r.wicik@wil.waw.pl
Notes, 1/23
Kryptologia i kryptograficzna ochrona informacji
Miejsce, rola i zasady działania urz dze kryptograficznej ochrony
informacji w systemach teleinformatycznych
dr in
Ŝ
. Robert Wicik
Wojskowy Instytut Ł
ą
czno
ś
ci
r.wicik@wil.waw.pl
rwicik@op.pl
Plan
1.
Wprowadzenie
2.
Rodzaje urz dze utajniaj cych
3.
Aparat telefoniczny z utajnianiem
4.
Urz dzenia utajniaj ce dane (przechowywane, przesyłane)
5.
Urz dzenia utajniaj ce transmisj danych o du ych przepływno ciach
6.
Urz dzenia utajniaj ce ł czno pakietow
r.wicik@wil.waw.pl
Notes, 2/23
1. Wprowadzenie
Urz dzenia kryptograficznej ochrony informacji
•
Urz dzenia realizuj ce usługi kryptograficznej ochrony informacji
�
poufno
�
integralno
�
uwierzytelnienie
�
niezaprzeczalno
�
generacja, dystrybucja i uzgadnianie kluczy
Zalety (typowe)
�
Zapewniaj wysoki poziom bezpiecze stwa
�
Mało podatne na ingerencj i modyfikacj
�
Łatwe w eksploatacji (cz sto bezobsługowe)
Wady (typowe)
�
Spore koszty zakupu i eksploatacji
�
Małe mo liwo ci dostosowywania do nowych potrzeb
r.wicik@wil.waw.pl
Notes, 3/23
2.a. Rodzaje urz dze utajniaj cych
Podział ze wzgl du na obszar zastosowa
1.
Do zastosowa komercyjnych
�
redni poziom bezpiecze stwa (za to ta sze)
2.
Do zastosowa rz dowych
�
wysoki poziom bezpiecze stwa
�
certyfikat Krajowej Władzy Bezpiecze stwa (ABW, SKW)
3.
Do zastosowa militarnych
�
wysoki poziom bezpiecze stwa
�
certyfikat Krajowej Władzy Bezpiecze stwa (ABW, SKW)
�
dodatkowe wymagania niezawodno ciowe, wytrzymało ciowe i klimatyczne
Podział ze wzgl du na interfejs zewn trzny
1.
Urz dzenia utajniaj ce dane (off-line)
�
urz dzenie posiada tylko funkcje ochrony informacji
�
nie posiada interfejsów teletransmisyjnych (poza we/wy danych)
2.
Urz dzenia utajniaj ce na poziomie ł cza danych
�
urz dzenie posiada funkcje ochrony informacji oraz interfejs
teletransmisyjny na poziomie ł cza (protocol transparent)
�
utajnia wszystkie dane w ł czu – kompletne ramki, pakiety wraz z danymi
3.
