Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN IPsec com segurança quântica

SUMMARY Saiba como usar e configurar os mecanismos de recuperação de chave fora de banda no processo IKED para negociar com IKE e SAs IPsec seguros quânticos.

Visão geral da segurança quântica

O canal de comunicação IPsec conta com o protocolo Internet Key Exchange (IKE). O IKE mantém parâmetros de segurança para proteger o tráfego de dados. Os parâmetros de segurança incluem algoritmos de criptografia e autenticação e chaves associadas.

Os protocolos de segurança contam com algoritmos criptográficos assimétricos, como Diffie Hellman (DH) ou Diffie Hellman da Curva Elíptica (ECDH) para estabelecer que as chaves são vulneráveis a ataques.

Para evitar ataques de segurança, o RFC8784 introduz um método fora de banda. O método fora de banda adiciona uma chave secreta no iniciador e no respondente. A chave secreta é a chave pré-compartilhada pós-quântica (PPK).

  • Você pode usar o PPK, além do método de autenticação no IKEv2.

  • O PPK oferece resistência quântica a quaisquer SAs infantis em SAs IPsec negociados iniciais e quaisquer SAs IPsec subsequentes fedidos.

  • Com a chave de PPK e autenticação por pares, o iniciador e o respondente podem detectar uma incompatibilidade de chave.

Visão geral do Junos Key Manager

Você pode usar o Junos Key Manager (JKM) para configurar as chaves estáticas ou as chaves dinâmicas para proteger o plano de dados e o plano de controle.

O processo JKM funciona como uma loja-chave e um proxy entre o cliente ou o aplicativo de criptografia. O cliente ou aplicativo de criptografia requer uma chave para estabelecer uma sessão de segurança quântica criptografada e autenticada com peer ou aplicativo. O cofre quântico usa o mecanismo de recuperação de chave fora da banda que permite que dois pares tenham a chave. Diferentes mecanismos fora de banda terão diferentes protocolos ou métodos para se comunicar. O JKM oferece uma interface uniforme comum para que os aplicativos de cliente ou cripto se comuniquem.

Mecanismo de recuperação de chave

Dois mecanismos de recuperação de chave fora de banda no processo IKED para negociar com IKE e SAs IPsec seguros quânticos.

  • Chave estática — com perfis chave estáticos, você pode configurar uma ID de chave estática e uma chave correspondente. A mesma ID e chave chave estática é gerada sempre que uma solicitação à JKM é gerada em um perfil chave estático.

  • Gerente de chave quântica — com perfis chave de gerenciamento de chave quântica, você pode acessar os dispositivos de distribuição de chave quântica (QKD) e a Rede Quântica. A Rede Quântica gera e troca chaves quânticas entre pares. Gera uma ID e uma chave chave diferentes todas as vezes solicitadas à JKM em um perfil chave de gerente de chave quântica.

Use o perfil chave para VPN IPsec com segurança quântica

Com perfis chave estáticos, você pode configurar uma ID de chave estática e uma chave correspondente. Para estabelecer os SAs IPsec com segurança quântica, use o perfil chave estático como perfil de chave pré-compartilhada (PPK) pós-quântica na configuração IPsec-VPN. Usa a mesma chave e a ID chave para re-autenticar a SA IKE existente.

Com perfis de perfil de gerente de chave quântica, para acessar as Redes Quânticas, você precisa de acesso aos dispositivos QKD. A Rede Quântica gera e troca chaves quânticas entre pares. Você pode configurar todos os parâmetros necessários, como O ID SAE local, URL para o dispositivo QKD e assim por diante. Para estabelecer SAs IPsec, use o perfil chave do gerente de chave quântica como perfil de chave pré-compartilhada (PPK) pós-quântica na configuração de VPN IPsec. Usa uma chave diferente e uma ID chave para re-autenticar a SA IKE existente.

Distribuição de chave quântica

A distribuição de chave quântica (QKD) é um método de distribuição de chave segura que usa o quantum. As redes usam canais quânticos para gerar a mesma chave em ambas as extremidades e monitorar o canal quântico entre os pares. Essas chaves são dinâmicas, protegem o plano de dados e o plano de controle.

Entidade de gerenciamento chave (KME) é o termo que usamos para consultar os dispositivos QKD na camada de gerenciamento ou controle. Os dispositivos QKD se conectam entre si por meio de sua rede quântica ou QKD. Os KMEs se conectam pela rede pública através dos canais seguros para a troca de mensagens de controle. Os aplicativos, Secure Application Entity (SAEs) e dispositivos interagem com KMEs através dos canais seguros de acordo com a especificação ETSI. O HTTPS combina com a autenticação de TLS mútua e permite operações seguras na rede QKD.

Figura 1: Dois dispositivos interagindo com seus dispositivos QKD correspondentes para estabelecer uma sessão quântica seguraDois dispositivos interagindo com seus dispositivos QKD correspondentes para estabelecer uma sessão quântica segura

Figura 1 Nos descreve como os dois dispositivos interagem com seus dispositivos QKD correspondentes para estabelecer uma sessão de segurança quântica

  • A função SAE A é primária. O SAE A atua como o iniciador para estabelecer uma sessão de segurança quântica com SAE B.

  • A função SAE B é secundária. O SAE B atua como o respondente.

  • O SAE A solicita o KME A através da API chave get para gerar e compartilhar uma nova chave quântica com SAE B com O ID SAE alvo.

  • O KME A realiza a operação e responde ao SAE A com o ID chave gerado e o material chave.

  • O KME B recebe o material chave e a chave de ID gerada na rede QKD.

  • O SAE A inicia uma sessão segura com SAE B usando diretamente a mesma chave e ID chave.

  • Uma troca de mensagens estabelece uma sessão segura com o SAE B.

  • O SAE A envia o ID chave em texto simples ou criptografado para a chave quântica correspondente que é usada para proteger a sessão com SAE B.

  • Assim que o SAE B recebe o ID chave, o SAE B entra em contato com o KME B através da chave Get com IDs API para obter a chave quântica correspondente para a ID chave e ID sae alvo ou SAE A.

  • Após o SAE B receber a chave, uma sessão totalmente protegida por quantum estabelece entre SAE A e SAE B.