Criptarea prin legături este o metodă de securitate utilizată în rețelele de comunicații pentru transmiterea datelor criptate între computere individuale. Cu această metodă, datele sunt criptate și decriptate de fiecare piesă de hardware de-a lungul căii, cum ar fi routerele de rețea sau alte dispozitive specializate. Când legătura de comunicații este criptată în acest mod, întreaga transmisie de date este ascunsă spre deosebire de alte scheme de criptare în care transmisia poate fi încă interceptată. Metoda poate fi, de asemenea, denumită criptare la nivel de legătură sau criptare la nivel de legătură. Acest lucru se datorează faptului că totul se întâmplă la nivelul inferior al modelului de interconectare a sistemelor deschise (OSI), cunoscut sub numele de stratul de legătură de date.
Pe măsură ce pachetele de date părăsesc interfața de rețea, întregul pachet, aglomerările de date trimise prin conexiunile de rețea, sunt criptate. Criptarea legăturilor este unică în acest fel, deoarece informațiile de antet ale pachetului, care conține informații despre adresele de origine și destinație, sunt criptate împreună cu încărcătura efectivă de date. Pachetele securizate sunt apoi trimise peste linie până când întâlnesc un alt dispozitiv pe parcurs, moment în care antetul este decriptat și verificat pentru informații despre adresă. Dacă pachetele nu au ajuns la destinație, sunt criptate din nou și trimise pe drum.
Acest lucru este util pentru a păstra transmisia în siguranță împotriva cuiva care încearcă să asculte cu urechea la linie sau să captureze pachetele pentru analiză. Un atacator nu poate ști de la cine provin datele, încotro se îndreaptă și calea pe care a urmat-o pe parcurs. Procesul este, de asemenea, de obicei lipsit de erori umane, deoarece totul se întâmplă automat, evitând utilizatorul să-și amintească să-și cripteze comunicările, facilitând transmisiile de date mari, regulate, care trebuie să fie securizate.
Există câteva deficiențe în abordare. Criptarea legăturilor suferă foarte mult pe rețelele publice precum Internetul. Mulți dintre cei care folosesc metoda o vor folosi doar pe linii dedicate, închiriate, unde se poate obține un control mai mare asupra hardware-ului de-a lungul căii. Acest lucru înseamnă, de asemenea, că cheile folosite pentru a cripta și decripta datele trebuie menținute pe mai multe dispozitive, făcând fiecare punct de-a lungul căii să fie potențial vulnerabil în cazul în care un atacator obține acces la unul dintre dispozitivele de pe traseu.
O altă soluție este o metodă cunoscută sub denumirea de supercriptare, care este folosită pentru a cripta încărcătura utilă de date la nivelul aplicației de către utilizator, iar apoi informațiile rămase din antet sunt criptate pe măsură ce ies în rețea mai mare. Metoda suplimentară într-o supercriptare este cunoscută sub numele de criptare end-to-end. Diferența principală dintre criptarea unei legături este că metoda end-to-end permite ca datele să traverseze o rețea nesecurizată pentru o anumită durată, deoarece cheile pentru criptare și decriptare sunt cunoscute la fiecare capăt al transferului. Informațiile de adresare și rutare din anteturi sunt încă vizibile pentru un interceptator, dar încărcarea utilă a datelor primare rămâne în siguranță. În cazurile de supercriptare, totuși, în care sunt utilizate atât criptarea end-to-end, cât și criptarea link-ului, datele rareori trebuie să meargă mai departe decât un router local înainte de a intra în legătura criptată pentru transport.