SZACOWANIE SIŁY MECHANIZMÓW KRYPTOGRAFICZNYCH ZASTOSOWANYCH W MODULE KRYPTOGRAFICZNYM POLSKIEJ RADIOSTACJI PROGRAMOWALNEJ GUARANA

Transkrypt

1 Mariusz Borowski Wojskowy Instytut Łączności, ul. Zegrzyńska 22A, Zegrze Południowe SZACOWANIE SIŁY MECHANIZMÓW KRYPTOGRAFICZNYCH ZASTOSOWANYCH W MODULE KRYPTOGRAFICZNYM POLSKIEJ RADIOSTACJI PROGRAMOWALNEJ GUARANA Streszczenie Guarana to kryptonim narodowej radiostacji programowalnej wraz z niezbędną infrastrukturą bezpieczeństwa i zarządzania częstotliwościami, zapewniającej ochronę przesyłanych i przetwarzanych danych niejawnych. Oszacowanie siły mechanizmów kryptograficznych wykorzystywanych przez mechanizmy zabezpieczające, po zapoznaniu się ze wstępną koncepcją systemu kryptograficznego, jest konieczne w celu określenia rodzaju niezbędnych algorytmów kryptograficznych, sposobu ich implementacji, a także poziomu zaufania do środowiska je tworzącego. 1. WSTĘP Celem projektu Guarana jest opracowanie nowoczesnej radiostacji przewoźnej w technologii SDR wraz z systemem kryptograficznym zapewniającym bezpieczeństwo przesyłanych informacji niejawnych o klauzuli do poufne. Wykonany zostanie także podsystem generacji i dystrybucji danych kryptograficznych oraz podsystem zarządzania radiostacjami, obejmujący konfigurowanie radiostacji, planowanie misji i zarządzanie widmem. Wynikiem projektu Guarana będzie stworzenie bezpiecznego, skalowalnego, niezawodnego i mobilnego systemu łączności radiowej, spełniającego wymagania działań sieciocentrycznych. Guaranę realizują polskie firmy, uczelnie wyższe i ośrodki badawczo-rozwojowe: Radmor S.A. (lider), Wojskowa Akademia Techniczna (WAT), Wojskowy Instytut Łączności (WIŁ), Elektronika Polski Holding Obronny Sp. z o.o., Ośrodek Badawczo-Rozwojowy Centrum Techniki Morskiej S.A. (CTM), Transit Sp. z o.o.. Prace Konsorcjum są współfinansowane przez Narodowe Centrum Badań i Rozwoju zgodnie z Umową Nr DOBR-BIO4/076/13023/2013 z grudnia 2013 roku. Obecnie Konsorcjum realizuje projekt koncepcyjny oraz trwają uzgodnienia Wstępnych Założeń Taktyczno- Technicznych (wersja 3) dla urządzeń przewidzianych do wykonania w projekcie Guarana. Niniejszy artykuł przedstawia stan projektu z kwietnia 2015 roku. Prace w Konsorcjum są podzielone w celu jak najefektywniejszego wykorzystania potencjału naukowego jego członków [9]. Radmor opracowuje wielokanałową radiostację przewoźną, definiowaną programowo o architekturze ESSOR SCA wraz z wymaganą dokumentacją techniczną. Przy współpracy z Elektroniką PHO, CTM, Transitem, WAT oraz WIŁ pracuje nad szerokopasmowym, sieciowym waveformem do systemu narodowego. Przy tworzeniu nowego waveformu zostaną wykorzystane doświadczenia zdobyte w toku prac prowadzonych w kraju oraz za granicą, w tym realizowanych pod auspicjami Europejskiej Agencji Obrony (EDA). Waveform, po zaportowaniu na platformę, umożliwi badanie urządzeń finalnych w rzeczywistym środowisku. Podsystem zarządzania narodowymi radiostacjami programowalnymi, służący planowaniu misji i nadzoru nad działaniem sieci radiowych, wykonuje WAT wraz z Radmorem, WIŁ, Transbitem i CTM. Do zarządzania zasobami widmowymi zostanie wykorzystany broker częstotliwości opracowywany przez WAT. Zadaniem WIŁ jest zapewnienie kompleksowej kryptograficznej ochrony informacji niejawnych przesyłanych w sieciach radiowych poprzez opracowanie i wykonanie: zewnętrznego modułu kryptograficznego dołączanego do radiostacji, platformy sprzętowej stacji generacji kluczy, nośników danych kryptograficznych i wykonanie aplikacji systemu planowania oraz dystrybucji danych kryptograficznych. Urządzenia i aplikacje tworzące system kryptograficzny zostaną poddane procesowi certyfikacji przez Służbę Kontrwywiadu Wojskowego (SKW). Artykuł jest zorganizowany w sposób następujący: we Wstępie przedstawiono cel projektu Guarana, konsorcjum firm go realizujących oraz ich zadania. Projektowanie i wykonanie systemu kryptograficznego urządzenia utajniającego wymaga zaufanego