Mobilny Taktyczny System Łączności Bezprzewodowej PODSYSTEM KRYPTOGRAFICZNEJ OCHRONY INFORMACJI Umowa Nr DOBR-BIO4/076/13023/2013 (Radiostacja Przewoźna) Sieradz, kwiecień 2015 r. PODSYSTEM KRYPTOGRAFICZNEJ OCHRONY INFORMACJI w MTSŁB Ochrona informacji do TAJNE z protokołami SCIP w sieci IP budowanej z wykorzystaniem radiostacji przewoźnych (RP) Docelowo NATO SECRET MKp Moduł Kryptograficzny Dystrybutor Danych Kryptograficznych Nośnik Danych Kryptograficznych CZK Centrum Zarządzania Kryptografią SGK Stacja Generacji Kluczy SPi System Planowania i Dystrybucji Danych Kryptograficznych PKI Funkcje infrastruktury klucza publicznego 2 1
BEZPIECZEŃSTWO INFORMACJI I TRANSMISJI COMSEC Kryptograficzna ochrona informacji przesyłanych w sieciach radiowych MKp wiele utajnionych sesji wg protokołów SCIP (over IP) EMSEC Ochrona przed elektromagnetycznym ulotem informacji Dotyczy: MKp,, i CZK z SGK Wykonanie: TPZU-3, SDIP 27/1 level A lub B TRANSEC i NETSEC Ochrona transmisji i bezpieczeństwo sieciowe Realizowana przez weveformy RP Centrum Zarządzania Kryptografią Planowanie, generowanie i dystrybucja danych kryptograficznych (DK) Dystrybuowanie oprogramowania i danych konfiguracyjnych Zbudowane z: SGK (z SGCL), SPi i funkcji PKI 3 DODATKOWE ATRYBUTY BEZPIECZEŃSTWA Uwierzytelnienie elementów MTSŁB RP, MKp, CZK, SGK,,, SZR Poufność, integralność, niezaprzeczalność oprogramowania, danych konfiguracyjnych i kluczy Zarządzanie kryptografią przed misją urządzenia krypto, oprogramowanie, dane konfiguracyjne, klucze repozytorium, planowanie, generacja, dystrybucja, funkcje PKI Zarządzanie kryptografią w trakcie misji dane konfiguracyjne, klucze, funkcje PKI Ochrona dostępu, kasowanie alarmowe i antypenetracyjne Monitoring i rozliczalność Trzy role urządzeń i operatorów systemów kryptograficznych administrator, użytkownik, inspektor bezpieczeństwa 4 2
MODUŁ KRYPTOGRAFICZNY (MKp) Utajnianie danych przesyłanych pomiędzy radiostacjami: 1. wykonanie do TAJNE certyfikacja w kraju w SKW 2. wykonanie do NATO SECRET certyfikacja w SECAN Nawiązywanie połączeń utajnionych, poufność danych protokoły i algorytmy SCIP (over IP) Ładowanie oprogramowania, danych konfiguracyjnych i kluczy: z, protokoły uwierzytelniania Wsparcie ochrony danych niejawnych w radiostacji Wspieranie funkcji zarządzania OTA (Over The Air) Współpraca z CZK w zakresie: planowania, generowania i dystrybucji kluczy funkcji infrastruktury klucza publicznego (PKI) : logi zdarzeń MKp i istotnych z radiostacji 5 MODUŁ KRYPTOGRAFICZNY (MKp) Integralny, autonomiczny, odłączalny podzespół radiostacji Interfejsy RED: MKp dla danych użytkownika: Fast Ethernet lub USB MKp-RP oprogramowanie, dane kryptograficzne i konfiguracyjne MKp- identyfikator użytkownika i moduł bezpieczeństwa Interfejsy BLACK: MKp-RP dane utajnione do/z radiostacji: Fast Ethernet MKp- ładowanie oprogramowania, danych kryptograficznych i konfiguracyjnych: USB Ochrona dostępu moduł bezpieczeństwa, identyfikator użytkownika Mechanizmy ochrony przed penetracją, alarmowego i świadomego kasowania danych przez użytkownika Ochrona elektromagnetyczna: SDIP 27/1 Level A Grupa wymagań klimatyczno-mechanicznych podstawowa: N.7 wersje dla N>7, Morskie, Lotnicze 6 3