Urz dzenia utajniaj ce w ramach protokołów komunikacyjnych
�
urz dzenie posiada funkcje ochrony informacji oraz interfejs na poziomie
protokołu komunikacyjnego (protocol sensitive)
�
utajnia tylko pole danych w ramach ramek i pakietów lub formułuje nowe
ramki i pakiety
r.wicik@wil.waw.pl
Notes, 4/23
2.b. Rodzaje urz dze utajniaj cych
Schemat sieci urz dze utajniaj cych ł cza dzier awione lub komutowane
UU
L
Sie telekomunikacyjna
Modem
Terminal
UU
L
Modem
Terminal
UU
L
Modem
Terminal
UU
L
Modem
Terminal
Ł
ą
cze
dzier
Ŝ
awione
Ł
ą
cze
zestawione
�
utajnianie odbywa si w ramach zestawionego ł cza na stałe (dzier awione) lub
na czas transmisji (komutowane)
�
utajnianie jest transparentne dla protokołów – maskuje cały ruch
�
zastosowanie:
�
utajnianie mowy (cyfryzacja, kompresja wokoderowa, utajnianie,
transmisja z wykorzystaniem modemów)
�
transmisja danych na dedykowanym ł czu (utajnianie, transmisja
modemowa)
�
utajnianie traktów teletransmisyjnych (np. mi dzy w złami ł czno ci)
r.wicik@wil.waw.pl
Notes, 5/23
2.c. Rodzaje urz dze utajniaj cych
Schemat sieci urz dze utajniaj cych ł cza w sieci
UU
L
UU
L
Sie
Modem
Switch
Terminal
UU
L
Modem
Terminal
Switch
UU
L
UU
L
UU
L
UU
L
UU
L
UU
L
UU
L
Switch
�
utajnianie odbywa si w ramach ł cz mi dzy terminalami, w złami sieci,
przeł cznikami sieciowymi
�
utajnianie jest transparentne dla protokołów – maskuje cały ruch
�
niezb dna jest modyfikacja sieci i uzupełnienie jej o du
ilo urz dze
utajniaj cych
�
zastosowanie:
�
historyczny sposób utajniania w sieciach pakietowych (X.25)
�
stosowany mi dzy w złami pakietowymi w sieciach wydzielonych
r.wicik@wil.waw.pl
Notes, 6/23
2.d. Rodzaje urz dze utajniaj cych
Schemat sieci urz dze utajniaj cych w ramach protokołów komunikacyjnych
UU
P
Sie
Modem
Switch
Terminal
UU
P
Modem
Terminal
Switch
Switch
UU
P
Modem
Terminal
�
utajnianie odbywa si w ramach protokołów komunikacyjnych – utajniane
pola danych w ramach ramek, pakietów lub formułowanie nowych pakietów
�
utajnianie nie jest transparentne dla protokołów (dedykowane urz dzenia dla
poszczególnych protokołów)
�
wymaga dodatkowych zabezpiecze przed ingerencj poprzez sie
�
nie ma potrzeby modyfikacji sieci
�
zastosowanie:
�
współcze nie stosowane do utajniania danych od ródła do uj cia
(end-to-end, border-to-border) w sieciach pakietowych (X.25, IP, ATM)
r.wicik@wil.waw.pl
Notes, 7/23
2.e. Rodzaje urz dze utajniaj cych
1.
Utajnianie mowy
�
w ł czno ci telefonicznej z wykorzystaniem ł cz analogowych (PSTN)
�
w ł czno ci telefonicznej z wykorzystaniem ł cz cyfrowych (ISDN)
�
w telefonii GSM (telefon kom. - stacja bazowa, pomi dzy telefonami kom.)
2.
Utajnianie transmisji danych o niskiej przepływno ci
�
w transmisji faksowej
�
w transmisji modemowej w ramach ł cz analogowych (PSTN)
�
w transmisji danych w ramach sieci ISDN
�
w telefonii GSM
3.
Utajnianie ł cz teletransmisyjnych o wysokiej przepływno ci
�
w ł czno ci mi dzy w złami ł czno ci (G.703, Eurocom)
�
w ł czno ci mi dzy w złami pakietowymi (V.35)
4.
