Zukunft oder Realität? Verschlüsselte High Speed Übertragung

Zukunft oder Realität?
Verschlüsselte High Speed Übertragung
zwischen Data Center mit 100Gbit/s
Baden, 25. März 2014
Martin Stengel, CTO dacoso GmbH
AGENDA
Agenda
Data Center werden zu Kommunikationscenter
Sicherheit:
warum?
was ist wirklich sicher?
Verschlüsselung
wer?
wo?
wie?
Anforderungen?
Lösungen?
dacoso 2014
2
www.dacoso.com
Data Center werden zu Kommunikationszentren
Markt im Wandel
Rechenzentren im Wandel
• Zentralisierung, Konsolidierung und
Virtualisierung setzen sich in der IT durch
• Verfügbarkeitsanforderungen steigen auf 100%
• Auslastung der Data Center steigt
• Private und Hybrid Clouds erhöhen die Effektivität
und Skalierbarkeit
• Anforderungen an die Sicherheit
steigen enorm
• Outtasking treibt den Markt für Infrastructure
as a Service (IaaS)
Data Center sind keine „Stand alone“-Objekte, sondern müssen eng miteinander agieren, mit Clouds
kommunizieren und sich jederzeit ersetzen können – unabhängig von Distanzen.
Moderne Data Center integrieren IT und Connectivity
dacoso 2014
3
www.dacoso.com
Data Center werden zu Kommunikationszentren
Markt im Wandel
Rechenzentren und Globaler Datenverkehr im Wandel
Globale Vernetzung über DWDM – Glasfasernetze
„Globales Netz/Internetknoten, Google, Facebook, Amazon, Clouds (private/public)
Services on Demand (SAP, Backups ….)
Internet traffic 2015: Zettabyte (ZB)1021 Byte = 1.000.000.000.000.000.000.000 Byte
dacoso 2014
4
www.dacoso.com
Top Thema: Was ist sicher?
Sicher sind Glasfaser und DWDM NICHT!
Abhören ein „Kinderspiel“
Google erkennt Lauschangriff auf eigene und gemietete Glasfaser
durch NSA und schickt der NSA ein „Fuck you“
Mittlerweile haben auch Google-Ingenieure bestätigt, dass die veröffentlichten Unterlagen Datenstrukturen
zeigen, die tatsächlich nur in der Kommunikation zwischen Googles Rechenzentren genutzt und öffentlich
nicht dokumentiert wurden. Konkret erkennt Mike Hearn den Verkehr zur Replizierung von Datenbanken
wieder, die zu einem Anti-Hacking-System gehören, das er entworfen hat. Er kommentiert die Lauschaktion
mit einem deftigen "Fuck You" – gerichtet an diejenigen, die diese Grafiken erstellt haben.
Das bestätigt die Behauptung, dass die Geheimdienste wohl an den Glasfaserkabeln zwischen den über viele
Länder verteilten Rechenzentren der Google Cloud gelauscht haben. Diese Kommunikation erfolgte jedoch
nicht über öffentliche Internet-Infrastruktur sondern über Google-eigene oder zumindest angemietete
Glasfaserleitungen (Dark Fiber). Das war auch der Grund, warum die Verschlüsselung dieser
Kommunikation bisher keine hohe Priorität hatte. Dies hat sich mittlerweile geändert. Laut Hearn werden
diese Daten mittlerweile alle verschlüsselt übertragen.
Zitat Mr. Obama:
evtl. schränken wir die Wirtschaftsspionage ein…
also nicht nur China, Russland….
dacoso 2014
5
www.dacoso.com
Top Thema : Sicherheit
Markt im Wandel
Abhören ein „Kinderspiel“
“For both public and private networks, optical taps and
