Wiadomości
tcpcrypt - szyfrowanie danych internetowych
Grupa naukowców opracowała nową technologię szyfrowania danych przesyłanych przez internet, będącą rozszerzeniem protokołu TCP (stąd nazwa tcpcrypt). Pozwala ona szyfrować dane obsługiwane przez protokół TCP, przesyłając je w trybie end-to-end między dwoma stacjami sieciowymi.
Grupa naukowców (głównie pracowników Stanford University) postawiła sobie za zadanie opracowanie nowej metody szyfrowania danych internetowych, decydując się na rozwiązanie polegające na dodaniu do protokołu TCP poprawki tcpcrypt (rozszerzenie protokołu TCP).
Jest ono bardzo wygodne i ma wiele zalet. Najważniejsza z nich to fakt, że TCP to protokół pracujący w trybie połączeniowym, działający w czwartej warstwie transportu modelu OSI (w trzeciej warstwie - sieci, funkcjonuje protokół IP). Dlatego rozszerzenie tcpcrypt może obsługiwać wszystkie bez wyjątku aplikacje sieciowe i jest zgodne ze starszymi wersjami oprogramowania TCP (stosy komunikacyjne).
Stosując tcpcrypt, programiści nie muszą szyfrować danych na poziomie samych aplikacji, co przynosi same oszczędności. Ważne jest też to, że technologia ta minimalizuje koszty związane z uzgadnianiem i wymianą przez serwery kluczy szyfrowania. Testy wykazały, że serwer wykorzystujący tcpcrypt (bez buforowania danych) może akceptować i obsługiwać w ciągu sekundy ponad 30 razy więcej połączeń sieciowych tcpcrypt niż serwer wykorzystujący technologię SSL (bez buforowania danych).
Naukowcy zapewniają, że szyfrując klucze publiczne przy użyciu kryptografii asymetrycznej, serwer może akceptować i obsługiwać w ciągu sekundy ok. 20 tys. połączeń tcpcrypt, nie stosując przy tym żadnej technologii buforowania danych. W przypadku stosowania buforów na dane, liczba obsługiwanych połączeń może być dwa razy większa.
Dane mogą być przy tym przesyłane z dużymi szybkościami, dochodzącymi do wielu Gb/s. Naukowcy twierdzą, że w przypadku komputerów typu desktop wyposażonych w dwurdzeniowe, intelowskie procesory i5 (obsługujące instrukcje AES), szybkość transmisji może dochodzić do 9 Gb/s. Można być pewnym, że serwery oparte na 6-rdzeniowych procesorach i5 będą w stanie przesyłać dane z szybkością 10 Gb/s.
Naukowcy podkreślają, że w pracując nad technologią tcpcrypt nie koncentrowali się na szybkości, wiedząc iż będzie ona na tyle duża, że połączenia tcpcrypt będą w stanie obsługiwać nawet bardzo wymagające aplikacje. Połączenia tcpcrypt pracują w oparciu o dobrze znane i stosowane już w IT technologie oraz protokoły. Zasługą naukowców jest natomiast to, iż połączyli je w umiejętny sposób i opracowali rozwiązanie, które jest w stanie szybko szyfrować ruch TCP i które można w łatwy sposób wdrażać.
Pracując nad technologią tcpcrypt, naukowcy zadawali sobie pytanie, dlaczego użytkownicy tak niechętnie i stosunkowo rzadko sięgają po technologie pozwalające szyfrować pakiety? Doszli do wniosku, że dzieje się tak dlatego, ponieważ:
1. Użytkownicy nie przywiązują do tego zagadnienia zbyt dużej wagi (chociaż wiedzą, że bezpieczeństwo danych odgrywa w ich firmach pierwszoplanową rolę).
2. Konfigurowanie aplikacji szyfrujących dane jest często bardzo praco- i czasochłonne, a włożony w to wysiłek jest niedostrzegany.
3. Twórcy aplikacji (programiści) nie mają dość motywacji, aby zająć się tym zagadnieniem.
4. Opracowanie metody szyfrowania danych jest na tyle drogim przedsięwzięciem, że firmy stosują takie technologie tylko w przypadku przesyłania przez sieć bardzo ważnych danych.
