Шифровальное оборудование вооружённых сил СШАПолковник Д. Морозов В вооруженных силах США одним из основных направлений обеспечения безопасности связи является использование шифровального оборудования, позволяющего осуществлять гарантированное закрытие информации с любым грифом секретности на всех этапах ее прохождения и во всех звеньях управления. По американской классификации в зависимости от предназначения такие технические средства подразделяются на основные и вспомогательные. В состав основных аппаратных средств входят: магистральные (линейные) и абонентские шифраторы, а также внешние и встраиваемые в аппаратуру связи модули шифрования. К вспомогательным средствам относится аппаратура загрузки/ ввода шифрключей и переноса данных.
Криптографическая защита информации осуществляется во всех линиях сетей связи и передачи данных - проводных, спутниковых, радио- и других. Защищенная военная спутниковая связь обеспечивается главным образом с помощью радиоаппаратуры миллиметрового диапазона длин волн, размещенной на борту ИСЗ. Высокая защищенность связи в данных системах достигается благодаря использованию криптографических средств и методов закрытия излучений и сообщений. Закрытие излучений/передачи (TRANSEC - TRANsmission SECurity) достигается использованием помехоустойчивых сигналов с программной перестройкой рабочей частоты (ППРЧ). Аппаратура закрытия излучений имеется в составе всех наземных терминалов, а также на борту ИСЗ. Закрытие сообщений (COMSEC -COMmunications SECurity) обеспечивается с помощью криптографической аппаратуры. В криптографической аппаратуре для выполнения своих функций используется несколько типов ключей, которые функционально делятся на четыре категории: ключи закрытия излучения/ передачи TSK (Transmission Security Keys), ключи закрытия каналов передачи данных и линий связи (трафика) ТЕК (Traffic Encryption Keys), ключи закрытия ключей КЕК (Key Encryption Keys) и ключи закрытия информации для компьютерных сетей FIREFLY. Ключи типа ТЕК используются для закрытия трафика групповых (широкополосных) сигналов связи. Как правило, при передаче несекретной информации период ключевой последовательности составляет один месяц без обновления, а секретной - один месяц с ежедневным обновлением ключей. Ключи типа FIREFLY, используемые при передаче несекретной информации, имеют период ключевой последовательности один год с ежемесячным обновлением, а секретной - один год с ежедневным обновлением ключей. К числу основных магистральных и абонентских шифраторов ВС США относится аппаратура семейства TACLANE производства американской фирмы "Дженерал дайнэмикс". Они предназначены для закрытия данных с грифом "Совершенно секретно" и ниже, передаваемых в высокоскоростных каналах по IP-протоколу и в режиме асинхронной передачи (ATM) в сетях от тактического до стратегического уровня. Шифратор KG-175 (TACLANE Classic) представляет собой малогабаритное высокопроизводительное транспортабельное устройство закрытия данных, сертифицированное управлением национальной безопасности (УНБ) США как шифровальное оборудование стандарта Туре-1. В режиме ATM для IP-пакетов адрес и данные шифруются методом туннелирования, при этом шифрование IP-пакетов обеспечивается со скоростью до 7,3 Мбит/с, а в режиме ATM - до 45 Мбит/с. Модификация устройства KG-175 TACLANE-E100 в дуплексном режиме обеспечивает максимальную пропускную способность 165 Мбит/с. Кроме того, шифраторы семейства TACLANE поддерживают динамическую адресацию в IP-сетях с использованием методов статической маршрутизации, ручной настройки адресов с предварительной установкой ключа шифрования канала (КШК) для удаленных комплектов аппаратуры или туннельной IP-маршрутизации при передаче открытого текста. В симплексных и дуплексных режимах работы, а также при работе в сетях ATM используется предварительно установленный КШК, что сокращает время загрузки ключа FIREFLY.
