Data Fellows p°inßÜφ silnΘ Üifrovßnφ do virtußlnφch soukrom²ch sφtφ

Tento Φlßnek je p°etiÜt∞n z e-Bulletinu ze dne 7. dubna, 1997, vydßnφ skupiny PatriciaSeybold Group’s InternetovskΘ nßstroje a technologickΘ slu₧by ╚lßnek je zde reprodukovßn v takovΘ form∞, v jakΘ byl p∙vodn∞ poublikovßn.

© 1997 Patricia Seybold Group, 85 Devonshire Street, 5thFloor, Boston Massachusetts 02109-3504. Telephone 617.742.5200, Fax 617.742.1028,Internet: http://webtools.psgroup.com.Reprodukce Φßsti i celku je zakßzßna. Chcete-li cokoliv znovu publikovat, volejte l617.742.5200.

e-Bulletin
7. duben 1997

Data Fellows p°inßÜφ silnΘ Üifrovßnφ do virtußlnφch soukrom²ch sφtφ Finskß spoleΦnost demonstruje poÜetilost US politiky
napsal Michael Goulde
Pot°eba: SilnΘ Üifrovßnφ pro globßlnφ virtußlnφ sφt∞	Se zm∞nou infrastruktury Internetu sm∞rem k robustnosti, spolehlivosti a velikosti kapacity, stßvß se Internet stßle atraktivn∞jÜφ jako dopln∞k nebo dokonce nßhrada za drahΘ soukromΘ sφt∞. V minulosti byly hlavnφmi dv∞ma skuteΦnostmi, kterΘ odrazovaly klienty od pou₧itφ Internetu pro komunikaci s kritick²mi daty, nedostatek jeho spolehlivosti a obavy o jeho zabezpeΦenφ. Nechßme-li otßzku bezpeΦnosti jeÜt∞ na chvφli stranou, standardnφ p°φstup pro zabezpeΦenφ Internetu pro tajnß data spoleΦnostφ p°edstavuje pou₧itφ kombinace Üifrovßnφ s ve°ejn²mi klφΦi a soukrom²mi klφΦi pro autentizaci uzl∙ se zaÜifrovßnφm dat p°ed jejich odeslßnφm do sφt∞ a jejich nßsledn²m deÜifrovßnφm na druhΘm konci. Obvykle platφ, ₧e, Φφm siln∞jÜφ je Üifra, tφm bezpeΦn∞jÜφ jsou data. US ITAR exportnφ omezenφ, kterß jsou platnß pro export technologie siln²ch Üifer pro Üifrovßnφ dat (ne autentizace) omezuje poΦet bit∙ klφΦ∙, kterΘ mohou b²t exportovßny v rßmci produkt∙ vyroben²ch v US. AΦkoliv US obchodnφci nejsou omezeni t∞mito omezenφmi u sv²ch produkt∙, jestli₧e je prodßvajφ v US, stejn² stupe≥ Üifrovßnφ nem∙₧e b²t zahrnut do produkt∙ prodßvan²ch do zahraniΦφ. To znamenß, ₧e n∞jakΘ mφsto v USA, kterΘ mß komunikovat s mφstem n∞kde za mo°em, musφ pou₧φt mΘn∞ bezpeΦn² algoritmus, jestli₧e vyu₧φvß US podporovan² Virtual Private Network produkt, i kdy₧ tento produkt je k dispozici se siln∞jÜφ Üifrou. V∞tÜina US obchodnφk∙ je omezena na 40 bit∙ pro export, aΦkoliv n∞kolik z nich nynφ zφskalo povolenφ exportovat a₧ 56-bit∙ dlouhΘ klφΦe. Je rozumnΘ oΦekßvat, ₧e US spoleΦnostic se zßmo°sk²mi kancelß°emi a zßmo°sk²mi obchodnφmi partnery by m∞ly b²t schopny vytvo°it si bezpeΦnou virtußlnφ soukromou sφ¥ pomocφ nejbezpeΦn∞jÜφ dostupnΘ technologie. P°i dan²ch US exportnφch omezenφch, musφ zakoupit technologii od zßmo°skΘho obchodnφka, aby dostali 128-bit∙ dlouhΘ nebo jeÜt∞ delÜφ klφΦe. NeameriΦtφ obchodnφci nejsou niΦφm omezeni v tom, co mohou importovat, tak₧e US firma m∙₧e koupit cizφ produkt pro svΘ US a zßmo°skΘ kancelß°e a obchodnφ partnery a m∙₧e mφt silnΘ Üifrovßnφ po celΘ svΘ globßlnφ virtußlnφ soukromΘ sφti.