5. Standardowe metody i protokoły szyfrowania danych często nie spełniają oczekiwań firmy, dlatego nie są stosowane.
Naukowcy sądzą, że są to często błędne przekonania oraz sądy i są pewni, iż stosując odpowiednią technologię czy oprogramowanie, każdą z tych opinii można obalić.
Nie trzeba nikogo przekonywać, że szyfrowanie danych jest w internecie bardzo ważne. Odpowiedź na pytanie: jak szybko serwery WWW muszą akceptować połączenia - nie jest łatwa. I tak np. witryna YouTube odpowiada każdego dnia na ponad miliard zapytań, co oznacza, że serwery tej firmy muszą akceptować w ciągu sekundy ok. 11,5 tys. połączeń. Z kolei Facebook przesyła do użytkowników w ciągu jednego miesiąca 260 mld stron WWW (100 tys. na sekundę).
A trzeba pamiętać, że wyświetlenie jednej strony wiąże się często z akceptacją więcej niż jednego połączenia. Facebook ma obecnie około 30 tys. serwerów. Nie wszystkie z nich obsługują bezpośrednio użytkowników. Znaczna część znajduje się na zapleczu, dlatego te pracujące na pierwszej linii są bardzo obciążone.
A czego może się spodziewać użytkownik po zaimplementowaniu w serwerze technologii tcpcrypt? Badacze przeprowadzili testy przy użyciu serwera z dwoma czterordzeniowymi procesorami Intel Xeon X5355, pracującego pod kontrolą systemu operacyjnego Linux 2.6.32. Komputer miał kilkanaście interfejsów Ethernet 1 Gb/s, wymieniając przez nie dane (strony WWW) z klientami. Serwer obsługujący technologię tcpcrypt obsługiwał w ciągu sekundy 27 070 połączeń. To samo urządzenie było w stanie obsłużyć w ciągu sekundy 754 połączeń SSL. Jak widać, różnica jest istotna. Po zastosowaniu bufora na dane, serwer tcpcrypt obsługiwał 70 044 połączeń na sekundę, a serwer SSL - 39 785 połączeń na sekundę.
Jest ono bardzo wygodne i ma wiele zalet. Najważniejsza z nich to fakt, że TCP to protokół pracujący w trybie połączeniowym, działający w czwartej warstwie transportu modelu OSI (w trzeciej warstwie - sieci, funkcjonuje protokół IP). Dlatego rozszerzenie tcpcrypt może obsługiwać wszystkie bez wyjątku aplikacje sieciowe i jest zgodne ze starszymi wersjami oprogramowania TCP (stosy komunikacyjne).
Stosując tcpcrypt, programiści nie muszą szyfrować danych na poziomie samych aplikacji, co przynosi same oszczędności. Ważne jest też to, że technologia ta minimalizuje koszty związane z uzgadnianiem i wymianą przez serwery kluczy szyfrowania. Testy wykazały, że serwer wykorzystujący tcpcrypt (bez buforowania danych) może akceptować i obsługiwać w ciągu sekundy ponad 30 razy więcej połączeń sieciowych tcpcrypt niż serwer wykorzystujący technologię SSL (bez buforowania danych).
Naukowcy zapewniają, że szyfrując klucze publiczne przy użyciu kryptografii asymetrycznej, serwer może akceptować i obsługiwać w ciągu sekundy ok. 20 tys. połączeń tcpcrypt, nie stosując przy tym żadnej technologii buforowania danych. W przypadku stosowania buforów na dane, liczba obsługiwanych połączeń może być dwa razy większa.
Dane mogą być przy tym przesyłane z dużymi szybkościami, dochodzącymi do wielu Gb/s. Naukowcy twierdzą, że w przypadku komputerów typu desktop wyposażonych w dwurdzeniowe, intelowskie procesory i5 (obsługujące instrukcje AES), szybkość transmisji może dochodzić do 9 Gb/s. Można być pewnym, że serwery oparte na 6-rdzeniowych procesorach i5 będą w stanie przesyłać dane z szybkością 10 Gb/s.
