1

Pakietowe urządzenia 

utajniającego 

IP-Krypto

2

PRZEZNACZENIE IP-KRYPTO

IP-KRYPTO przeznaczone jest do zapewnienia 
kryptograficznej ochrony informacji o klauzuli do 
TAJNE włącznie przesyłanych między zamkniętymi, 
lokalnymi sieciami komputerowych LAN poprzez 
otwarte sieci IP.

Bezpieczeństwo ruchu w sieci IP (border to border 
encryption)

3

4

Funkcje IP-KRYPTO (1)

  utajnianie  i  odtajnianie  pakietów  IP  na  granicy  sieci 
zamkniętej 

i  otwartej,  przez  szyfrowanie  blokowe,  umożliwiając 

bezpieczne 

nadawanie  i odbiór  utajnionych  pakietów  IP 

poprzez  sieć  otwartą, 

wykorzystując  niechroniony, 

standardowy styk ETHERNET 

10/100BaseT.

 ochrona informacji do klauzuli TAJNE włącznie
  możliwość  tworzenia  bezpiecznych  kanałów  z  innymi 
urządzeniami     

tego  typu  (co  najmniej  kilkadziesiąt 

jednoczesnych relacji)
  możliwość  realizacji  sieci  z  obsługą  co  najmniej  kilkaset 
urządzeń;

5

Funkcje IP-KRYPTO (2)

  utajnianie  pakietów  IP  oraz  opatrywanie  je  własnymi 

nagłówkami  ze zmienionymi adresami;
  ochrona  szyfrowanych  informacji  poprzez  „sekret  klucza” 

oraz       innych danych kryptograficznych
  realizacja  protokółu  wymiany  danych  oraz  uzgodnienia 

kluczy  sesyjnych;
    ochrona  przetwarzanych  informacji  uniemożliwiając 

elektromagnetyczne  przenikanie  na  zewnątrz  obudowy 

sygnałów  niosących informacje wrażliwe (niejawne)

6

Występując 

z 

wnioskiem 

o 

wydanie 

certyfikatu, 

Występując 

z 

wnioskiem 

o 

wydanie 

certyfikatu, 

wnioskodawca zgodnie z kryteriami ITSEC musi określić:

wnioskodawca zgodnie z kryteriami ITSEC musi określić:



wnioskowany poziom poprawności,

wnioskowany poziom poprawności,



wnioskowaną klasę funkcjonalności,

wnioskowaną klasę funkcjonalności,



wnioskowaną siłę mechanizmów zabezpieczeń.

wnioskowaną siłę mechanizmów zabezpieczeń.

Urządzenie IP-KRYPTO

Urządzenie IP-KRYPTO

klauzula

poziom 

poprawności

klasa 

funkcjonalności

siła mechanizmów 

zabezpieczeń

TAJNE

E-3

F-DX

wysoka

Wnioskowany poziom oceny IP-KRYPTO

Wnioskowany poziom oceny IP-KRYPTO

7

Ethernet

UŻYTKOWNICY

SIECI ZAMKNIĘTEJ

IP-KRYPTO

ROUTER

Ethernet

UŻYTKOWNICY

SIECI ZAMKNIĘTEJ

IP-KRYPTO

ROUTER

Ethernet

UŻYTKOWNICY

SIECI ZAMKNIĘTEJ

IP-KRYPTO

ROUTER

SIEĆ

OTWARTA

Stacja Generacji

i Dystrybucji

Danych Kryptograficznych

KURIERSKA

DYSTRYBUCJ A

DANYCH

KRYPTOGRAFICZNYCH

IP-KRYPTO

INTERFEJ SY ZEWNĘTRZNE

STANDARD 10/100Base-T

"RED"

"BLACK"

R

B

R

B

B

R

8

Szyfrator  Optimus S.A. – ABA  IPSec Gate

Firmy  Optimus  oraz  ABA  Kraków  opracowały  szyfrator 
Optimus  ABA  IPSec  Gate  oraz  stanowisko  generacji 
kluczy.

Szyfrator  Optimus  ABA  IPSec  Gate  otrzymał  certyfikat 
JC  DBTI  ABW    do  ochrony  informacji  niejawnych  o 
klauzuli ZASTRZEŻONE.