analytic devices are required and inexpensive
maintenance equipment in common use worldwide
today. Various types of optical taps, however, both offthe-shelf and customized, are also used for corporate
espionage, government espionage, network disruption
and other potential terrorist-type activities…”
Security Strategies Alert, M.E. Kabay
March 2003
dacoso 2014
6
www.dacoso.com
Sicherheit im Data Center
Sicherheit und Schutz der Daten im Data Center
Interne Sicherheit - Schutz
•
Höchste physikalische Sicherheit / Gebäude-Schutz / Kameraüberwachung u.v.m.
•
Vor Ort Sicherheitspersonal
•
Strenge Kontrollen und Reglementierte Zutrittsmöglichkeiten (Finger Print, Eye Scan)
•
Zutritt nur für sicherheitsüberprüftes Personal
•
Redundante Infrastruktur und Brandschutzabschnitte inklusive Brandschutz
•
Redundante Elektrische Versorgung inklusive Notstromversorgung
dacoso 2014
7
www.dacoso.com
Sicherheit zwischen Data Center
Sicherheit und Schutz der Daten zwischen den Data Center
Was ist mit der Sicherheit zwischen den Data Center?
Backup Data Center
Main Data Center
Was ist mit dem Schutz der Daten zwischen den beiden oder mehreren
Rechenzentren?
dacoso 2014
8
www.dacoso.com
Es gibt viele Möglichkeiten….
um Daten abzuhören
Abhörmöglichkeiten
Where ?
to get access
Street cabinet
Splice boxes / cassettes
(Outdoor / Inhouse)
Y-Bridge for
service activities
How ?
to get access
Coupling device
Es gibt viele Möglichkeiten und Wege an ungesicherte Daten heranzukommen
dacoso 2014
9
www.dacoso.com
Sicherheit: Es gibt EINE Möglichkeit!
Verschlüsselung aller Daten
Verschlüsselung aller Daten
Es gibt nur eine Möglichkeit die Daten zu schützen
mittels einer Verschlüsselung
mittels einer „geeigneten“ Verschlüsselung
dazu gleich mehr….
Seit wann gibt es eigentlich Verschlüsselung?
Wer? Wo ? Wie?
dacoso 2014
10
www.dacoso.com
Verschlüsselung vor über 2000 Jahren
schon immer ein Top Thema auch schon für Julius Cäsar
Verschlüsselung vor über 2000 Jahren…..
Ein großer Feldherr wusste schon
vor über 2000 Jahren das man nur
erfolgreich sein kann
wenn
„wichtige Informationen“ (Daten)
sicher sind!
dacoso 2014
11
www.dacoso.com
Verschlüsselung: Erste Ansätze - Lösungen
schon immer ein Top Thema
Verschlüsselung vor über 2000 Jahren…..
Schon Julius Cäsar stand vor dem Problem, wichtige Nachrichten vor allzu neugierigen Blicken
schützen zu müssen.
Um Nachrichten nicht selbst zu überbringen, benutzte er ein Verschlüsselungssystem. Er
verschob alle Buchstaben in seiner Nachricht einfach um drei Stellen im Alphabet nach
hinten. So schrieb er statt einem A ein D, statt einem B ein E - und so weiter. Auf diese Weise
konnten die Nachrichten, die Cäsar verschickte, von einem Boten zwar gelesen, jedoch
aufgrund der Verschlüsselung nicht verstanden werden. Der Empfänger wusste natürlich,
wie diese Nachrichten verschlüsselt waren und musste zur Entschlüsselung einfach nur wieder
die Buchstaben um drei Stellen zurückversetzen, um den Inhalt der Botschaft lesen zu können.
