Criptografia de fluxo oportunística entre planos de dados programáveis por meio de sinalização em banda
Criptografia; troca de chaves criptográficas; redes definidas por software; AES; P4.
O paradigma de Redes Definidas por Software (SDN, do inglês Software-Defined Networking) tem sido amplamente empregado em diversos ecossistemas para gerenciar domínios administrativos heterogêneos, estender recursos programáveis para redes intra-domínio ou mesmo compor arquiteturas de rede nativas da nuvem. Por outro lado, embora possa oferecer suporte à capacidade das redes de próxima geração de se adaptarem a novos protocolos, SDN aumenta o escopo dos vetores de ataque à rede, resultando em vários problemas de segurança. Desse ponto de vista, as aplicações de controle executadas sob o controlador SDN são responsáveis por estabelecer conexões seguras entre os pares de nós subjacentes. A troca segura de chaves criptográficas, de forma que dois nós interconectados possam se comunicar com segurança em um canal público, representa um desafio bem conhecido em sistemas de criptografia simétrica. O Diffie–Hellman (DH) e o Advanced Encryption Standard (AES) são soluções amplamente adotadas para troca de chaves criptográficas e encriptação de tráfego entre nós em uma rede não confiável. No entanto, as implementações criptográficas tradicionais impõem altos custos computacionais e riscos de gerenciamento de chaves, o que pode resultar em problemas no plano de controle centralizado da rede SDN. Em vista disso, este trabalho explora o paradigma de Processadores de Pacotes Independentes de Protocolo de Programação (P4, do inglês Programming Protocol-independent Packet Processors) e propõe o dh-aes-p4, a primeira solução de troca de chaves DH com o AES adaptada para dispositivos de rede baseados em P4. Apesar de existirem casos similares na literatura, este trabalho apresenta-se como uma nova alternativa de baixo custo, granular (baseada em fluxos de rede) e transparente.