STACJA GENERACJI KLUCZY (SGK) Wytwarzanie kluczy symetrycznych i asymetrycznych na potrzeby MTSŁB Sprzętowy Generator Ciągów Losowych (SGCL) - źródło do produkcji kluczy Zabezpieczenie poufności, integralności i niezaprzeczalności (podpisu) kluczy Ścisła współpraca z CZK, w tym z SPi SGK-F stacja fabryczna, wytwarzająca klucze i oprogramowanie wsadowe na etapie produkcji urządzeń Ochrona dostępu, identyfikator użytkownika: Eksploatacja w aparatowni zabezpieczenia informacji, polowej kancelarii kryptograficznej Antypenetracyjne, alarmowe i świadome kasowanie danych Monitoring i rozliczalność Ochrona elektromagnetyczna: TPZU-3, SDIP 27/1 Level A Grupa wymagań klimatyczno-mechanicznych: N.7 7 DYSTRYBUTOR DANYCH KRYPTOGRAFICZNYCH () Przenoszenie z CZK (SPi) do MKp i RP: oprogramowania, w tym waveformów danych konfiguracyjnych kluczy symetrycznych i asymetrycznych Przenoszone dane zabezpieczone (BLACK) utajnione i podpisane (integralność i uwierzytelnienie) Przenoszenie archiwów zdarzeń z MKp i RP do CZK Ochrona dostępu: lub PIN Funkcje kasowania danych: antypenetracyjnego, alarmowego i świadomego Ochrona elektromagnetyczna: TPZU-3, SDIP 27/1 Level A Grupa wymagań klimatyczno-mechanicznych: N.14 8 4
NOŚNIK DANYCH KRYPTOGRAFICZNYCH () Identyfikator użytkownika (ID z funkcjami CIK) dla: MKp,, CZK i SZR Moduł bezpieczeństwa Odbezpieczanie danych niejawnych we współpracującym urządzeniu Przechowywanie danych kryptograficznych zabezpieczonych (BLACK) niezabezpieczonych (RED) Funkcje kasowania danych antypenetracyjnego, alarmowego i świadomego Ochrona elektromagnetyczna: TPZU-3, SDIP 27/1 Level A Grupa wymagań klimatyczno-mechanicznych: N.14 9 SYSTEM PLANOWANIA I DYSTRYBUCJI DANYCH KRYPTOGRAFICZNYCH (SPi) Tworzenie planu łączności utajnionej (przed misją): na podstawie planu misji (łączności radiowej i topologii sieci IP) plan misji tworzony w SZR Generowanie zamówień na klucze do SGK Dystrybuowanie (przydzielanie) kluczy z SGK do MKp, RP i SZR Dystrybuowanie oprogramowania i danych konfiguracyjnych otrzymanych z SZR do RP z MKp Ładowanie zabezpieczonych danych do Wykonanie w postaci aplikacji instalowanych w CZK Planowania relacji kryptograficznych Dystrybuowania danych kryptograficznych 10 5
CENTRUM ZARZĄDZANIA KRYPTOGRAFIĄ (CZK) Planowanie i dystrybuowanie danych krypto i konfiguracyjnych przed misją Zrządzanie i monitorowanie pracy urządzeń MTSŁB trakcie misji Wykonywanie funkcji na rzecz infrastruktury klucza publicznego (PKI) Dystrybuowanie czasu rzeczywistego do MKp i RP Ochrona dostępu do CZK:, hasło bezpieczeństwo sieciowe (uwierzytelnianie, poufność) Eksploatacja w aparatowni zabezpieczenia informacji, polowej kancelarii kryptograficznej Antypenetracyjne, alarmowe i świadome kasowanie danych Ochrona elektromagnetyczna: TPZU-3, SDIP 27 Level A Grupa wymagań klimatyczno-mechanicznych: N.7 11 ZARZĄDZANIE SYSTEMEM KRYPTOGRAFICZNYM MTSŁB SGCL SGK-F System Zarządzania Radiostacjami OTA Klucze fabryczne oprogramowanie wsadowe SGCL S G K Zamówienia Klucze Plan łączności Zarządzanie misją Centrum Zarządzania Kryptografią Aplikacja planowania DK Aplikacja dystrybucji DK Aplikacje funkcji PKI PKI PKI Inne systemy łączności dystrybucja dystrybucja MKp RP OTA 12 6
PODSUMOWANIE Poziom ochrony w MTSŁB do: TAJNE, NATO SECRET Zadania kryptograficzne w projekcie MTSŁB: Wielosesyjny MKp z protokołami SCIP over IP Centrum Zarządzania Kryptografią (CZK): planowanie i dystrybucja danych kryptograficznych (SPi) oraz funkcje infrastruktury klucza publicznego (PKI) Stacja Generacji Kluczy (SGK) z SGCL Dystrybutor Danych Kryptograficznych () Nośnik Danych Kryptograficznych () 13 OPRACOWANIE Robert Wicik Zakład Kryptologii Wojskowy Instytut Łączności 7