Naukowcy podkreślają, że w pracując nad technologią tcpcrypt nie koncentrowali się na szybkości, wiedząc iż będzie ona na tyle duża, że połączenia tcpcrypt będą w stanie obsługiwać nawet bardzo wymagające aplikacje. Połączenia tcpcrypt pracują w oparciu o dobrze znane i stosowane już w IT technologie oraz protokoły. Zasługą naukowców jest natomiast to, iż połączyli je w umiejętny sposób i opracowali rozwiązanie, które jest w stanie szybko szyfrować ruch TCP i które można w łatwy sposób wdrażać.
Pracując nad technologią tcpcrypt, naukowcy zadawali sobie pytanie, dlaczego użytkownicy tak niechętnie i stosunkowo rzadko sięgają po technologie pozwalające szyfrować pakiety? Doszli do wniosku, że dzieje się tak dlatego, ponieważ:
1. Użytkownicy nie przywiązują do tego zagadnienia zbyt dużej wagi (chociaż wiedzą, że bezpieczeństwo danych odgrywa w ich firmach pierwszoplanową rolę).
2. Konfigurowanie aplikacji szyfrujących dane jest często bardzo praco- i czasochłonne, a włożony w to wysiłek jest niedostrzegany.
3. Twórcy aplikacji (programiści) nie mają dość motywacji, aby zająć się tym zagadnieniem.
4. Opracowanie metody szyfrowania danych jest na tyle drogim przedsięwzięciem, że firmy stosują takie technologie tylko w przypadku przesyłania przez sieć bardzo ważnych danych.
5. Standardowe metody i protokoły szyfrowania danych często nie spełniają oczekiwań firmy, dlatego nie są stosowane.
Naukowcy sądzą, że są to często błędne przekonania oraz sądy i są pewni, iż stosując odpowiednią technologię czy oprogramowanie, każdą z tych opinii można obalić.
Nie trzeba nikogo przekonywać, że szyfrowanie danych jest w internecie bardzo ważne. Odpowiedź na pytanie: jak szybko serwery WWW muszą akceptować połączenia - nie jest łatwa. I tak np. witryna YouTube odpowiada każdego dnia na ponad miliard zapytań, co oznacza, że serwery tej firmy muszą akceptować w ciągu sekundy ok. 11,5 tys. połączeń. Z kolei Facebook przesyła do użytkowników w ciągu jednego miesiąca 260 mld stron WWW (100 tys. na sekundę).
A trzeba pamiętać, że wyświetlenie jednej strony wiąże się często z akceptacją więcej niż jednego połączenia. Facebook ma obecnie około 30 tys. serwerów. Nie wszystkie z nich obsługują bezpośrednio użytkowników. Znaczna część znajduje się na zapleczu, dlatego te pracujące na pierwszej linii są bardzo obciążone.
A czego może się spodziewać użytkownik po zaimplementowaniu w serwerze technologii tcpcrypt? Badacze przeprowadzili testy przy użyciu serwera z dwoma czterordzeniowymi procesorami Intel Xeon X5355, pracującego pod kontrolą systemu operacyjnego Linux 2.6.32. Komputer miał kilkanaście interfejsów Ethernet 1 Gb/s, wymieniając przez nie dane (strony WWW) z klientami. Serwer obsługujący technologię tcpcrypt obsługiwał w ciągu sekundy 27 070 połączeń. To samo urządzenie było w stanie obsłużyć w ciągu sekundy 754 połączeń SSL. Jak widać, różnica jest istotna. Po zastosowaniu bufora na dane, serwer tcpcrypt obsługiwał 70 044 połączeń na sekundę, a serwer SSL - 39 785 połączeń na sekundę.
Komentarze (0)
- Kingston: Nowa linia dysków SSD
- Microsoft zapowiada nowy system plików - ReFS
- Intel: SSD 520 - nowa linia szybkich dysków
- Praktyczne porady dla administratorów na 2012 rok
- Co powinien wiedzieć każdy specjalista IT?
- Narzędzia dla administratorów sieci
- Windows Intune 3.0 - szansa na perfekcyjne narzędzie?
- Kontrowersyjne decyzje Oracle odnośnie Javy
- Testy penetracyjne pomogą w obronie przed cyberatakami
- MSP: kierunki rozwoju technologii w 2012 roku
Polecane
Przełomowy rok... znowu
Lektura firmowych informacji prasowych i prognoz firm analitycznych nie pozostawia wątpliwości - każdego roku...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...