Предварительные КШК имеют период ключевой последовательности, равный одному месяцу, и требуют ежесуточного обновления. Данный ключ может быть обновлен максимум 1024 раза, после чего старый набор стирается и загружается новый. При этом автоматическое предупреждение о достижении максимального количества обновлений КШК пользователю не выдается. Во избежание отключения КШК требуется периодическая проверка счетчика обновления, расположенного на лицевой панели устройства. Экстренное обнуление (стирание) всех ключей в шифраторах TACLANE выполняется путем одновременного нажатия специальных кнопок, также расположенных на лицевой панели. Несанкционированный доступ к шифратору приводит к стиранию ключей. Пассивное обнуление происходит автоматически при отключении источника питания. Для каждого безопасного соединения генерируется отдельный ключ типа ТЕК. Обеспечение безопасности и управление доступом к функции криптографирования осуществляются с использованием сменяемого ключа запуска работы CIK (Crypto Ignition Key), при этом поддерживается до девяти индивидуальных ключей для трех операторов. Для шифрования данных с грифом "Совершенно секретно" и ниже в широкополосных каналах передачи по IP-протоколу используется шифратор KG-175A (TACLANE-GigE). Он обеспечивает закрытие линий со скоростью передачи 10/100/1000 Мбит/с и суммарную пропускную способность до 2 Гбит/с при пакетной передаче данных, а также обладает функцией автоматического конфигурирования и восстановления сетевых параметров и настроек при переподключении. Управление осуществляется посредством удобного интерфейса пользователя через ПЭВМ любого типа. Ключи типа ТЕК автоматически обновляются и перенастраиваются через 11 месяцев. Генерация ключей осуществляется с использованием технологии FIREFLY. Обеспечение безопасности и управление доступом к функции крипто-графирования осуществляются с использованием сменяемого ключа запуска работы CIK (один основной и два резервных). В связи с планомерным переводом всех систем и средств связи ВС США на использование IP-протокола на вооружение приняты высокоскоростные шифраторы IP-трафика для работы в сетях типа Ethernet со скоростью передачи данных не менее 100 Мбит/с и в дуплексных каналах со скоростью передачи потока 64-байтных пакетов не ниже 20 Мбит/с, а также новые магистральные устройства шифрования IP-пакетов с функцией маршрутизации.
Так, для закрытой передачи мультимедийных данных с пакетной коммутацией по протоколам IPv4 и IPv6 используются засекречивающие маршрутизаторы KG-275А и -275В производства американской фирмы Cisco. Они представляют собой высокопроизводительное устройство маршрутизации с закрытием данных, размещенное в промышленном корпусе для установки в стандартную стойку и сертифицированное УНБ США как шифровальное оборудование стандарта Туре-1. Данная аппаратура полностью отвечает требованиям HAIPE IS (High-Assurance Internet Protocol Encryptor Interoperability Specification) v3.0, поддерживает современные протоколы маршрутизации и туннелирования, обеспечивает гарантированное качество обслуживания (QoS) и необходимый уровень аппаратного резервирования. Управление осуществляется с применением протокола SNMPv3 (Simple Network Management Protocol v3) и графического интерфейса пользователя Cisco Works, разработанного специально для такой шифраппаратуры. Аппаратура KG-275A и -275В используется в виртуальных частных сетях, для организации видеоконференцсвязи, IP-телефонии (VoIP), а также может взаимодействовать с аналогичными зарубежными шифраторами (например, стран НАТО или других союзников) благодаря возможности модернизации программного обеспечения. Кроме шифрования данные устройства обеспечивают в сетях совместную маршрутизацию как открытых, так и зашифрованных сообщений. При этом KG-275A (Cisco 5750) гарантирует надежную высокоскоростную передачу данных, речевых сообщений и видеоизображений в сетях с коммутацией пакетов по IP-протоколу со скоростью передачи 10/100/1000 Мбит/с и суммарную пропускную способность до 2 Гбит/с, a KG-275B (Cisco 5720) используется в основном для подключения удаленных пунктов управления, спутниковых линий в направлении "вверх" или в линиях связи, где требуется низкая скорость передачи. Для линий стандарта Т1/Е1 (1,544/2,048 Мбит/с) он обеспечивает полную управляемую интеграцию DSL7 CSU (Digital Switched Unit/Channel Switched Unit) или частичный сервис Т1/Е1, в то время как последовательный порт - соединение со скоростью до 8 Мбит/с. В настоящее время скорость передачи в сетях ограничивается производительностью магистральных устройств шифрования IP-протокола с гарантированной стойкостью засекречивания. Они обеспечивают максимальную скорость шифрования до 100 Мбит/с. На современном этапе заканчивается разработка следующего поколения шифраторов НАТРЕ, обеспечивающих шифрование потока данных со скоростью до 10 Гбит/с.
