Data Fellows pracuje na několika vylepšeních produktu F-Secure VPN. V současnosti zde není podpora mobilním uživatelům ani individuální přístup na dálku. Produkt F-Secure SSH společnosti Data Fellows může být použit pro zabezpečení dálkového přístupu z jakéhokoliv Windows, Macintosh nebo Unix počítače. Produkt VPN je primárně zaměřen na tunelování router-router. Společnost pracuje na implementaci podpory dálkového spojení samostatně stojících VPN.

Jakmile budou dokončeny specifikace pro S/WAN, část IETF IPsec specifikací pro bezpečný transport in Wide Area, zvláště až bude dokončena část specifikací detailně se zabývající dohadováním o klíčích, společnost Data Fellows bude implementovat tyto IPsec specifikace jako přídavek ke svému SSH protokolu.

Do budoucnosti se také plánuje uvolnění podpory pro X.509 certifikáty. Avšak, protože je mnohem pravděpodobnější, že certifikáty budou hrát důležitou roli, když nebude známa druhá strana, nevidíme toto jako hlavní požadavek pro autentizaci typu router-router. Nicméně společnost Data Fellows plánuje podporovat certifikáty a certifikační úřady a být tak na tuto situaci připravena.

Ceny Ceny produktu F-Secure VPN jsou vytvořeny na jeden router s neomezenými spojeními. Digitální AltaVista Tunnel, naproti tomu, má různé sady cen založených na počtu podporovaných spojení. Cena VPN pro dva routery je $4,995. Cenový rozsah je až $10,435 pro pět routerů a $1,450 pro každý router nad pět. Ve srovnání s AltaVista Workgroup XL tunnel o ceně $2,495 za server schopný podpory 512 spojení. Produkty společnosti Data Fellows jsou cenově mnohem efektivnější, jestliže jsou stavěny velké virtuální soukromé sítě.
Závěry Dokud a pokud US vláda nevzdá pokus řídit a kontrolovat šifrování dat, trh bude široce otevřený pro neamerické poskytovatele. Produkt VPN společnosti Data Fellows VPN má všechny komponenty, nutné k tomu, aby byl atraktivní a snadno přijatelný, nejen pro distribuovaná místa v rámci společnosti, ale také pro obchodní partnery, stejně jako pro část tvorby extranetů.
   
Kontakty:
Data Fellows Inc. (US)
Petri Laakkonen
675 N. First Street, Suite 605
San Jose, CA 95112
Tel (408) 938 6700
Fax (408) 938 6701
f-secure-sales@datafellows.com

Data Fellows Ltd (HQ)
Paivantaite 8
FIN-02210 ESPOO, FINLAND
Tel +358 9 478 444
Fax +358 9 478 445 99
Ve Finskud:
Tel: (09) 478 444
Fax: (09) 478 445 99
http://www.datafellows.com