Data Fellows F-Secure VPN je nynφ globßln∞ k dispozici	Jednφm takov²m produktem, kter² je dostupn² na globßlnφm zßklad∞, je F-Secure VPN od spoleΦnosti Data Fellows se sφdlem v Espoo, Finsko, a s US kancelß°emi v San Jose, California. Data Fellows takΘ distribuuje svΘ produkty po celΘ Evrop∞ a mß svΘ partnery v mnoha asijsk²ch a africk²ch zemφch. Produkt spoleΦnosti Data Fellows se jmenuje F-Secure Virtual Private Network (VPN). VPN je Üifrovacφ router, kter² vyu₧φvß RSA Üifrovßnφ s ve°ejn²mi klφΦi pro autentizaci (u₧ivatelem nastavitelnΘ pro jakoukoliv dΘlku klφΦe, kterou RSA p°ipouÜtφ, co₧ m∙₧e b²t vφce nebo mΘn∞ ne₧ 1024) a symetrickΘho Üifrovßnφ s dΘlkou klφΦe mezi 128-bity a 168-bity pro tok dat. (P°ednostφ symetrickΘho Üifrovßnφ oproti systΘm∙m s ve°ejn²mi klφΦi je rychlost Üifrovßnφ. P°ednostφ systΘm∙ s ve°ejn²mi klφΦi oproti symetrickΘmu Üifrovßnφ pro autentizaci je snadnost distribuce klφΦ∙.) SkuteΦnß dΘlka klφΦe je zalo₧ena na tom, jak se dohodnou sousednφ VPN routery. VPN m∙₧e takΘ pou₧φvat triple DES, Blowfish, IDEA nebo DES Üifrovacφ algoritmy; rozhodnutφ je provedeno b∞hem konfigurace v dob∞ instalace. Definujete si prioritu algoritm∙ pro pou₧φvßnφ a pak je dohodnuto pou₧φvßnφ sprßvnΘho algoritmu. Pakety jsou souΦasn∞ se Üifrovßnφm zkomprimovßny, co₧ pomßhß zajistit v²kon v celΘ VPN.
Funkce navr₧enΘ pro snadnΘ pou₧φvßnφ a bezpeΦnost	èifrovßnφ je provßd∞no v software VPN routeru, kter² m∙₧e b²t nainstalovßn na virtußln∞ jakΘmkoliv standardnφm Intel Pentium PC. PoΦφtaΦe mohou b²t nastaveny jako "dual homed hosts" (dva NIC) a pou₧ity jako firewally, pokud je to ₧ßdoucφ, ale nenφ to vy₧adovßno, jestli₧e zde ji₧ n∞jak² firewall existuje. VPN by mohlo b²t pou₧ito bez firewallu, ale to nenφ rozumnΘ a nedoporuΦujeme Vßm to. Software je distribuovßn na CD ROM, kter² je pou₧it pro vytvo°enφ boot diskety pomocφ Windows NT nebo Windows 95 systΘmu pro definici konfigurace. Jakmile je nainstalovßn, VPN router je v podstat∞ Φernou sk°φnkou s ₧ßdn²m p°φstupem zvenΦφ. VPN software b∞₧φ ve verzi NetBSD Unix, kterß byla oΦesßna a₧ na svΘ zßklady. To odliÜuje produkt spoleΦnosti Data Fellows od jin²ch tunelujφcφch produkt∙, kterΘ b∞₧φ na vrcholov∞ nebo pln∞ funkΦnφm Unix nebo Windows NT systΘmu. Proto₧e obchodnφci podnikli opat°enφ, aby zajistili svΘ tunely, je zde velkΘ riziko poruÜenφ bezpeΦnosti, jestli₧e existuje n∞jak² operaΦnφ systΘm jako zßklad, kter² je nßchyln² k potencißlnφmu naruÜenφ. Obchodnφci budou v tomto bod∞ argumentovat, ale skuteΦnost je takovß, ₧e Φφm mΘn∞ je zde operaΦnφho systΘmu, tφm mΘn∞ je zde mo₧nostφ pro hackery. F-Secure VPN routery mohou b²t nastaveny tak, ₧e budou m∞nit klφΦe sezneφ ka₧dou hodinu, a tφm je budou Φinit jeÜt∞ neproniknuteln∞jÜφmi pro hackery. Vyu₧itφ SSH 2.0 pro autentizaci umo₧≥uje produktu F-Secure vyu₧φvat distribuovan² p°φstup ke sprßv∞ klφΦ∙. Ka₧d² router si uklßdß sßm ve°ejnΘ klφΦe pro svΘ sousednφ routery, a nenφ pou₧φvßn centrßlnφ depozitß° klφΦ∙ pro ulo₧enφ vÜech klφΦ∙. Tφmto zp∙sobem zde neexistuje jeden bod, jeho₧ selhßnφ by mohlo vΘst k selhßnφ celΘ virtußlnφ soukromΘ sφt∞.
Opat°enφ pro snadnou dostupnost	Podobn∞ m∙₧e b²t na ka₧dΘ sφti nastaveno vφce VPN s routing sadou, tak₧e jestli₧e sel₧e jeden router, Üifrovßnφ sφt∞ m∙₧e stßle pokraΦovat dßl, proto₧e je zde sekundßrnφ router. Tento p°φstup m∙₧e b²t takΘ pou₧it k poskytnutφ Üifrovßnφ ve v∞tÜφ mφ°e, aΦkoliv slabinou v²konu Üifrovßnφ v t∞chto prost°edφch je mnohem pravd∞podobn∞ji sama sφ¥, a nikoliv Üifrovacφ motor.