i doświadczonego podmiotu. WIŁ jest odpowiedzialny za system kryptograficzny Guarany, zatem w Rozdziale 2 ukazano osiągnięcia WIŁ w polskiej kryptografii. W Rozdziale 3 omówiono certyfikację urządzeń utajniających i akredytację systemów teleinformatycznych procesu wieńczącego w przyszłości prace nad projektem Guarana. W celu oszacowania siły mechanizmów kryptograficznych konieczne jest wstępne poznanie systemu bezpieczeństwa Guarany (Rozdział 4). Niezbędne definicje i zależności dotyczące mechanizmu kryptograficznego przedstawiono w Rozdziale 5 wg Common Criteria [12] oraz Polskiej Normy [22]. Po omówieniu projektu systemu kryptograficznego Guarany oraz niezbędnych definicji, w Rozdziale 6 przedstawiono mechanizmy zabezpieczające, mechanizmy kryptograficzne oraz zależności między nimi dla modułu kryptograficznego (MKp) radiostacji programowalnej. W Rozdziale 7 oszacowano siłę mechanizmów kryptograficznych MKp oraz zaproponowano algorytmy kryptograficzne jako zidentyfikowane mechanizmy kryptograficzne. Rozdział 8 podkreśla znaczenie właściwego oszacowania mechanizmów kryptograficznych oraz wskazuje kierunek dalszych prac. 2. OSIĄGNIĘCIA WIŁ W KRYPTOGRAFII Wojskowy Instytut Łączności już w latach pięćdziesiątych (wtedy jako Ośrodek Badawczy Sprzętu Łączności) rozpoczął prace związane z ochroną informacji na rzecz resortu Obrony Narodowej. Pierwsze urządzenie utajniające opracowane w WIŁ wdrożone zostało do produkcji seryjnej w latach sześćdziesiątych. Był to BOCIAN-M urządzenie utajniające informacje o klau-

2 zuli do tajne, przesyłane w kanałach sieci telegraficznych polowych i stacjonarnych. Wzrost zapotrzebowania na urządzenia utajniające w Ludowym Wojsku Polskim, w latach siedemdziesiątych zaowocował opracowaniem urządzeń Tico, Jaskier, Kaczeniec [2]. Wszystkie urządzenia uzyskały dopuszczenie do ochrony informacji o klauzuli tajne. Ze względu na tematykę artykułu, na uwagę zasługuje urządzenie Jaskier. Jest to urządzenie transmisji danych w kanałach radiowych KF z blokiem utajniania informacji zestaw był eksploatowany w systemach łączności Wojsk Lądowych i Marynarki Wojennej, a nawet uzyskał akceptację do wykorzystania w ramach byłego Układu Warszawskiego. XXI wiek przyniósł istotne zmiany w podejściu do ochrony informacji niejawnych. Polska weszła do NATO i UE, a WIŁ zaczął przejmować zachodnie standardy w projektowaniu i ocenie bezpieczeństwa systemów kryptograficznych. Pierwszym urządzeniem utajniającym, dla którego WIŁ uzyskał certyfikat ochrony kryptograficznej zgodnie z nową ustawą o ochronie informacji niejawnych było grupowe urządzenie utajniające trzeciej generacji wraz ze stacją generacji kluczy [3] certyfikaty nr 026/2002, 39/2006 i 156/2011, upoważniające do ochrony informacji o klauzuli do tajne i NATO/EU confidential. Stworzenie teorii generacji ciągów losowych oraz opracowanie technologii budowy sprzętowych generatorów ciągów losowych [10] zaowocowało wykonaniem unikalnej w kraju rodziny generatorów ciągów losowych (SGCL-1, SGCL-1MB) przeznaczonych do pracy w systemach ochrony informacji o klauzuli do ścisłe tajne [6]. Generatory te otrzymały certyfikaty ochrony kryptograficznej nr 29/2005 oraz 300/2011. Znalazły one między innymi zastosowanie w stacji generacji urządzenia do szyfrowania informacji przy wykorzystaniu ciągów losowych, które uzyskało certyfikat Służby Kontrwywiadu Wojskowego nr 8/2007 upoważniający do ochrony informacji o klauzuli ściśle tajne [5]. Najnowszym urządzeniem utajniającym opracowanym w WIŁ, które uzyskało certyfikat SKW, jest urządzenie IP-Krypto wraz ze stacjami generacji i redystrybucji danych kryptograficznych oraz oprogramowaniem do planowania, zarządzania i monitorowania, przeznaczone do ochrony danych pakietowych w sieciach IP. Certyfikat ochrony kryptograficznej nr 86/2014 upoważnia do ochrony informacji o klauzuli do tajne. Obecnie finalizowana jest certyfikacja systemu ochrony informacji przesyłanych w sieciach radiowych o klauzuli