Szyfrator ten jest wykorzystywany do ochrony sieci IP 
w wielu instytucjach, m.in. w Straży Granicznej

9

Platforma sprzętow

Platforma sprzętow

a

a

 

 

Optimus ABA IPSec 

Optimus ABA IPSec 

Gate

Gate

WIŁ

WOJSKOWY  INSTYTUT  
ŁĄCZNOŚCI

  INTEL Pentium Celeron 2,0 GHz 
  Pamięć RAM 128 MB 
  Pamięć FLASH 8MB 
  Do  4  interfejsów  Fast  Etherent 

10/100BaseT 

  Do 2 interfejsy RS232
  Obsługa połączeń modemowych
  Konsola systemowa - RS232 
  Sprzętowy 

generator 

liczb 

losowych (INTEL)

  Zewnętrzna pamięć FLASH USB

10

Szyfrator CompCrypt ETA-VPN (1)

Szyfrator ETA-VPN realizuje funkcje integralności i ochrony 

poufności przesyłanych danych w sieciach IP.  

Uwierzytelnienie systemu zostało oparte o rozwiązanie 

infrastruktury klucza publicznego (PKI).

Szyfrator został zaprojektowany w taki sposób, aby spełnić 

wymagania ABW dla urządzeń przetwarzających i 

przesyłających informacje o klauzuli „zastrzeżone” i 

„poufne”

 

11

Szyfrator CompCrypt ETA-VPN (2)

•Szybkie szyfrowanie transmisji danych (100 Mb/s).

•Zawiązywanie do 3000 tuneli.

•Algorytmy:  DES,  3DES,  AES  128,  192,  256,  algorytm 
narodowy.

•Algorytm  RSA  do  uwierzytelnienia  urządzeń  w  protokole 
IPSec.

•Wbudowana funkcjonalność firewalla.

•Routing statyczny.

•Wykorzystanie fizycznego źródła ciągów losowych.

•Przechowywanie 

kluczy 

głównych 

urządzenia 

z 

wykorzystaniem metody podziału sekretu.

•Temperatura pracy: +5 do +50°C.

Producent: Comp S.A.

12

Szyfrator Thales  TCE 621 IP Crypto Device

TCE  621  zabezpiecza  komunikację  pomiędzy  dwoma 
hostami  albo  pomiędzy  siecią  przedsiębiorstwa  a 
siecią IP poprzez usługi kryptografii border to border 
dodane do protokołu IP.

Wszystkie  usługi  bezpieczeństwa  zapewniane  są 
poprzez  protokół  IPSec  ESP  (Encapsulation  Security 
Payload).

Przedni 

panel 

używany 

jest 

do 

początkowej 

konfiguracji oraz manualnej obsługi urządzenia.

Crypto 

Ignition 

Key 

(CIK) 

jest 

używany 

do 

przechowywania 

kluczy 

inicjujących. 

Z 

chwilą 

odłączenie CIK urządzenie zostaje rozbrojone.

13

Thales  TCE 621 IP Crypto Device   (Norway)

• algorytm akceptowany przez NATO 
• transfer 10 Mbit/s
• do 1000 szyfrowanych kanałów
• AMSG 720 B
• temperatury: pracy (0/+55

0

C),  przechowywania (-

30/+70

0

C) 

14

Sectera In-Line Network Encryptor   (USA)

Based 

on 

the 

Internet 

security 

and 

key 

management  protocols  IP  Security/Internet  Key 
Exchange  (IPSec/IKE),  the  Sectéra  INE  meets  the 
new  U.S.  Government  standards  for  security  and 
network  operations.  The  architecture  is  software 
upgradeable  to  be  fully  compliant  with  the  future 
High Assurance IP Interface Specification (HAIPIS).

The Sectéra INE is fully 

software reprogrammable 

over the network.

15

IPSec a IP

IPSec a IP

Protokół IPSec stanowi uzupełnienie funkcjonalności 
protokołu IP o ochronę danych. 

Głównym zadaniem protokołu IPSec jest szyfrowanie 
i uwierzytelnianie całego ruchu na poziomie 
warstwy IP, niezależnie od protokołów stosowanych 
w wyższych warstwach sieci o architekturze TCP/IP. 

IPSec pracuje w dwóch trybach: 

• transportowym, 
• tunelowym. 

16

Tryb transportowy

WIŁ

WOJSKOWY  INSTYTUT  
ŁĄCZNOŚCI

W 

trybie 

transportowym 

zabezpieczeniu 

podlega 

segment 

danych 

pakietu 

IP, 

natomiast 

nagłówek 

IP 

pozostaje 

nie 

zmieniony.  Pomiędzy  segment  danych  i 
nagłówek  IP  dodatkowo  wstawiany  jest 
nagłówek IPSec.

