CRYPCOM100

Anuncio
CRYPCOM100
Familia de encriptación.
CRYPCOM100
1-Introducción
La familia de encriptación CRYPCOM 100 proporciona una solución eficaz para encriptar enlaces de
telecomunicaciones (por ejemplo voz por PCM, datos por X.25, comunicación por datos ISDN) como así también
comunicación por IP (transferencia de datos punto-a- punto, punto-a-multipunto).
La encriptación es necesario cuando el contenido de los datos trasmitidos es confidencial y/o el
enlace de telecomunicación debe ser protegido contra sabotaje, espionaje, etc. (por ejemplo, canal de señales de
un enlace microonda). También ciertos miembros de la familia desempeñan funciones de direccionamiento además
de encriptación cuando los lados encriptado y no encriptado están conectados a diferentes tipos de interfaz. Las
IP encriptadas pueden proporcionar tráfico direccional, y funciones de limitación de ancho de banda y módulo de
cortafuegos que también pueden incorporarse a pedido respectivamente. Una gran ventaja de la solución en la
aplicación de cortafuegos es que las funciones de filtrado integrados no pueden desconectarse sin autorización.
Es característico para toda la familia que el software interno contiene un sistema operativo de tiempo real altamente
confiable con especificaciones del fabricante que proporciona un nivel muy alto de protección contra sabotaje o
intromisión. Aparte de los distintos tipos enumerados abajo, también pueden encargarse a pedido tipos de interfaz
especificados.
2-Equipo
Asíncrono (RS232/RS422)
Encriptador de secuencia de bits.300bps-115200 bps (ejemplo: para encriptar transferencia de datos con módems
analógicos.)
Lo mismo con el interfaz X.21. En este caso el contenido de datos de la comunicación asíncrona es transferida
sobre una sección de transmisión síncrono con una forma encriptada de la X.21. Dos comunicaciones RS
independientes pueden ser transferidas sobre una secuencia de bits de la X.21.
Lo mismo con dos interfaces E1. Los datos de comunicación asíncrona son insertados en una franja horaria
en forma encriptada. Puede operar como una terminal E1 y la secuencia de datos encriptados puede ser
insertado en la franja horaria libre del enlace respectivamente. Cuatro comunicaciones independientes RS
pueden ser insertadas dentro de franjas horarias libres como máximo.
X.21/X.21 Encriptador. La secuencia de bits entrante es encriptada y transmitida sobre un interfaz similar. Esto
puede ser usado para encriptar entre terminales de una red X.25. La velocidad máxima de la secuencia puede ser
2 Mbps bidireccional total.
X.21/E1 Encriptador. Encripta una secuencia de bits de un X.21 y lo transmite sobre una interfaz E1. La inserción
dentro de una franja horaria de un enlace E1 es también posible.
E1/E1 punto-a-punto encriptador de enlace. Este equipo encripta la totalidad de la secuencia de bits E1 PCM
(ejemplo: encriptación de un enlace microonda como expuesto en Figura 1.).
Una unidad puede encriptar dos enlaces E1 como máximo sobre un modo bidireccional total con diferentes claves
por dirección. Hay posibilidad de formar una configuración 1+1 adaptado al enlace configurado de la microonda.
E1/E1 encriptador de franja horaria. Este equipo puede ser utilizado cuando franjas horarias de un enlace de
transmisión son distribuidas y las franjas horarias individuales no se cancelen en el mismo equipo de transmisión.
(Figura 2.). En este caso el encriptador en el punto de origen puede comunicarse con más unidades encriptadoras
en el extremo remoto. Los grupos individuales de franjas horarias pueden ser configurados en armonía con la
estructura de la red.
DDF
DDF
1E1
2E1
CYPCOM101
1+1
1E1
IDU1
ODU1
IDU2
IDU1
combiner
combiner
1E1
2E1
ODU1
ODU2
2E1
1E1
IDU2
ODU2
2E1
Encryption of 2x2 pcs E1
links, 1+1 configuration
CYPCOM101
1+1
Figure 1.
