Sicurezza a livello di trasporto

Limiti dell'IPSEC

La mancanza di concorrenza, combinata con i requisiti di copia della memoria, le operazioni crittografiche in linea e gli attraversamenti multipli del livello di rete sono la causa delle scarse prestazioni.

Il problema maggiore è la latenza introdotta dagli ulteriori accessi casuali alla memoria inline di ogni pacchetto da processare.

Una soluzione transport level ha performance migliori di IPSec. Il layering permette a un flusso TLS di attraversare lo stack di rete mentre sfrutta il vantaggio di ottimizzazioni HW e kernel.

SSL

In un ecommerce senza nessuna misura di sicurezza, Bob potrebbe avere dei problemi:

• Senza la confidenzialità: un avversario potrebbe intercettare le informazioni della carta di credito di Bob e fare acquisti a spese di Bob.
• Senza data integrity: l'avversario può modificare l'ordine di Bob.
• Senza server authentication: un server può impersonare il server originale, e quindi dopo aver ricevuto l'ordine di Bob, il server malevolo può rubare soldi a Bob o creare un'identità falsa sfruttando i dati personali di Bob.

SSL risolve questi problemi usando TCP con:

• Confidenzialità
• Data integrity
• Server authentication
• Client authentication

Fornisce un semplice API con socket, simile a TCP. Tecnicamente SSL risiede nell'application layer, però dal punto di vista dello sviluppatore si trova al livello trasporto, siccome fornisce servizi TCP con servizi di sicurezza.

Componenti di SSL

SSL è composto da due fasi:

1. SSL Handshake - è lo schema usato per stabilire un canale sicuro, affidabile e autenticato tra client e server.
2. SSL Record - protocolli che incapsulano i messaggi in blocchi cifrati e autenticati.