17

Tryb tunelowy

Tryb tunelowy

WIŁ

WOJSKOWY  INSTYTUT  
ŁĄCZNOŚCI

W  trybie  tunelowym  zabezpieczeniu  podlega  cały 
pierwotny pakiet IP, stając się segmentem danych 
nowego  pakietu  IP  wyposażanego  w  nowy 
nagłówek  IP  oraz  znajdujący  się  pomiędzy  nim  i 
segmentem  danych  nagłówek  IPSec.  Tym 
sposobem  także  nagłówek,  a  nie  tylko  segment 
danych podlega ochronie IPSec. 

18

Platforma sprzętowa

Platforma sprzętowa

 

 

IP-Krypto WIŁ

IP-Krypto WIŁ

  Płyta główna Iwill G478
·   Procesor  Pentium  IV  1,6  GHz  lub 
wyższy

  Pamięć RAM 128 MB 
  Pamięć FLASH 32MB 
  6 

interfejsów 

Fast 

Etherent 

100/10BaseT

  2 interfejsy RS232
  

Sprzętowy 

generator 

liczb 

losowych (INTEL)

  Moduł 

kryptograficzny 

8 

MB 

(IBDK)

19

WIŁ

WOJSKOWY  INSTYTUT  
ŁĄCZNOŚCI

Platforma sprzętowa

Platforma sprzętowa

 

 

IP-Krypto WIŁ

IP-Krypto WIŁ

20

Oprogramowanie

Oprogramowanie

 

 

IP-KRYPTO

   Szyfrator IP pracujący w technologii IPSec. 
   Wykorzystana  technologia  -  Encapsulation  Security 

Payload  

   Nagłówki uwierzytelniające 
   Protokół ISAKMP 
   Praca w trybie tunelowym lub transportowym. 
  Uwierzytelnienie stron 

Podstawą  systemu  IP-KRYPTO  jest  jądro  systemu  LINUX 
oraz  implementacja  IPSec  o  nazwie  FreeS/WAN.   
Podstawowe cechy: 

21

Oprogramowanie

Oprogramowanie

 

 

IP-KRYPTO

• Protokół wymiany kluczy,

•  Możliwość  ustawienia  czasu  ważności  klucza  sesji  i 
automatyczny rekeying,

• Algorytmy szyfrowania sesji

•  Dystrybucja  danych  konfiguracyjnych  oraz  kluczy 
publicznych 

za 

pomocą 

pamięci 

FLASH 

USB 

zabezpieczonej kodem dostępu,

• 

Ilość 

równocześnie 

zestawianych 

połączeń 

- 

ograniczona jedynie wydajnością sprzętu,

•Podstawowe funkcje rutowania pakietów IP. 

22

Kryptografia w urządzeniu IP-KRYPTO

Kryptografia w urządzeniu IP-KRYPTO

W urządzeniu IP-KRYPTO będą 
wykorzystywane n/w przekształcenia 
kryptograficzne:

• 

algorytm szyfru blokowego,

• kryptograficzna funkcja skrótu,
• kryptografia asymetryczna

• schemat Diffie – Hellmana
• podpisy cyfrowe

23

Literatura

     

[1] RFC 2104 „HMAC: Keyed-Hashing for Message Authentication”.

[2] RFC 2401 „Security Architecture for the Internet Protocol”.
[3] RFC 2402 „IP Authentication Header”.
[4] RFC 2403 „The Use of HMAC-MD5-96 within ESP and AH”.
[5] RFC 2404 „ The Use of HMAC-SHA-1-96 within ESP and AH”.
[6] RFC 2405 „The ESP DES-CBC Cipher Algorithm With Explicit IV”.
[7] RFC 2406 „IP Encapsulating Security Payload”.
[8] RFC 2407 „The Internet IP Security Domain of Interpretation for 

ISAKMP”.

[9] RFC 2408 „Internet Security Association and Key Management 

Protocol”.

[10] RFC 2409 „The Internet Key Exchange (IKE)”.
[11] RFC 2410 „The NULL Encryption Algorithm and Its Use With 

IPsec”.

[12] RFC 2411 „IP Security Document Roadmap”.
[13] RFC 2451 „The ESP CBC-Mode Cipher Algorithms”.
[14] RFC 2709 „Security Model with Tunnel-mode IPsec for NAT 

Domains”.

[15] RFC 2857 “The Use of HMAC-RIPEMD-160-96 within ESP and 

AH”.