IP encriptador (Figura 3.). Contiene 4 puertos Ethernet
como máximo, y proporciona funciones de router y
cortafuegos de acuerdo a la solicitud del cliente. El número
de puertos Ethernet pueden incrementarse a pedido. En
caso de conexiones punto-a-punto el paquete completo
de Ethernet es encriptado (incluyendo el encabezado del
IP). En este caso el origen y destino de los domicilios IP
están ocultos sobre la sección encriptada. En caso de una
comunicación en una red IP hay una carga útil encriptada
solo porque los domicilios de origen y destino IP son
necesarios para el direccionamiento en la red. En caso de
pedido, funciones de encriptación en subredes también
pueden proporcionarse. En este caso los domicilios IP de las
subredes son también encriptados (VPN).
CYPCOM101
Pl . 5-20 TS ( 16 T Ss)
5-12TS (8 T Ss)
CYPCOM101
Ethernet/E1 encriptador + puente. Este equipo encripta
una secuencia IP y lo transfiere sobre una sección de
transmisión E1. Cada tipo de encriptador usa el mismo
algoritmo de encriptación y la utilización de la clave es
también la misma. Solamente los interfaces físicos y el
aumento de paquetes de datos son diferentes.
En caso de encriptadores IP las interfaces son de tipo
10/100BaseT con reconocimiento automático. El ancho
de banda efectiva de los datos de secuencia encriptados es
8Mbps Esta velocidad puede incrementarse a pedido.
BS
13- 20TS (8 TS s)
BS
CYPCOM101
Fi gu re 2 .
3- Algoritmos encriptados aplicados
Los miembros de la familia CYPCOM100 encriptan la secuencia de datos con AES (128,192, 256 bits de clave
binaria) o 3DES (128 bits de clave binaria) algoritmos estándar y específicos del fabricante respectivamente. Los
algoritmos estándar DES, 3DES, AES pueden mezclarse con los algoritmos específicos del fabricante. En este caso el
nivel final de seguridad de la encriptación es equivalente a los conocidos algoritmos DES y AES pero la codificación
resultante no es estándar. Las secuencia de datos en las direcciones de transmisión y recepción
10/100BaseT
LAN
CYPC OM102
10/100BaseT
ROUTER
10/100BaseT
10/100BaseT
WAN
ROUTER
CYPCOM102
LAN
Figure
3.
pueden ser encriptados con diferentes claves. En caso del encriptador E1 cada enlace puede ser encriptado con
claves diferentes. La encriptación es desempeñada por poderosos DSP.
Gestión de Claves, carga de clave CYPCOM 100
Los miembros de la CRYPCOM 100 operan con dos tipos de gestión de claves.
En caso de claves estáticas las unidades encriptadoras operan con claves pre-cargadas.
Las claves aplicadas no cambian durante la operación en este caso. La carga de la clave se hace por un
adaptador basado en flash donde las claves son almacenadas en forma específica encriptados por el fabricante.
El adaptador es conectado al encriptador con interfaz y protocolo específico del fabricante.
Las claves almacenadas en el adaptador son transmitidas apretando un botón. Desde este momento el
encriptador usa las claves de transferencia. La carga de la clave al adaptador puede hacerse de dos diferentes
maneras. En el primer caso las claves pre-generadas pueden transferirse al adaptador por medio del programa
gestión de claves para PC. En el otro caso el adaptador por si mismo puede generar
una clave en forma aleatoria al apretar un botón sin el uso de un PC. Las claves almacenadas en el adaptador
nunca podrán volverse a leer. Esto significa que si las claves son generadas por el adaptador las dos
terminaciones solo pueden cargarse con el mismo adaptador.
El programa gestión de claves para PC genera las claves al azar. Las claves generadas no aparecen en el monitor
del usuario, un identificador y un registro de fecha aparecen en vez par el registro posterior de la clave. Todas
las claves generadas son registradas por el software. Durante el registro un texto puede ser adjuntado también
a la clave bajo pedido. La clave generada proporciona la correcta distribución sin repetición de las claves.
Las claves generadas son almacenadas en una memoria basada en flash incorporada en el sistema en forma de
específicos encriptados del fabricante. El dispositivo de almacenamiento no es proporcionado con interfaz estándar
es así que su contenido no puede ser leído por otras herramientas.
En el caso de claves estáticas la carga de una clave puede efectuarse por medio de dos métodos diferentes. De
acuerdo al primero una de las claves es cargada en una terminación solamente. Similar al método dinámico
las nuevas claves aparecen por medio de comunicación entre las terminaciones. De acuerdo al otro método, las
claves pueden cargarse separadamente en las dos terminaciones. Las claves en este caso no aparecen en la
comunicación entre las terminales ni siquiera en forma encriptado. En ambos casos las nuevas claves estarán
activas solo si la carga de las claves es terminada en ambos extremos.