War diese Art der Verschlüsselung für damalige Verhältnisse ausreichend sicher, so würde sie heutzutage ein
Dechiffrier-Programm vor keine nennenswerte Aufgabe stellen. Der größte Nachteil an dieser einfachen
Methode ist das dabei angewandte, symmetrische Verfahren. Zum Verschlüsseln und Entziffern wird der gleiche
Schlüssel benutzt.
dacoso 2014
12
www.dacoso.com
Verschlüsselung vor 75 Jahren
schon immer wichtig gewesen
Verschlüsselung vor 75 Jahren
Die ENIGMA (αίνιγμα ainigma „ Rätsel“ ist eine Rotor
Schlüsselmaschine die im Zweitem Weltkrieg zur
Verschlüsselung des Nachrichtenverkehrs des deutschen Militärs
verwendet wurde. Auch andere Dienste, setzten diese ein. Trotz
mannigfaltiger Verbesserungen der Verschlüsselungsqualität der
Maschine vor und während des Krieges, gelang es den Alliierten
mit hohem Aufwand zur Entzifferung die deutschen Funksprüche
nahezu kontinuierlich zu brechen.
dacoso 2014
13
www.dacoso.com
Verschlüsselung vor 75 Jahren
schon immer wichtig gewesen
Verschlüsselung vor 75 Jahren
Die Größe des Schlüsselraums der ENIGMA lässt sich aus den vier einzelnen Teilschlüsseln sowie der Anzahl
der jeweils möglichen unterschiedlichen Schlüsseleinstellungen berechnen. Vier Faktoren:
a)
Die Walzenlage
Drei von fünf Walzen (I bis V) und eine von zwei Umkehrwalzen (B oder C) werden ausgewählt. Dies ergibt
2·(5·4·3) = 120 mögliche Walzenlagen (entspricht einer „Schlüssellänge“ von etwa 7 bit).
b) Die Ringstellung
Es gibt jeweils 26 verschiedene Ringstellungen (01 bis 26) für die mittlere und die rechte Walze.. Insgesamt sind
26² = 676 Ringstellungen (entspricht etwa 9 bit)
c) Walzenstellung
Es gibt für jede der drei (rotierenden) Walzen 26 Möglichkeiten, sie einzustellen (A bis Z). Die Umkehrwalze kann
nicht verstellt werden. Insgesamt sind somit 26³ = 17.576 Walzenstellungen verfügbar. Als relevant übrig bleiben
dann 26·25·26 = 16.900 Walzenstellungen (entspricht etwa 14 bit)
d) Steckerverbindungen
Es können bis zu maximal 13 Steckerverbindungen zwischen den 26 Buchstaben hergestellt werden.. Somit gibt
es für das erste Kabel 26·25 unterschiedliche Möglichkeiten, es einzustecken. Es bleiben also 26·25/2 = 325
dacoso 2014
14
www.dacoso.com
Also was ist ein sicheres Verfahren?
AES-256
Das derzeit einzig sichere Verfahren ist AES-256
Codeknacken mit brutaler Gewalt
Das momentan bedeutendste Verschlüsselungsverfahren ist der Advanced Encryption Standard
(AES).
Dessen Funktionsweise ist öffentlich bekannt. Man kann eine Verschlüsselung also lösen, indem
man alle Schlüssel durchprobiert und jeweils prüft, ob etwas Sinnvolles herauskommt.
Experten bezeichnen diese Dechiffrierungs-Methode als „Brute Force“.
Allerdings kennt der AES (in seiner einfachsten Version) nicht weniger als 3,4x1038 unterschiedliche
Schlüssel. Da wird das Durchprobieren zu einer aufwendigen Angelegenheit:
dacoso 2014
15
www.dacoso.com
Also was ist ein sicheres Verfahren?
AES-256
Das derzeit einzig sichre Verfahren ist AES-256
• Verwendet die NSA einen speziellen Computer, der 100 Milliarden Schlüssel pro Sekunde
