Viimeksi päivitetty 9.3.1997 © Antti M. Latva-Koivisto <Antti.Latva-Koivisto@hut.fi>

Yhteenveto RFC:stä 1969

K. Sklower, G. Meyer: The PPP DES Encryption Protocol (DESE), June 1996

Tämä on vastaukseni Tietokoneverkot-kurssin neljänteen tehtävään, jonka aiheena ovat RFC:t. Tämä on pakollinen yhteenvetoni: (44421 mod 118) + 1 = 54. Vapaavalintainen yhteenvetoni on RFC:stä 1866.
Antti Latva-Koivisto, 44421w

Esihistoria

Ensimmäinen de facto -standardin aseman saavuttanut Internetissä käytetty protokolla point-to-point-tyyppiseen sarjaliikenteeseen oli SLIP. Sen ensimmäisen versio kehitettiin vuonna 1984. SLIP on määritelty RCF 1055:ssä kesäkuulta 1988, mutta siitä ei kuitenkaan koskaan ole tullut varsinainen Internet-standardi. SLIP on hyvin yksinkertainen ja puutteellinen eikä tue esimerkiksi pakettien identifiointia, virheiden tunnistusta tai korjausta, pakkausta tai salausta.

Point-to-Point Protocol (PPP) (RFC 1968)

Point-to-Point Protocol eli PPP, joka esiintyy ensimmäistä kertaa ehdotuksena (proposal) RFC 1134:ssä marraskuulta 1989, on tarkoitettu SLIPin korvaajaksi. PPP tarjoaa SLIPiin verrattuna monia kehittyneitä ominaisuuksia LCP:n (Link Control Protocol) ja NCP:n (Network Control Protocols) muodossa. LCP ja NCP mahdollistavat yhteyden alussa erilaisten parametrien ja toimintojen sopimisen, kuten verkkoprotokollien multipleksauksen, asynkronisen kehystämisen, virheentunnistuksen ja erilaisten optioiden neuvottelemisen. PPP:n lopullinen versio löytyy RFC 1661:stä heinäkuulta 1994 ja se on Internet-standardi. PPP on erittäin laajassa käytössä erityisesti otettaessa modeemiyhteyksiä Internet-palveluntarjoajien tietokoneisiin, käyttäjiä lienee miljoonia.

The PPP Encryption Control Protocol (ECP) (RFC 1968)

PPP:hen ehdotetaan lisättäväksi salausta tukeva The PPP Encryption Control Protocol (ECP) -protokolla RFC 1968:ssa (proposed standard) kesäkuulta 1996. Kyseisessä RFC:ssä määritellään, miten PPP-yhteydellä sovitaan tiedon salaamisesta. Salaamista varten määritellään uusi konfiguraatio-optio, jolla valitaan haluttu salausalgoritmi, sekä prosessi, jolla tieto salataan ja puretaan yhteyden avauduttua.

The PPP DES Encryption Protocol (DESE) (RFC 1969)

RFC 1969 liittyy kiinteästi RFC 1968:aan. RFC 1969:ssä selvitetään yksityiskohtaisesti, miten DES-tiedonsalausstandardia voidaan käyttää PPP-yhteydellä ECP-protokollalla. RFC 1969:n status on "informational" eli siinä ei määritellä tai ehdoteta mitään standardia. RFC:n tarkoitus on demonstroida, miten ECP-protokollaa voidaan käyttää, sekä tarjota ainakin yksi yleisesti ymmärretty menetelmä turvallista tiedon siirtoa varten eri PPP-implementaatioiden välillä.

ECP:n kanssa käytetään pelkästään DES:n Cipher Block Chaining (CBC) -moodia, jossa edellistä pakettia käytetään seuraavan paketin salaamiseen. Tällä tavoin yhteys ei sotkeudu, vaikka hyökkääjä lähettäisi linjalle vanhoja paketteja. Ilmoittamalla yhteyden toiselle osapuolelle ECP DESE -konfiguraatio-option, tarjoaa lähettäjä DES-algoritmia käytettäväksi salaamisessa. ECP DESE -optio tunnistetaan tyypin perusteella, joka on 1, ja lisäksi optiossa määritellään CBC-moodin aloitusvektori, jonka tulisi olla satunnainen. Koska käytetään CBC-moodia, DESE-paketit sisältävät sarjanumeron, jonka perusteella voidaan myös toipua pakettien häviämisestä.

Tämä RFC on vielä melko tuore, eikä siinä esiteltyä ECP protokollaa ja DESiä ole vielä kovinkaan laajalti otettu mukaan PPP-implementaatioihin. Alta Vistalla tehty haku sanoilla PPP, DES ja DESE tuotti vain kourallisen dokumentteja, joista suurin osa vain sisälsi tämän RFC:n.

Tulevaisuus

Epäilemättä tietoturvallisuusvaatimusten ja -tietoisuuden lisääntyessä myös PPP-implementaatioihin lisätään tuki ECP:lle ja DES-salaukselle. Kaikista eri algoritmeistä 56-bittinen DES tullee olemaan laajimmin implementoitu myös PPP:n yhteydessä, koska se on hyvin tunnettu ja tutkittu algoritmi, eikä Yhdysvaltain hallitus salli sitä vahvempien salausalgoritmien vientiä. Tämä ei tietenkään estä esimerkiksi eurooppalaisia valmistajia implementoimasta PPP:hen DES:iä vahvempia salausmenetelmiä, mutta käytännössä muut menetelmät jäänevät vähäisiksi tietotekniikan USA-vetoisuuden vuoksi.

Toisaalta voidaan kysyä, onko tarpeen salata kaikkea liikennettä PPP:n tasolla. Kaikki tärkeät tiedot voidaan salata korkeammalla tasolla, esimerkiksi SSH-ohjelmistolla tai HTTPS-protokollalla. Tällöin PPP-tason salaus vain hidastaa tiedonsiirtoa ja kuluttaa tehoa.