En caso de un modo de operación dinámico las claves son cambiadas por el equipo con una generación de clave
aleatoria. La frecuencia del cambio de clave puede ser configurado. En este modo de operación la carga de
la clave inicial es también necesaria (validación) la que será cambiada inmediatamente por una clave generada
al azar. El cambio de la clave es realizado con un algoritmo y protocolo en forma específica con encriptado del
fabricante. La conformidad de claves en ambas terminaciones es controlado regularmente pero más veces que el
mínimo de un valor prefijado con un algoritmo especifico del fabricante.
4- Supervisión de servicio, comunicación entre terminaciones encriptados
Las terminaciones encriptadas se comunican entre ellas de acuerdo a diferentes métodos dependiendo de la
configuración. En el caso del encriptador RS232/422 las dos terminaciones comunican con la inserción de mensajes
de servicio. Esto hace decrecer levemente el ancho de banda efectivo. En el caso de una sección ecriptada de
X.21 las dos terminaciones se comunican con la inserción de mensajes de servicio HDLC.
En el caso del encriptador E1 la comunicación comienza por usar los bits adecuados de PCM. Cualquiera
de los bits libres disponibles pueden usarse para la comunicación. Los bits a usarse pueden ser
seleccionados cuando se configure el equipo. Si los bits disponibles ya se están usando por el equipo de
transmisión es también posible configurar un canal especial de servicio.
En el caso de un encriptador basado en Ethernet las dos terminaciones se comunican entre ellos por medio
de mensajes que no son de un Ethernet IP. Estos mensajes son insertados dentro de los mensajes útiles, la
perdida de banda ancha es insignificante porque estos mensajes de servicio ocurren raramente con paquetes
cortos.
El intercambio de información es realizado con un protocolo específico del fabricante, protocolo superpuesto
arriba del UDP en el caso de encriptadores IP.
La supervisión remota del equipo, el envío de mensajes de alarma, la consulta de status y datos estadísticos
pueden proporcionarse por medio de uno de los siguientes métodos dependiendo de la demanda del cliente:
Via IP Usando una franja horaria opcional Con un modem GSM (opcional)
Seguridad, protección contra sabotaje
El retiro de la tapa del equipo es detectado y las claves se borran en el momento de la apertura. El equipo tiene
un status inválido.
Después de volver a instalar la tapa las claves deben ser cargadas nuevamente para iniciar la operación del equipo.
Las claves son almacenadas en el equipo en forma codificada pero no son borradas en caso de corte de
suministro eléctrico. Esto significa que después del corte de energía las claves no tienen que cargase de nuevo.
La solución del circuito interno impide la lectura de las claves almacenadas en forma codificada por medición
eléctrica o por conexión.
El equipo registra cualquier remoción de la tapa de la carga de claves y lo almacena junto con el registro de
fecha. Estos registros pueden ser leídos por el software del servicio de supervisión.
Modelo Encriptador Opcional Cliente-especifico
En el caso de un pedido es posible fabricar
un modelo derivado del cliente con un
algoritmo no-publico dentro del encriptador
(Figure 4.). Hasta que el modulo de extensión
no sea incorporado, un módulo puente
trasmite los datos entre los punto de conexión
internos. Después de incorporarlo en el modulo
del cliente la totalidad de la secuencia de
datos a encriptar pasa por el codificador del
cliente-especifico. El suministro y el tamaño
geométrico del modulo cliente especifico puede
armonizarse después de la discusión. El modulo
no puede ser eludido por medios de software
después de colocarlo en el encriptador. En lo
que concierne a su operación la encriptación (el
mutuo adecuado inequívoco) de bloques con 2,
4 o 8 bytes se llevará a cabo con la velocidad
requerida.
Output d ata b lock
Input data b lock
Output d ata blo ck
User specific e xpansio n
encryption/decr yption m od ul
Input data b lock
RD/WR
RD/WR
Figure 4 .
Alicia Moreau de Justo 1780 3º F-B
C1107AFJ | Puerto Madero | Buenos Aires | Argentina
Tel/fax: +54 11 5093-3111 | [email protected]
www.gigsrl.com
Descargar