tajne dla radiostacji już eksploatowanych w Wojsku Polskim [11]. Opracowane w WIŁ urządzenia utajniające są wykorzystywane w systemach stacjonarnych oraz polowych Sił Zbrojnych RP oraz przez inne organizacje krajowe. Aktualna lista wyrobów posiadających certyfikaty ochrony kryptograficznej wydana przez Służbę Kontrwywiadu Wojskowego, oraz podobna lista prowadzona przez Agencję Bezpieczeństwa Wewnętrznego dowodzą jednoznacznie, że jedynie WIŁ posiada unikalne w skali kraju kompetencje potwierdzone uzyskanymi certyfikatami, do projektowania i produkcji urządzeń utajniających o klauzuli tajne oraz ściśle tajne. 3. CERTYFIKACJA I AKREDYTACJA Ochrona informacji niejawnych przetwarzanych w systemach teleinformatycznych wymaga stosowania certyfikowanych wyrobów, jak środki ochrony elektromagnetycznej, urządzenia i narzędzia kryptograficzne oraz urządzenia i narzędzia zabezpieczenia teleinformatycznego [12]. Systemy teleinformatyczne tego typu podlegają akredytacji. Osoby dopuszczone do dostępu do informacji niejawnych muszą posiadać certyfikaty bezpieczeństwa osobowego, a instytucje świadectwa bezpieczeństwa przemysłowego. To wszystko powoduje, że dochodzenie do właściwego poziomu ochrony informacji niejawnych w systemach teleinformatycznych wymaga ch nakładów i jest czasochłonne. Także projektowanie, certyfikowanie i wdrażanie wyrobów przeznaczonych do ochrony kryptograficznej i elektromagnetycznej jest procesem żmudnym i wymagającym odpowiednich kompetencji. Zgodnie z Ustawą o ochronie informacji niejawnych [1], urządzenia i narzędzia kryptograficzne przeznaczone do ochrony informacji niejawnych, klasyfikowanych jako: zastrzeżone, poufne, tajne lub ściśle tajne, podlegają badaniom i ocenie bezpieczeństwa w ramach certyfikacji prowadzonych przez ABW albo SKW. Wyjątek stanowią urządzenia posiadające certyfikaty wydane w krajach NATO lub UE, które mogą być przeznaczone do ochrony informacji o klauzuli zastrzeżone. Urządzenia przeznaczone do ochrony informacji niejawnych od klauzuli poufne wzwyż, powinny zapewniać także elektromagnetyczną ochronę informacji. Radiostacje programowalne opracowane w ramach projektu pk. Guarana mają zapewniać kryptograficzną ochronę informacji niejawnych przesyłanych w sieciach radiowych o klauzuli do poufne włącznie. Stąd system kryptograficzny i system zarządzania danymi kryptograficznymi dla radiostacji musi być opracowany i zaimplementowany przez podmiot krajowy (np. WIŁ), legitymujący się koniecznym zaufaniem organów certyfikujących, by mógł zostać formalnie zweryfikowany w procesie certyfikacji typu, a następnie określony sposób jego użycia w procesie akredytacji. Wykonany w kraju system kryptograficzny może zostać także dopuszczony do ochrony informacji niejawnych NATO lub EU o klauzuli do confidential włącznie. 4. SYSTEM BEZPIECZEŃSTWA GUARANY System bezpieczeństwa urządzeń i aplikacji projektu pk. Guarana zostanie wyposażony w takie rozwiązania kryptograficzne i techniczne, aby przy wykorzystaniu technik symetrycznych ochrony danych niejawnych o klauzuli poufne przesyłanych w sieciach radiowych w połączeniu z asymetrycznymi technikami uzgadniania kluczy sesji oraz uwierzytelnienia urządzeń możliwe było zapewnienie przez radiostację przewoźną (jej GBWF) przepływności w relacji punkt punkt na odległościach zerowych nie mniej niż 2 Mbit/s na poziomie interfejsu PHY-MAC. Urządzenia i aplikacje kryptograficznej ochrony informacji w systemie kryptograficznym radiostacji przewoźnej projektu Guarana to:

3 Moduł Kryptograficzny radiostacji MKp oraz jego identyfikator kryptograficzny ID; Nośnik Danych Kryptograficznych NDK; Stacja Generacji Kluczy SGK; System Planowania i Dystrybucji Danych Kryptograficznych SPiDDK. Radiostacja Przewoźna (RP) współpracująca z Systemem zarządzania radiostacjami (SZR- SDR). MKp realizuje ochronę COMSEC (komunikacji) danych o klauzuli do poufne przesyłanych w sieciach radiowych za pomocą RP wykorzystującej protokół IP oraz dowolny z przewidzianych do stosowania w ramach projektu Guarana waveform. RP zapewnia ochronę TRANSEC (transmisji) oraz NETSEC. SGK generuje klucze i inne materiały kryptograficzne [6], które zostały zaplanowane poprzez SPiDDK. SZR-SDR odpowiada za planowanie misji, w tym sieci radiowych i topologii sieci IP. Za pomocą funkcji OTAx może także przesłać dane kryptograficzne (DK) do MKp i dane konfiguracyjne (DK) do radiostacji przewoźnych. Deszyfrowanie danych odebranych poprzez funkcję OTAx odbywa się w MKp. NDK są ładowane poprzez SPiDDK i służą do bezpiecznego przenoszenia (np. przez kurierów) materiałów kryptograficznych i danych kryptograficznych. Zarządzanie systemem kryptograficznym urządzeń i aplikacji tworzących projekt Guarana przedstawiono na Rys.1. Aplikacja planowania DK Plan łączności (misji) System Zarządzania Radiostacjami Zamówienie na DK SGCL OTAx DK S G K DK NDK Aplikacja dystrybucji DK i danych radiowych DK zabezpieczone NDK Radiostacje przewoźne z modułami kryptograficznymi Rys.1. Zarządzanie systemem kryptograficznym 4.1. Moduł kryptograficzny MKp Moduł kryptograficzny (MKp) to podstawowy komponent realizujący utajnianie danych w systemie kryptograficznym programowanej radiostacji przewoźnej (Rys.2). MKp stanowi autonomiczną konstrukcję mechaniczno-elektroniczną dołączaną na czas pracy do radiostacji przewoźnej. MKp utajnia dane przesyłane pomiędzy radiostacjami. Komunikacja z MKp odbywa się z wykorzystaniem interfejsów Fast Ethernet i protokołu IP. Konstrukcja strukturalna modułu opiera się na koncepcji stref RED i BLACK tzn. sprzętowego i programistycznego podziału modułu na rozdzielne strefy, gdzie osobno będą przetwarzane dane niejawne przed i po utajnieniu [15], [14]. Terminale użytkownika bez utajniania VoSIP Sieci (LAN) RED Terminale i sieci z utajnianiem np. SVoIP, SCIP, NINE Klucze COMSEC Dane konfiguracyjne Logi (zwrotnie) Moduł kryptograficzny ID NDK BLACK Klucze TRANSEC i NETSEC Dane konfiguracyjne Logi (zwrotnie) Radiostacja przewoźna OTAx Rys.2. Moduł Kryptograficzny (MKp) radiostacji MKp stanowi jeden z elementów systemu kryptograficznej ochrony informacji w sieciach radiowych zrealizowanych w oparciu o radiostacje definiowane programowo. W trakcie eksploatacji praca zestawu MKp z ID opiera się na współpracy z elementami bezpieczeństwa omówionymi w Rozdziale SIŁA MECHANIZMU KRYPTOGRAFICZNEGO Mechanizm kryptograficzny to sprzętowa albo programowa implementacja algorytmu kryptograficznego ze wszystkimi istotnymi ze względu bezpieczeństwa oraz efektywności jego realizacji parametrami. Siła mechanizmu kryptograficznego jest wypadkową analizy dwóch czynników [12]: poziomu (ang. impact level) poniesionej w wyniku niezadziałania funkcji kryptograficznej wykorzystującej mechanizm kryptograficzny; poziomu zagrożenia (ang. thread level) dla informacji zabezpieczonej przy wykorzystaniu mechanizmu kryptograficznego. Należy uwzględnić potencjalny dostęp atakującego do chronionej informacji w danym środowisku. W przyjętym modelu wyróżnia się cztery poziomy siły mechanizmu kryptograficznego: podstawowy (najsłabszy), standardowy, podwyższony,. Dla poziomu określono trzy poziomy: niski (najniższy), średni,. Poziom związanej z utratą poufności można utożsamiać np. z utratą dokumentu o klauzuli odpowiednio: zastrzeżone, poufne, tajne. Dla poziomu zagrożenia także określono trzy poziomy: niski (najniższy), średni,. jest dla informacji przesyłanej np. drogą radiową albo w Internecie, niski zaś, gdy ma do niej dostęp jedynie wyselekcjonowany personel posiadający odpowiednie certyfikaty bezpieczeństwa. W wyniku przeprowadzonej analizy siły mechanizmu kryptograficznego otrzymujemy zalecenia na [22]: poziom zaufania i dostępność algorytmu kryptograficznego (np. opracowany pod nadzorem władz bezpieczeństwa (typu I) albo komercyjny (typu II) o uznanej renomie; wybór algorytmu kryptograficznego i jego parametry bezpieczeństwa; sposób jego implementacji (np. programowa, sprzętowa).

