IPsec取代SSL 解讀IPsec有哪些技術優勢
隨著證書頒發機構出現了一些數據泄露的問題,SSL(安全套接字層)遭遇了圍攻,那是不是該輪到競爭對手協議IPsec登場了呢?出于安全考慮,一些企業開始重新考慮IPsec,但與SSL一樣,IPsec同樣依賴于一個有缺陷的信任模式。
IPsec有一些關鍵功能,例如支持各種算法和應用程序(包括VoIP),并且提供數據包檢查功能。但是作為VPN協議,IPsec并沒有真正火過,這主要源自對其客戶端因素的擔憂以及比SSL具有更高的維護管理成本。即便如此,一些企業開始重新考慮IPsec,并將其與SSL一起運用,以加強安全性。
“我們看到很多人開始轉向IPsec,他們看到了IPsec的利與弊,”Americas公司NCP Engineering首席技術官Rainer Enders表示,該公司同時銷售SSL和IPsec產品。“IPsec是一套非常強大的協議。對于真正高安全的應用程序,IPsec更加有用。IPsec通過其作為安全協議的設計提供了更高的安全性,不是通過加密類型,而是通過部署。”
Enders表示IPsec實際上要比SSL更加安全,部分原因是因為很多SSL部署仍然運行其較舊的TLS協議。IPsec的密鑰交換協議更加安全,“從安全技術角度來看,IPsec的確更加安全。”
但不要這么快下結論,安全專家指出,IPsec依賴于與SSL相同的信任模式,而這個信任模式已經崩潰了。
“我認為IPsec是一個完美的協議,但是我認為我們需要想辦法避開一些問題,”安全專家Taher Elgamal表示,“如果我們使用IPsec,我們仍然需要使用一些公鑰基礎設施。所以如果我們不能解決這個實際問題,也就是客戶端如何信任服務器證書的問題,那么IPsec將出現與SSL同樣的問題。仍然會出現流氓證書機構,仍然會有MD5問題。”
安全專家DanKaminsky同意這個觀點,“SSL被破壞了,IPsec將無法修復它,”Kaminsky表示,“只有當我們修復了SSL,才能夠重新考慮IPsec。”
Kaminsky表示,根本的問題在于協議和加密。密鑰管理問題同時困擾著SSL和IPsec:“IPsec和SSL具有完全相同的密鑰管理問題,甚至還多了兩個問題,首先,你需要讓協議通過NAT(網絡地址轉換)和防火墻。第二,進行加密工作的內核和與用戶通信的應用程序完全無法好好工作。”
內核并不知道找誰驗證信任,應用程序不知道如何向用戶顯示信任,他表示,“IPsec的優勢并不在于它是一個更好的協議,而是在于在沒有應用程序集成的情況下,你仍然可以進行加密。不過,你需要非常強大的密鑰管理系統,所以內核本身知道該對什么進行加密。”
真實性和保密性是所有加密系統的關鍵要素,Fidelis Security Systems公司研究和服務總監WillIrace表示,“信任模式出現的問題在驗證與你通話的人是否是他們自己所聲稱的人。”而IPsec和SSL都依賴于這種有缺陷的信任模式。
解決證書頒發機構(CA)基礎設施的問題并不簡單。Moxie Marlinspike開發出一種名為Convergence的web身份驗證模式,使用了公證人作為身份驗證的依據。每個人都可以選擇公證人,但是公證人主要還是由安全公司和web驗證專家組成,公證人將創建網站的SSL證書歷史記錄,并對其一致性進行評級。用戶決定是否信任一個網站,而不是依賴瀏覽器來做判斷。
IPsec是否會崛起?“IPsec的優勢在于它內置了IPv6,”Fidelis高級安全威脅研究員Ben Greenbag表示,“當企業碰到IPv6機制時,他們已經有了內置IPv6,可以將其用于保護內部通信。”
Kaminsky表示,DNSSEC也將給IPsec助一把力。“最終DNSSEC將是很多密鑰管理問題的解決答案,并且它將重振IPsec。”
【編輯推薦】