Utajnianie danych w ramach systemów komputerowych
�
danych przechowywanych w systemach komputerowych (np. pliki z
dokumentami, bazy danych)
�
danych przesyłanych mi dzy stanowiskami komputerowymi (np. utajniona
poczta elektroniczna, przesyłanie utajnionych plików, utajnione strony www
poprzez SSL)
�
danych przesyłanych mi dzy sieciami komputerowymi (np. urz dzenie
utajniaj ce dla sieci IP)
Urz dzenia wspomagaj ce
�
generacj kluczy (z wykorzystaniem sprz towego generatora liczb losowych)
�
uzbrajanie no ników i urz dze w dane kryptograficzne
�
(inteligentne) identyfikatory u ytkowników
�
inteligentne no niki kluczy
r.wicik@wil.waw.pl
Notes, 8/23
3.a. Aparat telefoniczny z utajnianiem
PSTN
Aparat z
utajnianiem
Dane/Fax
ISDN
Aparat z
utajnianiem
Aparat z
utajnianiem
Dane/Fax
Aparat bez
utajniania
GSM
Aparat telefoniczny z utajnianiem
�
pracuje w sieci (jednej z nich):
�
PSTN (Public Switched Telephone Network – Publiczna Komutowana
Sie Telefoniczna)
�
ISDN (Integrated Services Digital Network – Cyfrowa Sie Usług
Zintegrowanych)
�
GSM (Global System for Mobile Communications)
�
VoIP – Voice over Internet Protocol – Telefonia wykorzystuj ca protokół
IP
�
umo liwia utajnianie:
�
transmisji mowy (po cyfryzacji)
�
transmisji faksowej
�
transmisji danych (z doł czonego komputera)
�
umo liwia prac :
�
na zestawionym ł czu mi dzy dwoma aparatami (dzier awionym lub
komutowanym w sieci PSTN)
�
w cyfrowej sieci ISDN, GSM lub IP
�
w ramach poł czenia konferencyjnego (PSTN lub ISDN)
r.wicik@wil.waw.pl
Notes, 9/23
3.b. Aparat telefoniczny z utajnianiem
Przykładowa aplikacja telefonu z utajnianiem dla:
�
sieci PSTN – wokoderowy aparat telefoniczny z utajnianiem
�
sieci ISDN – cyfrowy aparat telefoniczny z utajnianiem
�
linii dzier awionej
aparat
wokoderowy
z utajnianiem
aparat
wokoderowy
z utajnianiem
Public Switched
Telephone Network
PSTN
Integrated Services
Digital Network
ISDN
Linia dzier
Ŝ
awiona
data
fax
aparat ISDN
z utajnianiem
aparat ISDN
z utajnianiem
data
fax
aparat bez
utajniania
aparat bez
utajniania
r.wicik@wil.waw.pl
Notes, 10/23
3.c. Aparat telefoniczny z utajnianiem
Aparat wokoderowy z utajnianiem
Modem
Mowa
Uwierzytelnienie
Synchronizacja
Utajnianie
Interfejs do
transmisji
faksowej
Cyfryzacja i
kompresja
mowy
Interfejs do
transmisji
danych
Fax
Dane
Dane w lini
abonenck
Kontrola
dost pu
Zarz dzanie
kluczami
Obudowa
Aparat wokoderowy z utajnianiem umo liwia prowadzenie utajnionej transmisji
mowy, faksów i danych w sieciach PSTN (na komutowanych, analogowych ł czach
telefonicznych)
�
sygnał mowy jest poddawany kodowaniu – cyfryzacji i kompresji, aby był
podatny na utajnianie i transmisj modemow
�
sygnały transmisji faksowej i danych s zamieniane na sygnał podatny
utajnianiu i transmisji modemowej
�
moduł kryptograficzny realizuje funkcje uwierzytelnienia abonentów,
synchronizacji kryptograficznej oraz utajniania przesyłanych sygnałów
�
moduł kryptograficzny jest wspomagany przez mechanizmy kontroli dost pu
oraz zarz dzania kluczami (realizowane z wykorzystaniem identyfikatora –
