r.wicik@wil.waw.pl

Notes, 1/23

Kryptologia i kryptograficzna ochrona informacji

Miejsce, rola i zasady działania urz dze kryptograficznej ochrony

informacji w systemach teleinformatycznych

dr in

ż

. Robert Wicik

Wojskowy Instytut Ł

ą

czno

ś

ci

r.wicik@wil.waw.pl

rwicik@op.pl

Plan

1.

Wprowadzenie

2.

Rodzaje urz dze utajniaj cych

3.

Aparat telefoniczny z utajnianiem

4.

Urz dzenia utajniaj ce dane (przechowywane, przesyłane)

5.

Urz dzenia utajniaj ce transmisj danych o du ych przepływno ciach

6.

Urz dzenia utajniaj ce ł czno pakietow

r.wicik@wil.waw.pl

Notes, 2/23

1. Wprowadzenie

Urz dzenia kryptograficznej ochrony informacji

•

Urz dzenia realizuj ce usługi kryptograficznej ochrony informacji

poufno

integralno

uwierzytelnienie

niezaprzeczalno

generacja, dystrybucja i uzgadnianie kluczy

Zalety (typowe)

Zapewniaj wysoki poziom bezpiecze stwa

Mało podatne na ingerencj i modyfikacj

Łatwe w eksploatacji (cz sto bezobsługowe)

Wady (typowe)

Spore koszty zakupu i eksploatacji

Małe mo liwo ci dostosowywania do nowych potrzeb

r.wicik@wil.waw.pl

Notes, 3/23

2.a. Rodzaje urz dze utajniaj cych

Podział ze wzgl du na obszar zastosowa

1.

Do zastosowa komercyjnych

redni poziom bezpiecze stwa (za to ta sze)

2.

Do zastosowa rz dowych

wysoki poziom bezpiecze stwa

certyfikat Krajowej Władzy Bezpiecze stwa (ABW, SKW)

3.

Do zastosowa militarnych

wysoki poziom bezpiecze stwa

certyfikat Krajowej Władzy Bezpiecze stwa (ABW, SKW)

dodatkowe wymagania niezawodno ciowe, wytrzymało ciowe i klimatyczne

Podział ze wzgl du na interfejs zewn trzny

1.

Urz dzenia utajniaj ce dane (off-line)

urz dzenie posiada tylko funkcje ochrony informacji

nie posiada interfejsów teletransmisyjnych (poza we/wy danych)

2.

Urz dzenia utajniaj ce na poziomie ł cza danych

urz dzenie posiada funkcje ochrony informacji oraz interfejs

teletransmisyjny na poziomie ł cza (protocol transparent)

utajnia wszystkie dane w ł czu – kompletne ramki, pakiety wraz z danymi

3.

Urz dzenia utajniaj ce w ramach protokołów komunikacyjnych

urz dzenie posiada funkcje ochrony informacji oraz interfejs na poziomie

protokołu komunikacyjnego (protocol sensitive)

utajnia tylko pole danych w ramach ramek i pakietów lub formułuje nowe

ramki i pakiety

r.wicik@wil.waw.pl

Notes, 4/23

2.b. Rodzaje urz dze utajniaj cych

Schemat sieci urz dze utajniaj cych ł cza dzier awione lub komutowane

UU

L

Sie telekomunikacyjna

Modem

Terminal

UU

L

Modem

Terminal

UU

L

Modem

Terminal

UU

L

Modem

Terminal

Ł

ą

cze

dzier

ż

awione

Ł

ą

cze

zestawione

utajnianie odbywa si w ramach zestawionego ł cza na stałe (dzier awione) lub

na czas transmisji (komutowane)

utajnianie jest transparentne dla protokołów – maskuje cały ruch

zastosowanie:



utajnianie mowy (cyfryzacja, kompresja wokoderowa, utajnianie,

transmisja z wykorzystaniem modemów)



transmisja danych na dedykowanym ł czu (utajnianie, transmisja

modemowa)



utajnianie traktów teletransmisyjnych (np. mi dzy w złami ł czno ci)

r.wicik@wil.waw.pl

Notes, 5/23

2.c. Rodzaje urz dze utajniaj cych

Schemat sieci urz dze utajniaj cych ł cza w sieci

UU

L

UU

L

Sie

Modem

Switch

Terminal

UU

L

Modem

Terminal

Switch

UU

L

UU

L

UU

L

UU

L

UU

L

UU

L

UU

L

Switch

utajnianie odbywa si w ramach ł cz mi dzy terminalami, w złami sieci,

przeł cznikami sieciowymi

utajnianie jest transparentne dla protokołów – maskuje cały ruch

niezb dna jest modyfikacja sieci i uzupełnienie jej o du

ilo urz dze

utajniaj cych

zastosowanie:



historyczny sposób utajniania w sieciach pakietowych (X.25)



stosowany mi dzy w złami pakietowymi w sieciach wydzielonych

r.wicik@wil.waw.pl

Notes, 6/23

2.d. Rodzaje urz dze utajniaj cych

Schemat sieci urz dze utajniaj cych w ramach protokołów komunikacyjnych

UU

P

Sie

Modem

Switch

Terminal

UU

P

Modem

Terminal

Switch

Switch

UU

P

Modem

Terminal

utajnianie odbywa si w ramach protokołów komunikacyjnych – utajniane

pola danych w ramach ramek, pakietów lub formułowanie nowych pakietów

utajnianie nie jest transparentne dla protokołów (dedykowane urz dzenia dla

poszczególnych protokołów)

wymaga dodatkowych zabezpiecze przed ingerencj poprzez sie

nie ma potrzeby modyfikacji sieci

zastosowanie:



współcze nie stosowane do utajniania danych od ródła do uj cia

(end-to-end, border-to-border) w sieciach pakietowych (X.25, IP, ATM)

r.wicik@wil.waw.pl

Notes, 7/23

2.e. Rodzaje urz dze utajniaj cych

1.

Utajnianie mowy

w ł czno ci telefonicznej z wykorzystaniem ł cz analogowych (PSTN)

w ł czno ci telefonicznej z wykorzystaniem ł cz cyfrowych (ISDN)

w telefonii GSM (telefon kom. - stacja bazowa, pomi dzy telefonami kom.)

2.

Utajnianie transmisji danych o niskiej przepływno ci

w transmisji faksowej

w transmisji modemowej w ramach ł cz analogowych (PSTN)

w transmisji danych w ramach sieci ISDN

w telefonii GSM

3.

Utajnianie ł cz teletransmisyjnych o wysokiej przepływno ci

w ł czno ci mi dzy w złami ł czno ci (G.703, Eurocom)

w ł czno ci mi dzy w złami pakietowymi (V.35)

4.

Utajnianie danych w ramach systemów komputerowych

danych przechowywanych w systemach komputerowych (np. pliki z

dokumentami, bazy danych)

danych przesyłanych mi dzy stanowiskami komputerowymi (np. utajniona

poczta elektroniczna, przesyłanie utajnionych plików, utajnione strony www

poprzez SSL)

danych przesyłanych mi dzy sieciami komputerowymi (np. urz dzenie

utajniaj ce dla sieci IP)

Urz dzenia wspomagaj ce

generacj kluczy (z wykorzystaniem sprz towego generatora liczb losowych)

uzbrajanie no ników i urz dze w dane kryptograficzne

(inteligentne) identyfikatory u ytkowników

inteligentne no niki kluczy

r.wicik@wil.waw.pl

Notes, 8/23

3.a. Aparat telefoniczny z utajnianiem

PSTN

Aparat z

utajnianiem

Dane/Fax

ISDN

Aparat z

utajnianiem

Aparat z

utajnianiem

Dane/Fax

Aparat bez

utajniania

GSM

Aparat telefoniczny z utajnianiem

pracuje w sieci (jednej z nich):



PSTN (Public Switched Telephone Network – Publiczna Komutowana

Sie Telefoniczna)



ISDN (Integrated Services Digital Network – Cyfrowa Sie Usług

Zintegrowanych)



GSM (Global System for Mobile Communications)



VoIP – Voice over Internet Protocol – Telefonia wykorzystuj ca protokół

IP

umo liwia utajnianie:



transmisji mowy (po cyfryzacji)



transmisji faksowej



transmisji danych (z doł czonego komputera)

umo liwia prac :



na zestawionym ł czu mi dzy dwoma aparatami (dzier awionym lub
komutowanym w sieci PSTN)



w cyfrowej sieci ISDN, GSM lub IP



w ramach poł czenia konferencyjnego (PSTN lub ISDN)

r.wicik@wil.waw.pl

Notes, 9/23

3.b. Aparat telefoniczny z utajnianiem

Przykładowa aplikacja telefonu z utajnianiem dla:



sieci PSTN – wokoderowy aparat telefoniczny z utajnianiem



sieci ISDN – cyfrowy aparat telefoniczny z utajnianiem



linii dzier awionej

aparat

wokoderowy

z utajnianiem

aparat

wokoderowy

z utajnianiem

Public Switched

Telephone Network

PSTN

Integrated Services

Digital Network

ISDN

Linia dzier

ż

awiona

data

fax

aparat ISDN

z utajnianiem

aparat ISDN

z utajnianiem

data

fax

aparat bez

utajniania

aparat bez

utajniania

r.wicik@wil.waw.pl

Notes, 10/23

3.c. Aparat telefoniczny z utajnianiem

Aparat wokoderowy z utajnianiem

Modem

Mowa

Uwierzytelnienie

Synchronizacja

Utajnianie

Interfejs do

transmisji

faksowej

Cyfryzacja i

kompresja

mowy

Interfejs do

transmisji

danych

Fax

Dane

Dane w lini

abonenck

Kontrola

dost pu

Zarz dzanie

kluczami

Obudowa

Aparat wokoderowy z utajnianiem umo liwia prowadzenie utajnionej transmisji

mowy, faksów i danych w sieciach PSTN (na komutowanych, analogowych ł czach

telefonicznych)

sygnał mowy jest poddawany kodowaniu – cyfryzacji i kompresji, aby był

podatny na utajnianie i transmisj modemow

sygnały transmisji faksowej i danych s zamieniane na sygnał podatny

utajnianiu i transmisji modemowej

moduł kryptograficzny realizuje funkcje uwierzytelnienia abonentów,

synchronizacji kryptograficznej oraz utajniania przesyłanych sygnałów

moduł kryptograficzny jest wspomagany przez mechanizmy kontroli dost pu

oraz zarz dzania kluczami (realizowane z wykorzystaniem identyfikatora –

no nika kluczy)

modem realizuje cyfrow transmisj utajnionych sygnałów (2800-9600b/s)

obudowa spełniaj ca normy kompatybilno ci elektromagnetycznej (EMC –

redukcji promieniowania i odporno ci na nara enia elektromagnetyczne)

r.wicik@wil.waw.pl

Notes, 11/23

3.d. Aparat telefoniczny z utajnianiem

Cyfrowy aparat z utajnianiem dla sieci ISDN

Interfejs

ISDN

Mowa

Uwierzytelnienie

Synchronizacja

Utajnianie

Interfejsy do

transmisji

danych,

faksów i video

Cyfryzacja

(kompresja)

mowy

Dane

Fax

Video

Dane w sie

ISDN

Kontrola

dost pu

Zarz dzanie

kluczami

Obudowa

Cyfrowy aparat z utajnianiem umo liwia prowadzenie utajnionej transmisji

mowy, faksów, danych i video w sieci ISDN

sygnał mowy jest poddawany kodowaniu – cyfryzacji i czasami kompresji, aby

był podatny na utajnianie i transmisj w cyfrowych kanałach ISDN

sygnały transmisji faksowej, danych i video s zamieniane na sygnał podatny

utajnianiu i transmisji w kanałach ISDN

moduł kryptograficzny realizuje funkcje uwierzytelnienia abonentów,

synchronizacji kryptograficznej oraz utajniania przesyłanych sygnałów

moduł kryptograficzny jest wspomagany przez mechanizmy kontroli dost pu

oraz zarz dzania kluczami (realizowane z wykorzystaniem identyfikatora –

no nika kluczy)

interfejs ISDN realizuje cyfrow transmisj utajnionych sygnałów (do 128kb/s)

obudowa spełniaj ca normy kompatybilno ci elektromagnetycznej (EMC –

redukcji promieniowania i odporno ci na nara enia)

r.wicik@wil.waw.pl

Notes, 12/23

3.e. Aparat telefoniczny z utajnianiem

Funkcje modułu kryptograficznego

1.

Identyfikacja i uwierzytelnienie



identyfikacja abonentów (wymiana numerów kryptograficznych, danych

personalnych)



uwierzytelnienie abonentów (modułów kryptograficznych) przy pomocy

kodów, protokołów uwierzytelniaj cych

2.

Synchronizacja kryptograficzna



wybór kluczy relacji



uzgodnienie kluczy sesji



zainicjowanie pracy szyfratorów

3.

Utajnianie



utajnianie danych wysyłanych w lini (cyfrowego sygnału mowy, danych)

Funkcje identyfikatora u ytkownika – no nika kluczy

1.

Przechowywanie danych o u ytkowniku (to samo , uprawnienia)

2.

Przechowywanie danych uwierzytelniaj cych (hasło, klucze)

3.