Navr₧en² tak, aby byl otev°en² a snadno integrovateln²	F-Secure je nezßvisl² na firewalu a routeru. V mal²ch sφtφch m∙₧e jednoduÜe nahradit firewall nebo router. To je v kontrastu s tunelov²mi produkty prodßvan²mi jako dodatek Φi vylepÜenφ mnoh²mi obchodnφky s routery a firewally. S t∞mito produkty, jako jsou produkty spoleΦnostφ Raptor, TIS nebo Compatible Systems, musφte pou₧φvat v₧dy p°φsluÜn² firewall nebo router na ka₧dΘ pozici. To m∙₧e fungovat, jestli₧e mßte jen to svΘ mφsto, ale jestli₧e stavφte bezpeΦnß spojenφ s obchodnφmi partnery, je obtφ₧nΘ diktovat jim, jak² firewall nebo router majφ pou₧φvat. F-Secure je v tomto sm∞ru velmi otev°en².
Plßnovanß vylepÜenφ do budoucnosti	SpoleΦnost Data Fellows pracuje na n∞kolika vylepÜenφch produktu F-Secure VPN. V souΦasnosti zde nenφ podpora mobilnφm u₧ivatel∙m ani individußlnφ p°φstup na dßlku. Produkt F-Secure SSH spoleΦnosti Data Fellows m∙₧e b²t pou₧it pro zabezpeΦenφ dßlkovΘho p°φstupu z jakΘhokoliv Windows, Macintosh nebo Unix poΦφtaΦe. Produkt VPN je primßrn∞ zam∞°en na tunelovßnφ router-router. SpoleΦnost pracuje na implementaci podpory dßlkovΘho spojenφ samostatn∞ stojφcφch VPN. Jakmile budou dokonΦeny specifikace pro S/WAN, Φßst IETF IPsec specifikacφ pro bezpeΦn² transport in Wide Area, zvlßÜt∞ a₧ bude dokonΦena Φßst specifikacφ detailn∞ se zab²vajφcφ dohadovßnφm o klφΦφch, spoleΦnost Data Fellows bude implementovat tyto IPsec specifikace jako p°φdavek ke svΘmu SSH protokolu. Do budoucnosti se takΘ plßnuje uvoln∞nφ podpory pro X.509 certifikßty. AvÜak, proto₧e je mnohem pravd∞podobn∞jÜφ, ₧e certifikßty budou hrßt d∙le₧itou roli, kdy₧ nebude znßma druhß strana, nevidφme toto jako hlavnφ po₧adavek pro autentizaci typu router-router. NicmΘn∞ spoleΦnost Data Fellows plßnuje podporovat certifikßty a certifikaΦnφ ·°ady a b²t tak na tuto situaci p°ipravena.
Ceny	Ceny produktu F-Secure VPN jsou vytvo°eny na jeden router s neomezen²mi spojenφmi. Digitßlnφ AltaVista Tunnel, naproti tomu, mß r∙znΘ sady cen zalo₧en²ch na poΦtu podporovan²ch spojenφ. Cena VPN pro dva routery je $4,995. Cenov² rozsah je a₧ $10,435 pro p∞t router∙ a $1,450 pro ka₧d² router nad p∞t. Ve srovnßnφ s AltaVista Workgroup XL tunnel o cen∞ $2,495 za server schopn² podpory 512 spojenφ. Produkty spoleΦnosti Data Fellows jsou cenov∞ mnohem efektivn∞jÜφ, jestli₧e jsou stav∞ny velkΘ virtußlnφ soukromΘ sφt∞.
Zßv∞ry	Dokud a pokud US vlßda nevzdß pokus °φdit a kontrolovat Üifrovßnφ dat, trh bude Üiroce otev°en² pro neamerickΘ poskytovatele. Produkt VPN spoleΦnosti Data Fellows VPN mß vÜechny komponenty, nutnΘ k tomu, aby byl atraktivnφ a snadno p°ijateln², nejen pro distribuovanß mφsta v rßmci spoleΦnosti, ale takΘ pro obchodnφ partnery, stejn∞ jako pro Φßst tvorby extranet∙.

Kontakty: Data Fellows Inc. (US) Petri Laakkonen 675 N. First Street, Suite 605 San Jose, CA 95112 Tel (408) 938 6700 Fax (408) 938 6701 f-secure-sales@datafellows.com Data Fellows Ltd (HQ) Paivantaite 8 FIN-02210 ESPOO, FINLAND Tel +358 9 478 444 Fax +358 9 478 445 99 Ve Finskud: Tel: (09) 478 444 Fax: (09) 478 445 99 http://www.datafellows.com