4 Analizę siły mechanizmów kryptograficznych należy wykonać dla wszystkich urządzeń (lub aplikacji) wykorzystywanych w systemie kryptograficznym. Dla każdego z urządzeń (lub aplikacji) należy przeanalizować siłę wszystkich zastosowanych w nim mechanizmów kryptograficznych. Rozpatrując konkretny mechanizm w urządzeniu należy przeanalizować jego wszystkie zastosowania i zwrócić szczególną uwagę na środowisko, w którym będzie przetwarzana informacja zabezpieczona tym mechanizmem [14]. 6. MECHANIZMY ZABEZPIECZAJĄCE I KRYPTOGRAFICZNE W MKp Mechanizm zabezpieczający to realizacja funkcji zabezpieczającej w urządzeniu, poprzez wykorzystywany sprzęt lub oprogramowanie. Mechanizmy zabezpieczające mogą wykorzystywać jeden lub więcej mechanizmów kryptograficznych [22]. MKp, zgodnie z [14], [16], pod względem kryptograficznym umożliwia: szyfrowanie / deszyfrowanie danych przesyłanych w sieciach radiowych (ochronę COMSEC); ustalenie klucza sesji między współpracującymi MKp; uzbrojenie go w dane kryptograficzne przez NDK; uzbrajanie go w dane kryptograficzne przy wykorzystaniu OTAx (R-rekeying); odtajnienie algorytmów kryptograficznych typu I; uwierzytelnienie z identyfikatorem ID oraz deszyfrowanie danych kryptograficznych; prowadzenie dziennika zdarzeń; kasowanie danych kryptograficznych oraz innych danych niejawnych w MKp po upływie terminu ważności albo w sytuacjach alarmowych. Para urządzeń MKp / ID stanowi komplet umożliwiający ochronę COMSEC informacji niejawnych przesyłanych z wykorzystanie radiostacji przewoźnej. Przechowywanie danych w dwóch urządzeniach zapewnia podział sekretu. Mechanizmy zabezpieczające zastosowane w MKp (z ID) przedstawiono w Tab.1 Tab.1. Mechanizmy zabezpieczające MKp Nazwa mechanizmu zabezpieczającego wykorzystującego mechanizmy kryptograficzne Szyfrowanie i deszyfrowanie danych przesyłanych M.1 w sieciach radiowych (o klauzuli poufne ) Symbol M.2 Ustalanie klucza sesji M.3 Deszyfrowanie w MKp danych kryptograficznych M.4 Weryfikacja w MKp integralności danych kryptograficznych M.5 Uwierzytelnianie MKp z ID M.6 Deszyfrowanie w MKp algorytmów kryptograficznych typu I M.7 Weryfikacja w MKp integralności algorytmów kryptograficznych M.8 Przyjmowanie danych kryptograficznych do MKp M.9 Weryfikacja praw dostępu do MKp M.10 Planowanie, generacja i dystrybucja danych kryptograficznych Mechanizmy kryptograficzne zastosowane w MKp (z ID) przedstawiono w Tab.2, zaś Tab.3 przedstawia powiązanie mechanizmów zabezpieczających oraz mechanizmów kryptograficznych. Tab.2. Wykaz mechanizmów kryptograficznych MKp Symbol Nazwa mechanizmu kryptograficznego MK.1 MK.2 MK.3 MK.4 MK.5 Szyfrowanie/deszyfrowanie danych o klauzuli poufne przy wykorzystaniu algorytmu szyfru blokowego AlgSymPf Szyfrowanie/deszyfrowanie danych o klauzuli zastrzeżone przy wykorzystaniu algorytmu szyfru blokowego AlgSymZ Wyznaczanie skrótu przy wykorzystaniu kryptograficznej funkcji skrótu FhashG Uzgodnienie klucza sesji przy wykorzystaniu algorytmu UstKlSes Podpis cyfrowy przy wykorzystaniu algorytmu AlgSign Tab.3. Powiązanie mechanizmów zabezpieczających i kryptograficznych MKp Mechanizm Wykorzystywany mechanizm zabezpieczający kryptograficzny M.1 MK.1 M.2 MK.4 M.3 MK.1 M.4 MK.3 M.5 MK.2, MK.3 M.6 MK.2 M.7 MK.3 M.8 MK.5 M.9 MK.3, MK.5 M.10 MK.1, MK.2, MK.3, MK.5 W identyfikatorze ID modułu MKp zaimplementować należy mechanizmy kryptograficzne: MK.2, MK.3 oraz MK ANALIZA SIŁY MECHANIZMÓW KRYPTOGRAFICZNYCH MKp 7.1. Analiza siły mechanizmu MK.1 Poziom poniesionej w wyniku kompromitacji funkcji zabezpieczającej (wykorzystującej dany mechanizm kryptograficzny): W trybie pracy radiostacji systemu Guarana, informacje zaszyfrowane przy wykorzystaniu algorytmu AlgSymPf w MKp radiostacji przewoźnej są transmitowane w eter, zatem przeciwnik ma nieskrępowany dostąp do zaszyfrowanych informacji o klauzuli poufne. W wypadku niezadziałania mechanizmu, utracona zostanie poufność informacji o klauzuli poufne. Zatem poziom poniesionej w wyniku kompromitacji funkcji zabezpieczającej poufność (wykorzystującej mechanizm kryptograficzny MK.1) informacji niejawnych o klauzuli poufne jest średni.