В качестве типового внешнего модуля шифрования можно рассматривать криптографическое устройство KTV-54 производства американской фирмы Harris. Оно используется совместно со специальными модулями связи серии SecNet54 стандартов IEEE 802.1la/b/g, IEEE 802.3 Ethernet и IEEE 802.16 для закрытого обмена мультимедийными данными с грифом "Совершенно секретно" и ниже со скоростями передачи до 54 Мбит/с в проводных и беспроводных локальных вычислительных сетях (ЛВС) с пакетной коммутацией по IP-протоколу. Это малогабаритное высокопроизводительное устройство закрытия данных сертифицировано УНБ США как шифровальное оборудование стандарта Туре-1. Криптографическое закрытие данных обеспечивается встроенным перепрограммируемым модулем шифрования Sierra II. Криптомодуль KIV-54 может взаимодействовать с сетевыми шифраторами HAIPE INE, используя для этого предварительно установленные симметричные ключи. Обнуление ключевых данных в модуле осуществляется специальной командой, переданной по ЛВС соответствующим должностным лицом, или механическим способом. Для установки в любую современную аппаратуру и средства связи (радиостанция, мобильный радиотелефон, аппаратура передачи данных, носимый персональный компьютер и др.) используются встраиваемые малогабаритные устройства шифрования Citadel и Sierra производства американской фирмы Harris. Устройство шифрования Citadel конструктивно выполнено в виде микросхемы с 80 контактами в корпусе TQFP. Оно поддерживает большое количество криптографических алгоритмов, основанных на смешанных режимах, блочных арифметических шифрах, обеспечивающих как засекречивание связи, так и безопасность передачи данных. Устройство Citadel поддерживает симметричный и асимметричный методы генерации ключей (в том числе систему открытых ключей). Ключи типа КЕК и ТЕК хранятся в электронно-перепрограммируемом постоянном запоминающем устройстве. Длина ключевой последовательности изменяемая (56-128 бит), а количество вариантов составляет более 1,8x1019. Пользователь имеет возможность загружать свои алгоритмы шифрования без внесения изменения в аппаратную часть. Перепрограммируемый модуль шифрования Sierra конструктивно выполнен в виде малогабаритной печатной платы с микросхемой. Он поддерживает алгоритмы шифрования УНБ стандартов Туре-1, 2 и 3 и возможность переключения между ними. Модуль совместим с шифраторами, поддерживающими криптографические алгоритмы DES и 3DES. В дополнение к шифрованию он обеспечивает цифровое кодирование сигнала речи (CVDS - дельта-модуляция, АМВЕ и др.) и функции управления шифрключами.
Ввод ключевых данных может осуществляться по радиоканалу (для стандартов Туре-1 и 3). Возможность перепрограммирования и удаления программы алгоритма шифрования стандарта Туре-1 (используется для закрытия информации с грифом "Совершенно секретно") позволяет перевести аппаратуру, в которой использу-^ ется данный модуль, в категорию несекретной. В вооруженных силах США в целях дальнейшего повышения надежности функционирования систем управления войсками активизированы работы по программам повышения безопасности информационного обмена, в том числе в системах связи и передачи данных. Это вызвано значительным увеличением объема циркулирующей информации, широким использованием радиосетей (особенно в тактическом звене), а также возрастающим количеством попыток несанкционированного доступа в системы управления. Вместе с тем отмечается рост доли мультимедийных данных, передаваемых в линиях связи, что приводит к необходимости увеличения их пропускной способности, а также повышения производительности оборудования, обеспечивающего защиту информации. Кроме того, завершаются работы по переводу всех систем и средств связи на использование IP-протокола. В ВС США основные работы при реализации программ модернизации средств обеспечения безопасности связи направлены на: В целом реализация запланированных в ВС США программ модернизации средств криптографического закрытия данных повысит надежность функционирования информационно-управляющих систем и существенно ограничит возможности несанкционированного доступа к защищаемым ресурсам. Смотрите также | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Просмотров: 10602 | | | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Всего комментариев: 0 | |