Przechowywanie kluczy słu

cych do:



uwierzytelniania



uzgadniania kluczy sesji



utajniania

r.wicik@wil.waw.pl

Notes, 13/23

4.a. Urz dzenia utajniaj ce dane

Urz dzenia typu off-line

1.

Utajnianie danych przechowywanych w systemach komputerowych:



dokumenty elektroniczne



pliki z danymi



katalogi z plikami na dysku

realizowane przez:



szyfruj ce karty rozszerze (ISA, PCI, PCiMCIA)



urz dzenia szyfruj ce doł czane przez zewn trzne porty komunikacyjne

(szeregowe lub równoległe)

Urz dzenia typu on-line

2.

Utajnianie danych przesyłanych w sieci:



pliki z danymi



poczta elektroniczna



dane wymieniane w ramach aplikacji klient-serwer

realizowane przez:



szyfruj ce karty rozszerze (ISA, PCI, PCiMCIA)



urz dzenia szyfruj ce doł czane jako po rednie na styku komunikacyjnym

do sieci ł czno ci

3.

Utajnianie danych przesyłanych w liniach komutowanych lub dzier awionych:



utajnianie transmisji mowy, danych, faksów

realizowane przez:



modemy z utajnianiem



przystawki utajniaj ce do telefonów



przystawki utajniaj ce do faksów

r.wicik@wil.waw.pl

Notes, 14/23

4.b. Urz dzenia utajniaj ce dane

Przykładowa aplikacja karty szyfruj cej:



pliki z danymi przechowywanymi na stanowiskach komputerowych



pliki z danymi przesyłanymi w sieci i z wykorzystaniem modemów



poczt elektroniczn

PSTN

ISDN

LAN

serwer
plików

serwer

dost

ę

powy

karta

szyfruj

ą

ca

karta

szyfruj

ą

ca

karta

szyfruj

ą

ca

Karta szyfruj ca realizuj ca utajnianie danych jest wspomagana przez:



aplikacj umo liwiaj c dost p do plików i poczty oraz komunikacj z kart



identyfikator u ytkownika – no nik kluczy

r.wicik@wil.waw.pl

Notes, 15/23

4.c. Urz dzenia utajniaj ce dane

Przykładowa aplikacja modemu z utajnianiem:



do utajniania danych przy dost pie do sieci komputerowej



do utajniania danych przesyłanych mi dzy stanowiskami komputerowymi



do utajniani danych na liniach dzier awionych

Public Switched

Telephone Network

PSTN

Linia dzier

ż

awiona

modem z

utajnianiem

modem z

utajnianiem

modem z

utajnianiem

LAN

serwer

modem z

utajnianiem

modem z

utajnianiem

r.wicik@wil.waw.pl

Notes, 16/23

5.a. Urz dzenia utajniaj ce transmisj danych o du ych

przepływno ciach

Przeznaczenie

do utajniania na stałe zestawionych grupowych ł czy teletransmisyjnych

mi dzycentralowych i mi dzyw złowych o du ych przepływno ciach od

256kb/s do 155Mb/s

Rodzaj utajniania

utajnianie na poziomie ł cza całego ruchu w ł czu teletransmisyjnym

(mi dzycentralowym, mi dzyw złowym)

Interfejsy (przykładowe)

G.703, Eurocom (mi dzycentralowe)

V.35 (mi dzyw złowe)

Przebieg sesji utajniania w relacji ł czno ci

wzajemne uwierzytelnienie urz dze utajniaj cych

wybranie kluczy relacji

uzgodnienie kluczy sesji

synchronizacja szyfratorów

utajnianie ł cza

resynchronizacja

zako czenie sesji

r.wicik@wil.waw.pl

Notes, 17/23

5.b. Urz dzenia utajniaj ce transmisj danych o du ych

przepływno ciach

Przykładowy schemat blokowy urz dzenia utajniaj cego ł cze

Interfejsy do ł cz

teletransmisyjnych

dane

jawne

Uwierzytelnienie

Synchronizacja

Utajnianie

Interfejsy do

ł cz danych

dane

utajnione

Kontrola

dost pu

Zarz dzanie

kluczami

Obudowa

Funkcje modułu kryptograficznego

1.

Uwierzytelnienie



uwierzytelnienie współpracuj cych ze sob urz dze przy pomocy kodów,

protokołów uwierzytelniaj cych

2.

Synchronizacja kryptograficzna



wybór kluczy relacji



uzgodnienie kluczy sesji



zainicjowanie i zsynchronizowanie szyfratorów

3.

