MACsec pós-quantum em switches Cisco

MACsec pós-quantum em switches Cisco

MACsec pós-quantum em switches Cisco 1
cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br


No meu blog, no final do ano passado, discutimos que os recentes avanços e a atenção dada à computação quântica levantaram preocupações de segurança entre os profissionais de TI. A capacidade de um computador quântico resolver com eficiência (curva elíptica) logaritmo discreto e problemas de fatoração inteira representa uma ameaça aos atuais esquemas de troca de chave pública, criptografia e assinatura digital. Esses algoritmos são amplamente utilizados em protocolos e produtos que oferecem criptografia como IKEv2 / IPsec, MACsec e TLS.

A maioria dos protocolos de criptografia exigiria a introdução de algoritmos pós-quantum em seus mecanismos de troca de chaves e autenticação para se tornar resistente a quantum. Muitos fornecedores como Cisco, Microsoft, Cloudflare, Google, AWS e IETF têm procurado adicionar resistência quântica aos protocolos.

Nem todos os protocolos estão condenados desde o início. Conforme explicado no whitepaper de PQ MACsec, o MACsec (Media Access Control Security) é um protocolo que, quando configurado com os parâmetros e métodos de autenticação corretos, pode oferecer criptografia de tráfego autenticada resistente a quantum. O MACsec é um protocolo de criptografia de salto a salto da camada 2 baseado em padrões IEEE 802.1AE que fornece confidencialidade e integridade de dados para protocolos independentes de acesso à mídia (MAC) em redes com fio, usando métodos fora de banda para estabelecimento de chaves. Antes de estabelecer uma sessão segura MACsec, o protocolo MKsec (MACsec Key Agreement) é usado como protocolo de controle. O MKA seleciona o ciphersuite a ser usado para criptografia e para trocar as chaves e parâmetros necessários entre os pares. O MKA usa o protocolo EAPoL (Extensible Authentication Protocol over LAN) definido no IEEE 802.1X como o protocolo de transporte para transmitir mensagens MKA que distribuem as chaves. O MKA fornece autenticação usando uma chave pré-compartilhada (PSK) ou a estrutura 802.1X Extensible Authentication Protocol (EAP) e EAP-Transport Layer Security (EAP-TLS).

Leia Também  Junte-se à Cisco no VeeamON 2020
cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br

A hierarquia de chaves MKA / MACsec inclui uma CAK (Connectivity Association Key) estabelecida por um método de contrato de chave (ou configuração fora de banda). Uma associação de segurança (SA) define um relacionamento de segurança entre os membros da associação. Uma SA é protegida com uma Chave de Associação de Segurança (SAK), formando um Canal Seguro (SC). Uma SAK é derivada criptograficamente de uma CAK ou gerada aleatoriamente pelo servidor de chaves MKA. As SAKs são distribuídas aos pares pelo servidor principal usando mensagens MKA nas unidades de dados do protocolo EAPoL do endereço MAC de multicast de destino. Essas mensagens MKA que transportam chaves de criptografia MACsec são criptografadas usando uma Chave de Criptografia de Chave (KEK) e autenticadas com uma Chave de Verificação de Integridade (ICK), derivada do CAK.

Para configurar o MACsec quântico seguro, precisamos essencialmente configurar

  • PSKs de 256 bits em cada par com pelo menos 256 bits de entropia.
  • AES-CMAC de 256 bits como um KDF no modo contador para derivar as teclas SAK, KEK e ICK.
  • AES-GCM de 256 bits como algoritmo de criptografia autenticada por dados MACsec.

Observe que o uso do EAP-TLS como o método 802.1X EAP para autenticar os pares MACsec e gerar o segredo principal usado para derivar as outras chaves não pode ser considerado quântico seguro até que o TLS suporte a troca de chaves PQ.

Para obter mais detalhes sobre a configuração de túneis MACsec pós-quantum nas plataformas Cisco, consulte o White Paper PQ MACsec.

Para recursos adicionais, visite trust.cisco.com.

Compartilhar:

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br