no nika kluczy)
�
modem realizuje cyfrow transmisj utajnionych sygnałów (2800-9600b/s)
�
obudowa spełniaj ca normy kompatybilno ci elektromagnetycznej (EMC –
redukcji promieniowania i odporno ci na nara enia elektromagnetyczne)
r.wicik@wil.waw.pl
Notes, 11/23
3.d. Aparat telefoniczny z utajnianiem
Cyfrowy aparat z utajnianiem dla sieci ISDN
Interfejs
ISDN
Mowa
Uwierzytelnienie
Synchronizacja
Utajnianie
Interfejsy do
transmisji
danych,
faksów i video
Cyfryzacja
(kompresja)
mowy
Dane
Fax
Video
Dane w sie
ISDN
Kontrola
dost pu
Zarz dzanie
kluczami
Obudowa
Cyfrowy aparat z utajnianiem umo liwia prowadzenie utajnionej transmisji
mowy, faksów, danych i video w sieci ISDN
�
sygnał mowy jest poddawany kodowaniu – cyfryzacji i czasami kompresji, aby
był podatny na utajnianie i transmisj w cyfrowych kanałach ISDN
�
sygnały transmisji faksowej, danych i video s zamieniane na sygnał podatny
utajnianiu i transmisji w kanałach ISDN
�
moduł kryptograficzny realizuje funkcje uwierzytelnienia abonentów,
synchronizacji kryptograficznej oraz utajniania przesyłanych sygnałów
�
moduł kryptograficzny jest wspomagany przez mechanizmy kontroli dost pu
oraz zarz dzania kluczami (realizowane z wykorzystaniem identyfikatora –
no nika kluczy)
�
interfejs ISDN realizuje cyfrow transmisj utajnionych sygnałów (do 128kb/s)
�
obudowa spełniaj ca normy kompatybilno ci elektromagnetycznej (EMC –
redukcji promieniowania i odporno ci na nara enia)
r.wicik@wil.waw.pl
Notes, 12/23
3.e. Aparat telefoniczny z utajnianiem
Funkcje modułu kryptograficznego
1.
Identyfikacja i uwierzytelnienie
�
identyfikacja abonentów (wymiana numerów kryptograficznych, danych
personalnych)
�
uwierzytelnienie abonentów (modułów kryptograficznych) przy pomocy
kodów, protokołów uwierzytelniaj cych
2.
Synchronizacja kryptograficzna
�
wybór kluczy relacji
�
uzgodnienie kluczy sesji
�
zainicjowanie pracy szyfratorów
3.
Utajnianie
�
utajnianie danych wysyłanych w lini (cyfrowego sygnału mowy, danych)
Funkcje identyfikatora u ytkownika – no nika kluczy
1.
Przechowywanie danych o u ytkowniku (to samo , uprawnienia)
2.
Przechowywanie danych uwierzytelniaj cych (hasło, klucze)
3.
Przechowywanie kluczy słu
cych do:
�
uwierzytelniania
�
uzgadniania kluczy sesji
�
utajniania
r.wicik@wil.waw.pl
Notes, 13/23
4.a. Urz dzenia utajniaj ce dane
Urz dzenia typu off-line
1.
Utajnianie danych przechowywanych w systemach komputerowych:
�
dokumenty elektroniczne
�
pliki z danymi
�
katalogi z plikami na dysku
�
realizowane przez:
�
szyfruj ce karty rozszerze (ISA, PCI, PCiMCIA)
�
urz dzenia szyfruj ce doł czane przez zewn trzne porty komunikacyjne
(szeregowe lub równoległe)
Urz dzenia typu on-line
2.
Utajnianie danych przesyłanych w sieci:
�
pliki z danymi
�
poczta elektroniczna
�
dane wymieniane w ramach aplikacji klient-serwer
�
realizowane przez:
�
szyfruj ce karty rozszerze (ISA, PCI, PCiMCIA)
�
urz dzenia szyfruj ce doł czane jako po rednie na styku komunikacyjnym
do sieci ł czno ci
3.