5 dla mechanizmu: Mechanizm przewidziany do ochrony informacji transmitowanej w kanale radiowym. Dla tej informacji istnieje zagrożenie ze strony przeciwnika, który ma do niej nieskrępowany dostęp i w związku z tym poziom zagrożenia jest. Poziom średni Poziom siły MK.1 podwyższony Rys.3. Szacowanie siły mechanizmu MK.1 W związku z oszacowaniem (Rys.3), należy [16]: zastosować algorytm typu I; zapewnić jego poufność; wykonać jego implementację sprzętową; 7.2. Analiza siły mechanizmu MK.2 Poziom : Mechanizm kryptograficzny MK.2 służy do zapewnienia poufności danych o klauzuli co najwyżej zastrzeżone, zatem poziom jest niski. dla mechanizmu: Mechanizm kryptograficzny MK.2, będzie zapewniał poufność: 1. algorytmom typu I zapisanym w pamięci MKp; 2. danym wymienianym podczas współpracy z identyfikatorem ID; 3. danym radiowym przesyłanym przy wykorzystaniu funkcji OTAx. Ze względu na zagrożenie dla danych zaszyfrowanych o klauzuli zastrzeżone (ppkt.3) przesyłanych w kanale radiowym ze strony przeciwnika, który ma do niej nieskrępowany dostęp, poziom zagrożenia dla mechanizmu jest. Poziom siły MK.2 Poziom niski standardowy Rys.4. Szacowanie siły mechanizmu MK.2 W związku oszacowaniem (Rys.4), należy [16]: zastosować algorytm typu II; wykonać jego implementację programową; 7.3. Analiza siły mechanizmu MK.3 Poziom : Mechanizm kryptograficzny MK.3 służy do kontroli integralności danych kluczowych umożliwiających szyfrowanie/deszyfrowanie przez MKp danych przy wykorzystaniu mechanizmu kryptograficznego MK.1. Dane kluczowe przeznaczone do ochrony informacji o klauzuli poufne mają klauzulę poufne. MK.3 jest wykorzystywany w następujących mechanizmach zabezpieczających zaimplementowanych w MKp: 1. weryfikacja integralności danych kryptograficznych przechowywanych w MKp; 2. weryfikacja integralności algorytmów kryptograficznych typu I deszyfrowanych w MKp; 3. w czasie ładowania danych kryptograficznych do MKp weryfikacja praw dostępu oraz weryfikacja integralności danych (ramek) wymienianych pomiędzy tymi urządzeniami; 4. w protokole uwierzytelnienia MKp ID; 5. element protokołu uzgadniania klucza sesji. Wymieniane są dane jawne (ciąg losowy złożony z czasem). Uwzględniając powyższe zastosowania (w każdym przypadku oddzielnie) uznano, że w najbardziej krytycznym zastosowaniu mechanizmu, poziom powinien uwzględniać sytuację błędnej weryfikacji integralności danych kryptograficznych (ppkt.1), czy błędnej weryfikacji dostępu na etapie ładowania danych kryptograficznych do MKp (ppkt.3). W związku z tym poziom poniesionej w wyniku kompromitacji funkcji zabezpieczającej (wykorzystującej mechanizm kryptograficzny MK.3) jest średni. dla mechanizmu: Mechanizm MK.3 ma chronić informację przed zagrożeniami (ppkt.1 do ppkt.4 w analizie poziomu ) ze strony służb odpowiedzialnych za dystrybucję i eksploatację MKp, które mają odpowiednie dopuszczenia. Uwzględniając powyższe, poziom zagrożenia można przyjąć jako niski. niski Poziom siły MK.3 Poziom średni standardowy Rys.5. Szacowanie siły mechanizmu MK.3 dla niskiego poziomu zagrożenia Gdy uzgadniany jest klucz sesji (ppkt. 5 w analizie poziomu ) dane są wymieniane w kanale radiowym. Dla tej informacji (dane o klauzuli co najwyżej zastrzeżone ) poziom zagrożenia jest. Poziom niski Poziom siły MK.3 standardowy Rys.6. Szacowanie siły mechanizmu MK.3 dla ego poziomu zagrożenia W obu przypadkach otrzymujemy poziom siły mechanizmu kryptograficznego MK.3 jako standardowy. W związku z oszacowaniami (Rys.5, Rys.6), należy: zastosować algorytm typu II; wykonać jego implementację programową; 7.4. Analiza siły mechanizmu MK.4 Poziom : Mechanizm kryptograficzny MK.4 jest wykorzystywany w celu wyznaczenia klucza sesji dla algorytmu szyfru blokowego AlgSymPf. W trybie pracy

