CRYPCOM100 Familia de encriptación. CRYPCOM100 1-Introducción La familia de encriptación CRYPCOM 100 proporciona una solución eficaz para encriptar enlaces de telecomunicaciones (por ejemplo voz por PCM, datos por X.25, comunicación por datos ISDN) como así también comunicación por IP (transferencia de datos punto-a- punto, punto-a-multipunto). La encriptación es necesario cuando el contenido de los datos trasmitidos es confidencial y/o el enlace de telecomunicación debe ser protegido contra sabotaje, espionaje, etc. (por ejemplo, canal de señales de un enlace microonda). También ciertos miembros de la familia desempeñan funciones de direccionamiento además de encriptación cuando los lados encriptado y no encriptado están conectados a diferentes tipos de interfaz. Las IP encriptadas pueden proporcionar tráfico direccional, y funciones de limitación de ancho de banda y módulo de cortafuegos que también pueden incorporarse a pedido respectivamente. Una gran ventaja de la solución en la aplicación de cortafuegos es que las funciones de filtrado integrados no pueden desconectarse sin autorización. Es característico para toda la familia que el software interno contiene un sistema operativo de tiempo real altamente confiable con especificaciones del fabricante que proporciona un nivel muy alto de protección contra sabotaje o intromisión. Aparte de los distintos tipos enumerados abajo, también pueden encargarse a pedido tipos de interfaz especificados. 2-Equipo Asíncrono (RS232/RS422) Encriptador de secuencia de bits.300bps-115200 bps (ejemplo: para encriptar transferencia de datos con módems analógicos.) Lo mismo con el interfaz X.21. En este caso el contenido de datos de la comunicación asíncrona es transferida sobre una sección de transmisión síncrono con una forma encriptada de la X.21. Dos comunicaciones RS independientes pueden ser transferidas sobre una secuencia de bits de la X.21. Lo mismo con dos interfaces E1. Los datos de comunicación asíncrona son insertados en una franja horaria en forma encriptada. Puede operar como una terminal E1 y la secuencia de datos encriptados puede ser insertado en la franja horaria libre del enlace respectivamente. Cuatro comunicaciones independientes RS pueden ser insertadas dentro de franjas horarias libres como máximo. X.21/X.21 Encriptador. La secuencia de bits entrante es encriptada y transmitida sobre un interfaz similar. Esto puede ser usado para encriptar entre terminales de una red X.25. La velocidad máxima de la secuencia puede ser 2 Mbps bidireccional total. X.21/E1 Encriptador. Encripta una secuencia de bits de un X.21 y lo transmite sobre una interfaz E1. La inserción dentro de una franja horaria de un enlace E1 es también posible. E1/E1 punto-a-punto encriptador de enlace. Este equipo encripta la totalidad de la secuencia de bits E1 PCM (ejemplo: encriptación de un enlace microonda como expuesto en Figura 1.). Una unidad puede encriptar dos enlaces E1 como máximo sobre un modo bidireccional total con diferentes claves por dirección. Hay posibilidad de formar una configuración 1+1 adaptado al enlace configurado de la microonda. E1/E1 encriptador de franja horaria. Este equipo puede ser utilizado cuando franjas horarias de un enlace de transmisión son distribuidas y las franjas horarias individuales no se cancelen en el mismo equipo de transmisión. (Figura 2.). En este caso el encriptador en el punto de origen puede comunicarse con más unidades encriptadoras en el extremo remoto. Los grupos individuales de franjas horarias pueden ser configurados en armonía con la estructura de la red. DDF DDF 1E1 2E1 CYPCOM101 1+1 1E1 IDU1 ODU1 IDU2 IDU1 combiner combiner 1E1 2E1 ODU1 ODU2 2E1 1E1 IDU2 ODU2 2E1 Encryption of 2x2 pcs E1 links, 1+1 configuration CYPCOM101 1+1 Figure 1. IP encriptador (Figura 3.). Contiene 4 puertos Ethernet como máximo, y proporciona funciones de router y cortafuegos de acuerdo a la solicitud del cliente. El número de puertos Ethernet pueden incrementarse a pedido. En caso de conexiones punto-a-punto el paquete completo de Ethernet es encriptado (incluyendo el encabezado del IP). En este caso el origen y destino de los domicilios IP están ocultos sobre la sección encriptada. En caso de una comunicación en una red IP hay una carga útil encriptada solo porque los domicilios de origen y destino IP son necesarios para el direccionamiento en la red. En caso de pedido, funciones de encriptación en subredes también pueden proporcionarse. En este caso los domicilios IP de las subredes son también encriptados (VPN). CYPCOM101 Pl . 