En los primeros días en que las empresas y universidades tenían un solo centro de cálculos, resultaba relativamente simple alcanzar un buen grado de seguridad. Lo único que tenía que hacer la organización era poner a un vigilante en la puerta de acceso al cuarto del ordenador; en donde el trabajo del vigilante consistía en asegurar que no se moviera ninguna cinta, disco o tarjeta fuera del cuarto, a menos que existiera una autorización explícita para hacerlo.

Con el advenimiento de las redes, la situación cambió en forma radical. Nadie puede supervisar manualmente los millones de bits de datos que diariamente se mueven entre los ordenadores en una red. Además, las organizaciones no tienen ninguna manera de asegurar que sus datos no se puedan copiar secretamente, mediante la intercepción de líneas telefónicas o algún otro medio, en el camino que siguen hasta llegar a su destino. Este tipo de intercepción es más común de lo que la gente podría imaginar (Kahn, 1980; Selfridge y Schwartz, 1980). Lo peor de todo es cuando se está empleando un enlace por satélite en la trayectoria de transmisión, dado que los datos se encuentran a disposición de quien quiera que acepte meterse en el problema de erigir una antena para escucharlos. Claramente, se observa la necesidad de algún tipo de puesta en clave (término que también se conoce como cifrado), con objeto de hacer que los datos sean ininteligibles para todo el mundo, exceptuando aquellos a los cuales se desea hacer llegar dichos datos.

La protección de datos ante la curiosidad de ciertos usuarios no viene a ser el único aspecto relacionado con la seguridad en la conexión entre redes. Uno podría imaginarse, por lo menos, cuatro servicios de seguridad:

1. Proteger los datos para que no puedan ser leídos por personas que no tienen autorización para hacerlo.

2. Impedir que las personas sin autorización inserten o borren mensajes.

3. Verificar al emisor de cada uno de los mensajes.

4. Hacer posible que los usuarios transmitan electrónicamente documentos firmados,

La puesta en clave, puede efectivamente utilizarse para todos estos objetivos. La ubicación del cifrado en el modelo OSI ha sido tan controvertida, que cualquier mención sobre este asunto se llegó a omitir en la norma original. Teóricamente, la puesta en clave puede realizarse en cualquier capa, pero en la práctica en tres de ellas parece ser más apropiado: en la capa física, en la de transporte y en la de presentación.

Cuando el cifrado se realiza en la capa física, se inserta una unidad de puesta en clave entre cada ordenador y el medio físico. Cada bit que sale del ordenador se‚ cifra, y a cada bit que entra al ordenador se le practica el proceso inverso. A este es quema se le conoce con el nombre de cifrado de enlace. Este es muy sencillo, pero relativamente inflexible.

La ventaja principal del cifrado de enlace es que las cabeceras, así como los datos, se cifran. En algunos casos, el conocimiento de los patrones de tráfico (deducibles a partir de las direcciones de los extremos fuente y destinatario), también es de naturaleza secreta. Por ejemplo, si en tiempos de guerra, un enemigo notara que la cantidad de tráfico hacia y desde el Pentágono, en Washington, repentinamente decrece en forma dramática y, sin embargo, crece en la misma cantidad con respecto a East Podunk, el enemigo no necesita tener un CI de 200 para entender que algo extraño está sucediendo. El estudio que realiza el enemigo sobre la longitud y frecuencia de los mensajes se conoce como análisis de tráfico, el cual se puede hacer más difícil por la inclusión de grandes cantidades de tráfico de relleno.

Para la mayoría de las aplicaciones comerciales, el análisis de tráfico no es un tema a tener en cuenta, por lo que la solución preferida es la puesta en clave de extremo a extremo en alguna de las capas superiores. El hecho de que se introduzca en la capa de transporte ocasiona que la sesión completa se tenga que cifrar. Un planteamiento más sofisticado consiste en colocarla en la capa de presentación, para que sólo aquellas estructuras o campos que necesiten cifrarse sufran la sobrecarga correspondiente.