Шифруется ethernet или ip-пакеты? Судя по ссылкам везде приводится ip

Для отладки может быть и подойдет, а для готового устройства нет, ибо нету тама писиая.





Да пока мест изучаю, задания нету еще. Может и не будет.
Знаю только, что модуль шифрования нужен и я делал платку на готовом чипе, но вчера производитель чипа "порадовал" тем, что снимает его с производства и прекращает всяческую поддержку. Потому и задался вопросом, что придется делать в плисе, а если делать, то соответственно гостовский.





Пока еще не знаю. Данный модуль будет встроен в маршрутизатор, так что вполне возможны разные варианты.

Ответ выделил жирным текстом

или Вам обычный PCI нужен?

у меня в обще нет ни PCI, ни PCI Express.
Этот модуль будет использоваться в составе маршрутизатора(не в ПК), в маршрутизаторе есть процессор, но с ним связь только через MDIO.
Если на этот модуль ставить дополнительный процессор, то наверное, весь смысл теряется. Проще тогда поставить процессор и на нем все делать.

а точно нужно Езернет шифровать? Насколько я понимаю, в наше время езернет в открытом виде уже по всем точкам подключения не ходит, а присутствует только в свичах. Хабы уже не делают. Кроме того, у всех пользователей должен быть один и тот же ключ, что существенно ослабляет схему.
А для шифрования точка-точка лучше что-то стандартизованное использовать. Какой-нибудь ipsec, skip... Это поверх ip, но зато специфицированно.

Вопрос, если шифровать IP-пакеты. Из Ethernet кадра вытаскиваем IP-пакет, шифруем, затем нужно ли его заново упаковывать в IP-пакет, ведь он станет больше по размеру или же можно сформировать обычный Ethernet-кадр?

Или же потрошим не только Ethernet-кадр, но и IP-пакет, данные IP-пакета шифруем, собираем новый IP-пакет и передаем?

Или все это должно задаваться на уровне ТЗ?

Ммм... Вы уверены?

А что не так?

Вроде бы наоборот надо.

Хм, я могу ошибаться, но разве формат кадров не такой?



т.е IP-пакет, внутри Ethernet-кадра.

Да. Пора спать. Сорри.
Вообще, обычно пересобирают IP-пакеты.

Ничего, бывает. У меня самого голова раскалывается, тоже пойду на боковую.

Мне кажется всё зависит от того, где стоит дешифратор. Если дешифратор в локальной сети, то до него дойдёт и RAW Ethernet frame, а если он где нибудь в Америке, то через кучу маршрутизаторов без IP не продраться.

ок, надо будет подумать.

Лучше шифровать IP-пакет целиком, так скрывается структура защищаемой сети. Также нужно обязательно формировать новый IP-заголовок, причину выше описали. Дополнительно можно предусмотреть имитозащиту передаваемых данных/служебных данных (+имитовставка(и)). Так как пакеты становятся больше, их при превышении MTU нужно фрагментировать. Можно еще ограничить MTU защищаемой сети с таким расчетом, чтобы размер зашифрованных пакетов не превышал MTU.

В любом случае нужно начать с ТЗ - согласовать с организацией, которая будет сертифицировать устройство, ключевую систему, основные алгоритмы, дополнительные средства защиты и т.п. Иначе в процессе сертификации могут возникнуть непреодолимые без переделки железа проблемы.

Кстати, ГОСТ уже далеко не передний край отечественной науки и имеет некоторые ограничения при применении, а в некоторых случаях вовсе неприменим. Самое смешное, что достойной альтернативы ему нет. Алгоритмы-то есть, но они либо закрыты, либо гораздо медленнее при реализации на текущем железе, либо и то и другое вместе.