6 radiostacji systemu Guarana, informacje zaszyfrowane przy wykorzystaniu algorytmu szyfru blokowego AlgSymPf w module kryptograficznym MKp radiostacji przewoźnej są transmitowane w eter. Klucz sesji jest wytwarzany przy wykorzystaniu klucza długoterminowego przechowywanego w MKp oraz informacji odświeżającej (danych losowych złożonych z czasem). W wypadku niezadziałania mechanizmu MK.4, klucz sesji może nie zostać odświeżony w sposób całkowicie losowy, niemniej poufność transmitowanych danych radiowych zostanie zachowana. W czasie transmisji w kanale radiowym zachodzi jedynie niebezpieczeństwo utraty poufności informacji (danych losowych złożonych z czasem) o klauzuli co najwyżej zastrzeżone, zatem poziom jest niski. dla mechanizmu: Mechanizm kryptograficzny MK.4, w celu ustalania klucza sesji dla MK.1 wykorzystuje wymianę danych losowych złożonych z czasem w kanale radiowym. strony przeciwnika, który ma do niej nieskrępowany dostęp i w związku z tym poziom zagrożenia jest. Poziom niski Poziom siły MK.4 standardowy Rys.7. Szacowanie siły mechanizmu MK.4 W związku oszacowaniem (Rys.7), należy: zastosować algorytm typu II; wykonać jego implementację programową (albo ze względów efektywnościowych) sprzętową; 7.5. Analiza siły mechanizmu MK.5 Poziom : Algorytm podpisu cyfrowego AlgSign jest wykorzystywany w celu weryfikacji autentyczności danych kryptograficznych DK oraz danych radiowych DR. Dane DR mają klauzulę zastrzeżone. Dane DK przeznaczone do ochrony informacji o klauzuli poufne mają klauzulę poufne. Poziom przy błędnej weryfikacji autentyczności danych o klauzuli poufne określono jako średni. dla mechanizmu: W przypadku 1, DR oraz DK są dostarczane do MKp za pomocą NDK. W przypadku 2, dane te są transmitowane w kanale radiowym przy wykorzystaniu funkcji OTAx, ze stacji SZR-SDR poprzez RP do MKp. Mechanizm jest przewidziany także do ochrony autentyczności danych transmitowanych w kanale radiowym przy wykorzystaniu funkcji OTAx. Dla tej informacji istnieje zagrożenie ze strony przeciwnika, który ma do niej nieskrępowany dostęp i w związku z tym poziom zagrożenia jest. Poziom siły MK.5 Poziom średni podwyższony Rys.8. Szacowanie siły mechanizmu MK.5 W związku z oszacowaniem (Rys.8), należy: zastosować algorytm typu I; wykonać jego implementację programową albo sprzętową; zapewnić poufność implementacji (parametrom niejawnym) algorytmu; 7.6. Zestawienie siły mechanizmów dla MKp z ID oraz algorytmów i ich implementacji Z wykonanej analizy siły mechanizmów kryptograficznych wynika, że potrzebne są trzy algorytmy typu II oraz dwa algorytmy typu I. Zostało to przedstawione w Tab.4. Jako algorytmy typu II [13] można wykorzystać standardy FIPS (np. [19]; [17], [20]) oraz rekomendacje NIST (np. [21]). Należy także opracować dwa algorytmy typu I oraz zapewnić ich poufność. Mechanizmy typu I muszą być opracowane w kraju pod nadzorem władzy bezpieczeństwa [12]. Należy udowodnić bezpieczeństwo oraz adekwatność ich implementacji sprzętowej albo programowej. Jako mechanizm MK.1 można rozważyć algorytm oparty na strukturze typu duplex, które przy wykorzystaniu jednej permutacji idealnej umożliwiają konstruowanie algorytmów kryptograficznych o skalowalnym bezpieczeństwie ([4],[7],[8]). Dobrym kandydatem na mechanizm MK.5 jest algorytm EC DSA ([18], [16]) wykorzystujący poufną krzywą eliptyczną, którą należy wygenerować w bezpiecznym środowisku [12]. Tab.4. Zestawienie siły mechanizmów, typów i rodzajów algorytmów i sposobu ich realizacji dla MKp Mechanizm/ Poziom siły Algorytm Realizacja MK.1 typu I 1. Implementacja w układach (poufność) FPGA. 2. Projekt pod nadzorem Podwyższony Duplex SKW. 3. Zapewniona poufność implementacji. MK.2 (poufność) Standardowy MK.3 (integralność) Standardowy MK.4 Standardowy MK.5 (uwierzytelnienie) Podwyższony typu II AES typu II SHA-2 typu II Signed EC DH typu I EC DSA programowa. programowa. 2. Długość skrótu dostosować do MK.5 EC DSA. programowa. 2. Zaufana metoda doboru krzywej ECC. programowa albo FPGA. 2. Zaufana metoda doboru krzywej ECC. 3. Poufna krzywa ECC. 8. PODSUMOWANIE W niniejszym artykule zaprezentowano sposób szacowania siły mechanizmów kryptograficznych dla modułu kryptograficznego MKp radiostacji programowalnej jako część żmudnego i czasochłonnego procesu projek-