Utajnianie danych przesyłanych w liniach komutowanych lub dzier awionych:
�
utajnianie transmisji mowy, danych, faksów
�
realizowane przez:
�
modemy z utajnianiem
�
przystawki utajniaj ce do telefonów
�
przystawki utajniaj ce do faksów
r.wicik@wil.waw.pl
Notes, 14/23
4.b. Urz dzenia utajniaj ce dane
Przykładowa aplikacja karty szyfruj cej:
�
pliki z danymi przechowywanymi na stanowiskach komputerowych
�
pliki z danymi przesyłanymi w sieci i z wykorzystaniem modemów
�
poczt elektroniczn
PSTN
ISDN
LAN
serwer
plików
serwer
dost
ę
powy
karta
szyfruj
ą
ca
karta
szyfruj
ą
ca
karta
szyfruj
ą
ca
Karta szyfruj ca realizuj ca utajnianie danych jest wspomagana przez:
�
aplikacj umo liwiaj c dost p do plików i poczty oraz komunikacj z kart
�
identyfikator u ytkownika – no nik kluczy
r.wicik@wil.waw.pl
Notes, 15/23
4.c. Urz dzenia utajniaj ce dane
Przykładowa aplikacja modemu z utajnianiem:
�
do utajniania danych przy dost pie do sieci komputerowej
�
do utajniania danych przesyłanych mi dzy stanowiskami komputerowymi
�
do utajniani danych na liniach dzier awionych
Public Switched
Telephone Network
PSTN
Linia dzier
Ŝ
awiona
modem z
utajnianiem
modem z
utajnianiem
modem z
utajnianiem
LAN
serwer
modem z
utajnianiem
modem z
utajnianiem
r.wicik@wil.waw.pl
Notes, 16/23
5.a. Urz dzenia utajniaj ce transmisj danych o du ych
przepływno ciach
Przeznaczenie
�
do utajniania na stałe zestawionych grupowych ł czy teletransmisyjnych
mi dzycentralowych i mi dzyw złowych o du ych przepływno ciach od
256kb/s do 155Mb/s
Rodzaj utajniania
�
utajnianie na poziomie ł cza całego ruchu w ł czu teletransmisyjnym
(mi dzycentralowym, mi dzyw złowym)
Interfejsy (przykładowe)
�
G.703, Eurocom (mi dzycentralowe)
�
V.35 (mi dzyw złowe)
Przebieg sesji utajniania w relacji ł czno ci
�
wzajemne uwierzytelnienie urz dze utajniaj cych
�
wybranie kluczy relacji
�
uzgodnienie kluczy sesji
�
synchronizacja szyfratorów
�
utajnianie ł cza
�
resynchronizacja
�
zako czenie sesji
r.wicik@wil.waw.pl
Notes, 17/23
5.b. Urz dzenia utajniaj ce transmisj danych o du ych
przepływno ciach
Przykładowy schemat blokowy urz dzenia utajniaj cego ł cze
Interfejsy do ł cz
teletransmisyjnych
dane
jawne
Uwierzytelnienie
Synchronizacja
Utajnianie
Interfejsy do
ł cz danych
dane
utajnione
Kontrola
dost pu
Zarz dzanie
kluczami
Obudowa
Funkcje modułu kryptograficznego
1.
Uwierzytelnienie
�
uwierzytelnienie współpracuj cych ze sob urz dze przy pomocy kodów,
protokołów uwierzytelniaj cych
2.
Synchronizacja kryptograficzna
�
wybór kluczy relacji
�
uzgodnienie kluczy sesji
�
zainicjowanie i zsynchronizowanie szyfratorów
3.