5-20 TS ( 16 T Ss) 5-12TS (8 T Ss) CYPCOM101 Ethernet/E1 encriptador + puente. Este equipo encripta una secuencia IP y lo transfiere sobre una sección de transmisión E1. Cada tipo de encriptador usa el mismo algoritmo de encriptación y la utilización de la clave es también la misma. Solamente los interfaces físicos y el aumento de paquetes de datos son diferentes. En caso de encriptadores IP las interfaces son de tipo 10/100BaseT con reconocimiento automático. El ancho de banda efectiva de los datos de secuencia encriptados es 8Mbps Esta velocidad puede incrementarse a pedido. BS 13- 20TS (8 TS s) BS CYPCOM101 Fi gu re 2 . 3- Algoritmos encriptados aplicados Los miembros de la familia CYPCOM100 encriptan la secuencia de datos con AES (128,192, 256 bits de clave binaria) o 3DES (128 bits de clave binaria) algoritmos estándar y específicos del fabricante respectivamente. Los algoritmos estándar DES, 3DES, AES pueden mezclarse con los algoritmos específicos del fabricante. En este caso el nivel final de seguridad de la encriptación es equivalente a los conocidos algoritmos DES y AES pero la codificación resultante no es estándar. Las secuencia de datos en las direcciones de transmisión y recepción 10/100BaseT LAN CYPC OM102 10/100BaseT ROUTER 10/100BaseT 10/100BaseT WAN ROUTER CYPCOM102 LAN Figure 3. pueden ser encriptados con diferentes claves. En caso del encriptador E1 cada enlace puede ser encriptado con claves diferentes. La encriptación es desempeñada por poderosos DSP. Gestión de Claves, carga de clave CYPCOM 100 Los miembros de la CRYPCOM 100 operan con dos tipos de gestión de claves. En caso de claves estáticas las unidades encriptadoras operan con claves pre-cargadas. Las claves aplicadas no cambian durante la operación en este caso. La carga de la clave se hace por un adaptador basado en flash donde las claves son almacenadas en forma específica encriptados por el fabricante. El adaptador es conectado al encriptador con interfaz y protocolo específico del fabricante. Las claves almacenadas en el adaptador son transmitidas apretando un botón. Desde este momento el encriptador usa las claves de transferencia. La carga de la clave al adaptador puede hacerse de dos diferentes maneras. En el primer caso las claves pre-generadas pueden transferirse al adaptador por medio del programa gestión de claves para PC. En el otro caso el adaptador por si mismo puede generar una clave en forma aleatoria al apretar un botón sin el uso de un PC. Las claves almacenadas en el adaptador nunca podrán volverse a leer. Esto significa que si las claves son generadas por el adaptador las dos terminaciones solo pueden cargarse con el mismo adaptador. El programa gestión de claves para PC genera las claves al azar. Las claves generadas no aparecen en el monitor del usuario, un identificador y un registro de fecha aparecen en vez par el registro posterior de la clave. Todas las claves generadas son registradas por el software. Durante el registro un texto puede ser adjuntado también a la clave bajo pedido. La clave generada proporciona la correcta distribución sin repetición de las claves. Las claves generadas son almacenadas en una memoria basada en flash incorporada en el sistema en forma de específicos encriptados del fabricante. El dispositivo de almacenamiento no es proporcionado con interfaz estándar es así que su contenido no puede ser leído por otras herramientas. En el caso de claves estáticas la carga de una clave puede efectuarse por medio de dos métodos diferentes. De acuerdo al primero una de las claves es cargada en una terminación solamente. Similar al método dinámico las nuevas claves aparecen por medio de comunicación entre las terminaciones. De acuerdo al otro método, las claves pueden cargarse separadamente en las dos terminaciones. Las claves en este caso no aparecen en la comunicación entre las terminales ni siquiera en forma encriptado. En ambos casos las nuevas claves estarán activas