7 towania i późniejszej certyfikacji urządzeń kryptograficznych. Staranność w doborze właściwych mechanizmów kryptograficznych jest niezbędna. Niedoszacowanie na etapie projektu siły mechanizmów kryptograficznych będzie skutkowało podczas certyfikacji koniecznością opracowania algorytmów typu I przez zespoły o większych kompetencjach, co w połączeniu, także z możliwymi zmianami sprzętowymi w układach wykonawczych, spowoduje dramatyczne zwiększenie kosztów realizacji i opóźnienia projektu. Przeszacowanie siły mechanizmów kryptograficznych również nie jest korzystne. To ewidentna strata finansowa poniesiona na opracowanie i implementację algorytmów typu I, a w trakcie certyfikacji konieczność ich zastąpienia przez algorytmy komercyjne o uznanej renomie (typu II). W dalszej pracy nad projektem Guarana należy uwzględnić ewentualne uwagi do Wstępnych Założeń Taktyczno-Technicznych (wersja 3), w zakresie przedstawionym w niniejszym artykule, a także ponownie przeanalizować ich wpływ na siłę mechanizmów kryptograficznych koniecznych do wykorzystania. Na podstawie wykonanej analizy dla wszystkich urządzeń i aplikacji, można będzie przystąpić do projektowania algorytmów kryptograficznych typu I oraz układów elektronicznych, w których zostaną one zaimplementowane. Przebieg tych prac, z zachowaniem dbałości o poufność docelowych algorytmów, będzie tematyką kolejnych prezentacji. SPIS LITERATURY [13] Suite B cryptography, 2012, [14] Implementation guide for FIPS PUB and cryptographic module validation program, NIST, [15] ISO/IEC 19790:2012 Security requirements for cryptographic modules, [16] Draft FIPS PUB Security requirements for cryptographic modules, [17] FIPS PUB Secure Hash Standard (SHS), [18] FIPS PUB Digital Signature Standard (DSS), [19] FIPS PUB 197 Advanced Encryption Standard (AES), [20] Draft FIPS PUB 202 SHA-3 Standard [21] NIST SP A Recommendation for pair-wise key establishment schemes using discrete logarithm cryptography, [22] PN-ISO/IEC Technika informatyczna - Techniki zabezpieczeń - Kryteria oceny zabezpieczeń teleinformatycznych, [1] Ustawa o ochronie informacji niejawnych z dnia 5 sierpnia 2010 roku Dz.U. z 2010 r. poz [2] 50 lat Wojskowego Instytutu Łączności , Zegrze [3] 60 lat Wojskowego Instytutu Łączności. Lata , ISBN [4] G. Bertoni, J.Deamen, M. Peeters, G. Van Assche, On the security of keyed sponge constructions, Symetric Key Encryption Workshop, [5] M. Borowski, R. Wicik, A one-time cipher machine for Polish Army, Military Communication Conference, Cracow, [6] M.Borowski, M. Leśniewicz, R. Wicik, M. Grzonkowski, Generation of random keys for cryptographic systems, Annales UMCS Informatica, AI XII, 3 (2012). [7] M.Borowski, The sponge construction as a source of secure cryptographic primitives, Military Communication Conference, France, [8] M. Borowski, Cryptographic applications of the duplex construction, International Conference on Cryptography and Computer Systems, [9] J. Cichy, Guarana projekt radiostacji programowalnej dla Wojska Polskiego, Nowa Technika Wojskowa nr 6, [10] M. Leśniewicz, Hardware generation of binary sequences with throughput 100 Mbit/s, Przegląd Telekomunikacyjny nr 11/2011. [11] Robert Wicik, Marek Leśniewicz, Mariusz Borowski, Janusz Zabłocki, Information security module for mílitary radio communications, Military Communication Conference, Prague, [12] Common Criteria, ISO