Utajnianie
�
utajnianie danych wysyłanych w ł cze teletransmisyjne
�
kontrola poprawno ci synchronizacji
r.wicik@wil.waw.pl
Notes, 18/23
5.c. Urz dzenia utajniaj ce transmisj danych o du ych
przepływno ciach
Przykładowa aplikacja urz dzenia utajniaj cego ł cze mi dzycentralowe
UU
Abonenci
Ł cznica
Ł cznica
UU
UU
UU
Abonenci
G703
G703
G703
G703
G703
�
utajnianie odbywa si w ramach zestawionych na stałe ł cz
mi dzycentralowych
�
utajnianie jest transparentne dla protokołów – maskuje cały ruch abonencki
(mowa, dane, fax, video)
r.wicik@wil.waw.pl
Notes, 19/23
5.d. Urz dzenia utajniaj ce transmisj danych o du ych
przepływno ciach
Przykładowa aplikacja urz dzenia utajniaj cego ł cze mi dzyw złowe
UU
Sie
LAN
Router
Router
UU
UU
UU
Sie
LAN
V.35
V.35
V.35
V.35
G703
�
utajnianie odbywa si w ramach zestawionych na stałe ł cz mi dzyw złowych
�
utajnianie jest transparentne dla protokołów – maskuje cały ruch z
doł czonych sieci
�
aby cz
ruchu sieciowego przekierowa do innego w zła nale y cz
danych
odtajni i ponownie utajni
r.wicik@wil.waw.pl
Notes, 20/23
6.a. Urz dzenia utajniaj ce ł czno pakietow
Przeznaczenie
�
do utajniania danych od ródła do uj cia (end-to-end, border-to-border) w
ramach ł czno ci sieciowej (mi dzyw złowej)
Rodzaj utajniania
�
urz dzenie posiada interfejs na poziomie protokołu komunikacyjnego (protocol
sensitive)
�
utajnia tylko pole danych w ramach ramek i pakietów danego protokołu albo
formułuje nowe ramki i pakiety
Interfejsy
�
X.25, IP, ATM
PUU
Sie pakietowa
ródło/uj cie
danych
PUU
PUU
ródło/uj cie
danych
ródło/uj cie
danych
r.wicik@wil.waw.pl
Notes, 21/23
6.b. Urz dzenia utajniaj ce ł czno pakietow
Przykładowa aplikacja urz dzenia utajniaj cego w sieci X.25
Sie
ć
X.25
UU dla X.25
UU dla X.25
UU dla X.25
UU dla X.25
Centrum
zarz
ą
dzania sieci
ą
utajnion
ą
�
utajnianie informacji u ródła – odtajnianie u uj cia (nie ma znaczenia
droga telekomunikacyjna)
�
utajnianie logiczne kanały sieci X.25
�
utajnia pola danych w ramach pakietów X.25
�
pole adresowe pakietu jest nieutajnione i pozwala na kierowanie
utajnionego pakietu do adresata
r.wicik@wil.waw.pl
Notes, 22/23
6.c. Urz dzenia utajniaj ce ł czno pakietow
Przykładowa aplikacja urz dzenia utajniaj cego w sieci IP
internet
LAN
file
server
web
server
LAN
UU IP
UU IP
UU IP
Centrum
zarz
ą
dzania
ł
ą
czno
ś
ci
ą
utajnion
ą
�
utajnianie informacji u ródła – odtajnianie u uj cia (nie ma znaczenia
droga telekomunikacyjna)
�
stosowane przy serwerach danych, na wyj ciu sieci lokalnych, przy
indywidualnym stanowisku zdalnego dost pu do serwera (dial-up)
�
utajnianie sesji komunikacji pakietowej (IP-Sec)
�
utajnianie pola danych w ramach pakietów IP, lub całych pakietów po
dodaniu nowego nieutajnionego nagłówka
r.wicik@wil.waw.pl
Notes, 23/23
6.d. Urz dzenia utajniaj ce ł czno pakietow
Przykładowa aplikacja urz dzenia utajniaj cego w sieci ATM
sie
ć
ATM
LAN
LAN
UU ATM
UU ATM
UU ATM
�
utajnianie informacji u ródła – odtajnianie u uj cia
�
utajnianie komórek ATM w ramach kanałów wirtualnych (Permanent
Virtual Circuit, Switched Virtual Circuit)
�
pole adresowe jest nieutajnione i pozwala na kierowanie utajnionych
komórek do adresata
�
pr dko działania do 155Mb/s
�
interfejsy do sieci SDH (Synchronous Digital Hierarchies) oraz do ródeł
danych (sieci komputerowe, urz dzenia video, ...)