durchprobieren kann, dann dauert das Testen aller Schlüssel etwa 3,4x1027 Sekunden.
• Besitzt die NSA nicht nur einen, sondern 100 dieser Spezialrechner, dann kann sie denselben
Vorgang in etwa 3,4x1025 Sekunden abwickeln.
• Hat die NSA großes Glück und stößt schon auf den richtigen Schlüssel, nachdem sie nur 1
Prozent aller Möglichkeiten durchprobiert hat, dann benötigt sie immer noch 3,4x1023 Sekunden.
3,4x1023 Sekunden entsprechen etwa 1016 Jahren.
Zum Vergleich: Das Alter des Universums liegt in der Größenordnung von 1010 Jahren.
Die NSA müsste also die Zeit seit dem Urknall eine Million Mal verstreichen lassen,
um zum Erfolg zu kommen – das ist nichts für Ungeduldige..
dacoso 2014
16
www.dacoso.com
Also was ist ein sicheres Verfahren?
AES-256
Das derzeit einzig sichre Verfahren ist AES-256
Mehr Strom, als sämtliche Kraftwerde der Welt produzieren
Nun kann man einwenden, dass Computer immer leistungsfähiger werden. Vielleicht wird es eines
Tages einen Computer geben, der einen AES-Schlüssel sehr viel schneller findet (und vielleicht hat
die NSA schon heute einen solchen Apparat). Doch ein derartiger Super-Rechner müsste entweder
Elektronen mit Überlichtgeschwindigkeit bewegen (das ist physikalisch nicht möglich) oder
mehr Silizium enthalten, als es im gesamten Universum gibt. Ganz abgesehen vom
Stromverbrauch, den momentan sämtliche Kraftwerke der Welt zusammen nicht annähernd
decken könnten.
dacoso 2014
17
www.dacoso.com
Anforderungen an einer Verschlüsselung für
Data Center und DWDM Infrastrukturnetze
Anforderungen
Compliance mit Standards
AES-256,
Schlüsselaustauschverfahren
Performance
niedrige Latenzzeiten (Layer 1 Lösung)
100% „throuput“ (unabhängig von Blockgrößen)
transparente Übertragung
Data Center „Ready“
Unterstützung aller Data Center und Netzprotokolle (Ethernet, FC/FICON,SDH,IB)
aller Speeds… 1G, 2G, 4G, 5G, 8G, 10G, 16G, 40G, 100G……
data center cerified für data center applications & Hersteller
Management + Kosten
Mandantenfähig, einfach, ohne zusätzliche Key Server.
Geringer Aufpreis vs unverschlüsselt
dacoso 2014
18
www.dacoso.com
Sicherheit zwischen den Data Center
mit einer sicheren Lösung DWDM Lösung
Security Paket
Physical layer
monitoring
Encryption
Security-hardened
software
Power tracking
Intrusion detection
OTDR
AES-256
Authentication
Diffie-Hellman
RADIUS
Secure Shell
SNMPv3
Eine sichere, stets überwachte, mit geringer Latenz und bester Performance Übertragung
der Daten zwischen den Data Center ist nicht nur möglich, sonderen ein MUSS!
dacoso 2014
19
www.dacoso.com
Lösung FSP3000 DWDM Plattform
Kurzübersicht
FSP3000 Enterprise optimierte Plattform
Weitere Highlights: bis 120 Wellenlängen, CWDM, Hybrid, DWDM, von 1G bis 100G, Integrierte Verschlüsselung,
verschiedene Topologien, Low Latency, Zertifiziert, Platz- und Strombedarf optimiert….
dacoso 2014
20
www.dacoso.com
Erste integrierte DWDM Layer 1 verschlüsselte
Lösung für eine Übertragung von 1G – 10G
5TCE-PCTN-10G-AES
5TCE-PCTN-10G-AES

