Hoe werkt fiber tapping?
Een glasvezelkabel transporteert data als lichtpulsen. Om die data af te tappen hoef je de kabel niet door te snijden. Door de vezel licht te buigen, ontsnappen fotonen uit de kern. Een fotodetector gekoppeld aan die bocht vangt dat licht op en kan het signaal reconstrueren.
De aanval is passief. Er is geen elektrische verbinding nodig, er is geen signaalverstoring, en in de meeste gevallen zijn er geen alarmen die afgaan in het netwerk. De datacommunicatie loopt gewoon door terwijl de data wordt gelezen.
De fysieke toegang die daarvoor nodig is, is beperkt. Een kabelgoot in een parkeergarage, een technische ruimte in een kantoorpand of een straatkast in de openbare ruimte zijn in de praktijk toegankelijker dan organisaties denken.
Waar loopt darkfiber door?
Darkfiber wordt aangelegd langs bestaande infrastructuur. Dat betekent in de praktijk: kabelgoten onder publieke wegen, in gedeelde technische ruimtes van gebouwen, door parkeergarages onder stadscentra, en langs andere aanwezige leidingwerk in tunnels en spoorbaantunnels.
Die routes zijn bepaald door wat haalbaar was tijdens de aanleg, niet door beveiligingsoverwegingen. Op een traject van tien kilometer tussen twee datacenters zijn er tientallen punten waar de kabel fysiek toegankelijk is voor iemand met de juiste gereedschappen en wat tijd.
Wat is laag 1-encryptie?
Netwerkcommunicatie wordt beschermd op verschillende lagen van het OSI-model. TLS versleutelt op de applicatielaag. MACsec werkt op laag 2. IPsec op laag 3. Al deze methoden versleutelen het datapakket, maar het optische signaal zelf, de lichtpulsen in de glasvezel, blijft onversleuteld.
Laag 1-encryptie, ook wel Optical Layer Encryption (OLE) of Physical Layer Encryption (PLE) genoemd, versleutelt het lichtsignaal vóórdat het de apparatuur verlaat. De encryptie vindt plaats in het transport-apparaat zelf, op het niveau van het optische frame. Wat over de darkfiber gaat, is van het begin tot het einde versleuteld licht.
Een aanvaller die de vezel aftapt, vangt versleuteld licht op. Zonder de sleutel is het signaal niet te reconstrueren.
Wat is het verschil met encryptie op hogere lagen?
Hogere lagen beschermen de data, maar niet de transportlaag zelf. Metadata over de communicatie, zoals het feit dat er wordt gecommuniceerd, de omvang van de datastromen en het tijdpatroon, is nog steeds zichtbaar voor iemand die het signaal onderschept.
L1-encryptie verhult de transportlaag volledig. Er is geen zichtbare structuur in het onderschepte signaal. Dat maakt het ook bestand tegen aanvallen die later, met toekomstige rekenkracht, proberen historisch onderschepte data te ontsleutelen, ook wel bekend als harvest now, decrypt later.
Latency en performance
Een veelgehoord bezwaar tegen L1-encryptie is de impact op latency. In de praktijk voegen moderne L1-encryptie-apparaten minder dan één microseconde latency toe. Voor de meeste toepassingen is dat verwaarloosbaar. De encryptie en decryptie vinden plaats in dedicated hardware op lijnsnelheid, zonder dat de doorvoercapaciteit wordt beperkt.
Wanneer is L1-encryptie relevant?
L1-encryptie is relevant voor elke verbinding over darkfiber waarbij de vertrouwelijkheid van de data niet uitsluitend mag afhangen van de beveiliging van hogere lagen. Dat geldt voor verbindingen tussen datacenters, campus-verbindingen over gehuurde darkfiber, en interconnecties tussen locaties van organisaties die werken met gevoelige data.
Regelgeving zoals NIS2 en sectorspecifieke normen voor financiële instellingen en zorgorganisaties stellen toenemend eisen aan encryptie in transit. L1-encryptie kan deel uitmaken van een aantoonbaar beveiligde transportlaag.
PacketLight Networks en Smartoptics zijn voorbeelden van vendors die L1-encryptie integreren in hun optische
transport-hardware.
