El cifrado de enlace es un método de seguridad utilizado en las redes de comunicaciones para la transmisión de datos cifrados entre computadoras individuales. Con este método, los datos son encriptados y desencriptados por cada pieza de hardware a lo largo de la ruta, como enrutadores de red u otros dispositivos especializados. Cuando el enlace de comunicaciones se cifra de esta manera, toda la transmisión de datos se oculta a diferencia de otros esquemas de cifrado en los que la transmisión aún puede ser interceptada. El método también puede denominarse cifrado de nivel de enlace o cifrado de capa de enlace. Esto se debe a que todo sucede en la capa inferior del modelo de interconexión de sistemas abiertos (OSI), conocida como capa de enlace de datos.
A medida que los paquetes de datos abandonan la interfaz de red, todo el paquete, los grupos de datos enviados a través de las conexiones de red, se encripta. El cifrado de enlace es único de esta manera porque la información del encabezado del paquete, que contiene información sobre las direcciones de origen y destino, está cifrada junto con la carga útil de datos real. Luego, los paquetes seguros se envían a través de la línea hasta que encuentran otro dispositivo en el camino, momento en el que se descifra el encabezado y se verifica la información de la dirección. Si los paquetes no han llegado a su destino, se vuelven a cifrar y se envían en su camino.
Esto es útil para mantener la transmisión segura contra alguien que intente espiar la línea o capturar los paquetes para su análisis. Un atacante no puede saber de quién provienen los datos, hacia dónde se dirigen y el camino que tomó en el camino. El proceso también suele estar libre de errores humanos porque todo ocurre automáticamente, lo que evita que el usuario tenga que recordar cifrar sus comunicaciones, lo que facilita las transmisiones de datos grandes y regulares que deben ser seguras.
Hay algunas deficiencias en el enfoque. El cifrado de enlaces sufre mucho en redes públicas como Internet. Muchos de los que usan el método solo lo usarán en líneas dedicadas y arrendadas, donde se puede lograr un mayor control sobre el hardware a lo largo del camino. Esto también significa que las claves utilizadas para cifrar y descifrar los datos deben mantenerse en varios dispositivos, lo que hace que cada punto de la ruta sea potencialmente vulnerable en caso de que un atacante obtenga acceso a uno de los dispositivos a lo largo de la ruta.
Otra solución alternativa es un método conocido como superencriptación, que el usuario utiliza para encriptar la carga útil de datos en la capa de aplicación, y luego la información restante del encabezado se encripta a medida que sale a la red más amplia. El método adicional en un superencriptado se conoce como encriptación de extremo a extremo. La principal diferencia entre un cifrado de enlace, entonces, es que el método de extremo a extremo permite que los datos atraviesen una red no segura durante algún tiempo porque las claves para el cifrado y descifrado se conocen en cada extremo de la transferencia. La información de direccionamiento y enrutamiento en los encabezados aún es visible para un intruso, pero la carga útil de datos primarios permanece segura. Sin embargo, en los casos de superencriptación, donde se utilizan tanto el cifrado de enlace como el de extremo a extremo, los datos rara vez tienen que ir más allá de un enrutador local antes de ingresar al enlace cifrado para su transporte.