solo si la carga de las claves es terminada en ambos extremos. En caso de un modo de operación dinámico las claves son cambiadas por el equipo con una generación de clave aleatoria. La frecuencia del cambio de clave puede ser configurado. En este modo de operación la carga de la clave inicial es también necesaria (validación) la que será cambiada inmediatamente por una clave generada al azar. El cambio de la clave es realizado con un algoritmo y protocolo en forma específica con encriptado del fabricante. La conformidad de claves en ambas terminaciones es controlado regularmente pero más veces que el mínimo de un valor prefijado con un algoritmo especifico del fabricante. 4- Supervisión de servicio, comunicación entre terminaciones encriptados Las terminaciones encriptadas se comunican entre ellas de acuerdo a diferentes métodos dependiendo de la configuración. En el caso del encriptador RS232/422 las dos terminaciones comunican con la inserción de mensajes de servicio. Esto hace decrecer levemente el ancho de banda efectivo. En el caso de una sección ecriptada de X.21 las dos terminaciones se comunican con la inserción de mensajes de servicio HDLC. En el caso del encriptador E1 la comunicación comienza por usar los bits adecuados de PCM. Cualquiera de los bits libres disponibles pueden usarse para la comunicación. Los bits a usarse pueden ser seleccionados cuando se configure el equipo. Si los bits disponibles ya se están usando por el equipo de transmisión es también posible configurar un canal especial de servicio. En el caso de un encriptador basado en Ethernet las dos terminaciones se comunican entre ellos por medio de mensajes que no son de un Ethernet IP. Estos mensajes son insertados dentro de los mensajes útiles, la perdida de banda ancha es insignificante porque estos mensajes de servicio ocurren raramente con paquetes cortos. El intercambio de información es realizado con un protocolo específico del fabricante, protocolo superpuesto arriba del UDP en el caso de encriptadores IP. La supervisión remota del equipo, el envío de mensajes de alarma, la consulta de status y datos estadísticos pueden proporcionarse por medio de uno de los siguientes métodos dependiendo de la demanda del cliente: Via IP Usando una franja horaria opcional Con un modem GSM (opcional) Seguridad, protección contra sabotaje El retiro de la tapa del equipo es detectado y las claves se borran en el momento de la apertura. El equipo tiene un status inválido. Después de volver a instalar la tapa las claves deben ser cargadas nuevamente para iniciar la operación del equipo. Las claves son almacenadas en el equipo en forma codificada pero no son borradas en caso de corte de suministro eléctrico. Esto significa que después del corte de energía las claves no tienen que cargase de nuevo. La solución del circuito interno impide la lectura de las claves almacenadas en forma codificada por medición eléctrica o por conexión. El equipo registra cualquier remoción de la tapa de la carga de claves y lo almacena junto con el registro de fecha. Estos registros pueden ser leídos por el software del servicio de supervisión. Modelo Encriptador Opcional Cliente-especifico En el caso de un pedido es posible fabricar un modelo derivado del cliente con un algoritmo no-publico dentro del encriptador (Figure 4.). Hasta que el modulo de extensión no sea incorporado, un módulo puente trasmite los datos entre los punto de conexión internos. Después de incorporarlo en el modulo del cliente la totalidad de la secuencia de datos a encriptar pasa por el codificador del cliente-especifico. El suministro y el tamaño geométrico del modulo cliente especifico puede armonizarse después de la discusión. El modulo no puede ser eludido por medios de software después de colocarlo en el encriptador. En lo que concierne a su operación la encriptación (el mutuo adecuado inequívoco) de bloques con 2, 4 o 8 bytes se llevará a cabo con la velocidad requerida. Output d ata b lock Input data b lock Output d ata blo ck User specific e xpansio n encryption/decr yption m od ul Input data b lock RD/WR RD/WR Figure 4 . Alicia Moreau de Justo 1780 3º F-B C1107AFJ | Puerto Madero | Buenos Aires | Argentina Tel/fax: +54 11 5093-3111 | [email protected] www.gigsrl.com