Utajnianie



utajnianie danych wysyłanych w ł cze teletransmisyjne



kontrola poprawno ci synchronizacji

r.wicik@wil.waw.pl

Notes, 18/23

5.c. Urz dzenia utajniaj ce transmisj danych o du ych

przepływno ciach

Przykładowa aplikacja urz dzenia utajniaj cego ł cze mi dzycentralowe

UU

Abonenci

Ł cznica

Ł cznica

UU

UU

UU

Abonenci

G703

G703

G703

G703

G703

utajnianie odbywa si w ramach zestawionych na stałe ł cz

mi dzycentralowych

utajnianie jest transparentne dla protokołów – maskuje cały ruch abonencki

(mowa, dane, fax, video)

r.wicik@wil.waw.pl

Notes, 19/23

5.d. Urz dzenia utajniaj ce transmisj danych o du ych

przepływno ciach

Przykładowa aplikacja urz dzenia utajniaj cego ł cze mi dzyw złowe

UU

Sie

LAN

Router

Router

UU

UU

UU

Sie

LAN

V.35

V.35

V.35

V.35

G703

utajnianie odbywa si w ramach zestawionych na stałe ł cz mi dzyw złowych

utajnianie jest transparentne dla protokołów – maskuje cały ruch z

doł czonych sieci

aby cz

ruchu sieciowego przekierowa do innego w zła nale y cz

danych

odtajni i ponownie utajni

r.wicik@wil.waw.pl

Notes, 20/23

6.a. Urz dzenia utajniaj ce ł czno pakietow

Przeznaczenie

do utajniania danych od ródła do uj cia (end-to-end, border-to-border) w

ramach ł czno ci sieciowej (mi dzyw złowej)

Rodzaj utajniania

urz dzenie posiada interfejs na poziomie protokołu komunikacyjnego (protocol

sensitive)

utajnia tylko pole danych w ramach ramek i pakietów danego protokołu albo

formułuje nowe ramki i pakiety

Interfejsy

X.25, IP, ATM

PUU

Sie pakietowa

ródło/uj cie

danych

PUU

PUU

ródło/uj cie

danych

ródło/uj cie

danych

r.wicik@wil.waw.pl

Notes, 21/23

6.b. Urz dzenia utajniaj ce ł czno pakietow

Przykładowa aplikacja urz dzenia utajniaj cego w sieci X.25

Sie

ć

X.25

UU dla X.25

UU dla X.25

UU dla X.25

UU dla X.25

Centrum

zarz

ą

dzania sieci

ą

utajnion

ą

utajnianie informacji u ródła – odtajnianie u uj cia (nie ma znaczenia

droga telekomunikacyjna)

utajnianie logiczne kanały sieci X.25

utajnia pola danych w ramach pakietów X.25

pole adresowe pakietu jest nieutajnione i pozwala na kierowanie

utajnionego pakietu do adresata

r.wicik@wil.waw.pl

Notes, 22/23

6.c. Urz dzenia utajniaj ce ł czno pakietow

Przykładowa aplikacja urz dzenia utajniaj cego w sieci IP

internet

LAN

file

server

web

server

LAN

UU IP

UU IP

UU IP

Centrum

zarz

ą

dzania

ł

ą

czno

ś

ci

ą

utajnion

ą

utajnianie informacji u ródła – odtajnianie u uj cia (nie ma znaczenia

droga telekomunikacyjna)

stosowane przy serwerach danych, na wyj ciu sieci lokalnych, przy

indywidualnym stanowisku zdalnego dost pu do serwera (dial-up)

utajnianie sesji komunikacji pakietowej (IP-Sec)

utajnianie pola danych w ramach pakietów IP, lub całych pakietów po

dodaniu nowego nieutajnionego nagłówka

r.wicik@wil.waw.pl

Notes, 23/23

6.d. Urz dzenia utajniaj ce ł czno pakietow

Przykładowa aplikacja urz dzenia utajniaj cego w sieci ATM

sie

ć

ATM

LAN

LAN

UU ATM

UU ATM

UU ATM

utajnianie informacji u ródła – odtajnianie u uj cia

utajnianie komórek ATM w ramach kanałów wirtualnych (Permanent

Virtual Circuit, Switched Virtual Circuit)

pole adresowe jest nieutajnione i pozwala na kierowanie utajnionych

komórek do adresata

pr dko działania do 155Mb/s

interfejsy do sieci SDH (Synchronous Digital Hierarchies) oraz do ródeł

danych (sieci komputerowe, urz dzenia video, ...)