Supports all storage apps

2GFC,4GFC,8GFC,10GFC

GbE, 10G Ethernet, 5G-IB,10G-IB
SFP

STM-16 & STM-64
SFP

Dynamic latency measurement
SFP

Constant Bit Rate multiplexing options

FEC and 1000 km reach

Tunable DWDM interfaces for up to 120 l

Low latency

mit integrierter AES Verschlüsselung ;Verfügbar seit März 2011
SFP+
FPGA
SFP
tunableLine I/F
Es wird nur ein Kartentyp benötigt der alle Services von 1G-10G unterstützt
dacoso 2014
21
www.dacoso.com
wirklich sichere Verschlüsselung…
nicht nur AES-256
5TCE-PCTN-10G-AES
dacoso 2014
22
www.dacoso.com
Erste integrierte DWDM Layer 1 verschlüsselte
Lösung für eine Übertragung von 1G – 10G
5TCE-PCTN-10G-AES
Protection Building Blocks
 Authentication via initial authentication key to
protect from “man in the middle” attacks
 AES256 encryption to offer maximum data
security
 New encryption key every 1min/10mins for
additional security
 Key lifetime configurable
 Diffie Hellman key exchange for secure
encryption key generation
 Lowest latency
dacoso 2014
23
www.dacoso.com
100G Technik
Warum?
100G Technologie
Need to balance cost, power, size with fiber capacity & reach.
dacoso 2014
24
www.dacoso.com
100G Technik: welche für was?
Comparison
Spectral efficiency
[b/s/Hz]
40G direct
detection
100G direct
detection
100G coherent
detection
0.2 (50GHz)
0.8 (50GHz)
0.5 (50GHz)
2.0 (50GHz)
3000km
1500km
500km
2500km
Cost per b/s
Reach
10G direct
detection
dacoso 2014
Only in first year
25
www.dacoso.com
Flexible Übertragung bis 100G
High End Verschlüsselung bis 100G
dacoso 2014
www.dacoso.com
Erste integrierte DWDM Layer 1 verschlüsselte
Lösung für eine Übertragung bis 100G
High End Verschlüsselung bis 100G
dacoso 2014
www.dacoso.com
noch mehr Sicherheit….
High End Verschlüsselung bis 100G
nicht ein/ausschaltbar“
Random Key Generator
auf crn.de und funkschau.de wurden neue Information zum NSA-Skandal veröffentlicht. SnowdenDokumente deuten darauf hin, dass ein möglicherweise von der NSA kompromittierter (Pseudo-)
Zufallszahlengenerator (Dual_EC_DRBG) in diversen Produkten verbaut wurde. Dies könnte
Einfluss auf die Vertraulichkeit, Authentizität und Integrität übertragener Daten haben.
Weblinks:
http://www.crn.de/security/artikel-101712-1.html
http://www.funkschau.de/telekommunikation/artikel/104831/
http://csrc.nist.gov/groups/STM/cavp/documents/drbg/drbgval.html
Dieser wird bei unserer Lösung nicht benutzt!
dacoso 2014
www.dacoso.com
Skalierbarkeit von 10G – 40G nach 100G
von 8G nach 16G
Investment Protection
High End Verschlüsselung bis 100G - Investment Protection 100GbE client connection to a 100G metro Muxponder
Fan-out
4 x 28G
cable
Line side
100GbE SR10 CFP
10TCE
2 x 40GbE (+2 x 10GbE) connection to a 100G metro Muxponder
Fan-out
4 x 28G
cable
Line side
40GbE SR4 CFP
10TCE
10 x 10GbE connection to a 100G metro Muxponder
4 x 28G
Line side
dacoso 2014
10TCE
www.dacoso.com
Management: Mandantenfähigkeit
Trennung Verschlüsselung & Betrieb
dacoso 2014
www.dacoso.com
100G Verschlüsselung: Realität oder Zukunft
100G Verschlüsselung
dacoso 2014
31
www.dacoso.com
100G Verschlüsselung: Realität oder Zukunft
100G Verschlüsselung
HEUTE
LIVE im Foyer
auf dem dacoso Stand zu sehen
dacoso 2014
32
www.dacoso.com
Danke!
dacoso GmbH
Robert-Bosch-Str. 25a
D-63225 Langen
+49 6103 404569-0
[email protected]
www.dacoso.com
Martin Stengel