search
menu
person

NEWS AND UDATES


Шифровальное оборудование вооружённых сил США (2016)

Шифровальное оборудование вооружённых сил США

Полковник Д. Морозов

В вооруженных силах США одним из основных направлений обеспечения безопасности связи является использование шифровального оборудования, позволяющего осуществлять гарантированное закрытие информации с любым грифом секретности на всех этапах ее прохождения и во всех звеньях управления.

По американской классификации в зависимости от предназначения такие технические средства подразделяются на основные и вспомогательные. В состав основных аппаратных средств входят: магистральные (линейные) и абонентские шифраторы, а также внешние и встраиваемые в аппаратуру связи модули шифрования. К вспомогательным средствам относится аппаратура загрузки/ ввода шифрключей и переноса данных.

Шифраторы семейства TACLANE
Шифраторы семейства TACLANE: А - KG-175; Б - KG-l75А
Засекречивающие маршрутизаторы
Засекречивающие маршрутизаторы: A - KG-27SA, Б - KG-275B
KIV-54
Внешний модуль шифрования KIV-54
устройства шифрования
Встраиваемые малогабаритные устройства шифрования: А - Citadel, Б - Sierra

Криптографическая защита информации осуществляется во всех линиях сетей связи и передачи данных - проводных, спутниковых, радио- и других.

Защищенная военная спутниковая связь обеспечивается главным образом с помощью радиоаппаратуры миллиметрового диапазона длин волн, размещенной на борту ИСЗ. Высокая защищенность связи в данных системах достигается благодаря использованию криптографических средств и методов закрытия излучений и сообщений.

Закрытие излучений/передачи (TRANSEC - TRANsmission SECurity) достигается использованием помехоустойчивых сигналов с программной перестройкой рабочей частоты (ППРЧ). Аппаратура закрытия излучений имеется в составе всех наземных терминалов, а также на борту ИСЗ.

Закрытие сообщений (COMSEC -COMmunications SECurity) обеспечивается с помощью криптографической аппаратуры.

В криптографической аппаратуре для выполнения своих функций используется несколько типов ключей, которые функционально делятся на четыре категории: ключи закрытия излучения/ передачи TSK (Transmission Security Keys), ключи закрытия каналов передачи данных и линий связи (трафика) ТЕК (Traffic Encryption Keys), ключи закрытия ключей КЕК (Key Encryption Keys) и ключи закрытия информации для компьютерных сетей FIREFLY.

Ключи типа ТЕК используются для закрытия трафика групповых (широкополосных) сигналов связи. Как правило, при передаче несекретной информации период ключевой последовательности составляет один месяц без обновления, а секретной - один месяц с ежедневным обновлением ключей.

Ключи типа FIREFLY, используемые при передаче несекретной информации, имеют период ключевой последовательности один год с ежемесячным обновлением, а секретной - один год с ежедневным обновлением ключей.

К числу основных магистральных и абонентских шифраторов ВС США относится аппаратура семейства TACLANE производства американской фирмы "Дженерал дайнэмикс". Они предназначены для закрытия данных с грифом "Совершенно секретно" и ниже, передаваемых в высокоскоростных каналах по IP-протоколу и в режиме асинхронной передачи (ATM) в сетях от тактического до стратегического уровня.

Шифратор KG-175 (TACLANE Classic) представляет собой малогабаритное высокопроизводительное транспортабельное устройство закрытия данных, сертифицированное управлением национальной безопасности (УНБ) США как шифровальное оборудование стандарта Туре-1.

В режиме ATM для IP-пакетов адрес и данные шифруются методом туннелирования, при этом шифрование IP-пакетов обеспечивается со скоростью до 7,3 Мбит/с, а в режиме ATM - до 45 Мбит/с. Модификация устройства KG-175 TACLANE-E100 в дуплексном режиме обеспечивает максимальную пропускную способность 165 Мбит/с.

Кроме того, шифраторы семейства TACLANE поддерживают динамическую адресацию в IP-сетях с использованием методов статической маршрутизации, ручной настройки адресов с предварительной установкой ключа шифрования канала (КШК) для удаленных комплектов аппаратуры или туннельной IP-маршрутизации при передаче открытого текста.

В симплексных и дуплексных режимах работы, а также при работе в сетях ATM используется предварительно установленный КШК, что сокращает время загрузки ключа FIREFLY.

Таблица 1 Основные ТТХ шифраторов

Характеристика семейство TACLANE
KG-175 KG-175A
Потребляемая мощность, Вт 40-45 66-100
Напряжение электропитания, В:
 постоянного тока
18-36 12
переменного тока (50/60 Гц) 110-240 110-240
Диапазон температур, °С:
рабочих
-20...+50 0...+30(+40*)
хранения -31 ...+65 -31 ...+65
Размеры (ВхШхД), см 10,8x21х41,9 4,4x44,5x42,4
Масса, кг 7 9,07
Интерфейсы:
ввода/вывода
Ethernet 10 BaseT, RS-232, DS-3 (ATM) Ethernet 10/100/1000, RS-232, USB
загрузки ключей DS-101
Количество активных безопасных соединений 253 1024
Объем хранилища ключей (типа ТЕК) 48-64 48
* С охлаждением.

Предварительные КШК имеют период ключевой последовательности, равный одному месяцу, и требуют ежесуточного обновления. Данный ключ может быть обновлен максимум 1024 раза, после чего старый набор стирается и загружается новый. При этом автоматическое предупреждение о достижении максимального количества обновлений КШК пользователю не выдается. Во избежание отключения КШК требуется периодическая проверка счетчика обновления, расположенного на лицевой панели устройства.

Экстренное обнуление (стирание) всех ключей в шифраторах TACLANE выполняется путем одновременного нажатия специальных кнопок, также расположенных на лицевой панели. Несанкционированный доступ к шифратору приводит к стиранию ключей. Пассивное обнуление происходит автоматически при отключении источника питания. Для каждого безопасного соединения генерируется отдельный ключ типа ТЕК.

Обеспечение безопасности и управление доступом к функции криптографирования осуществляются с использованием сменяемого ключа запуска работы CIK (Crypto Ignition Key), при этом поддерживается до девяти индивидуальных ключей для трех операторов.

Для шифрования данных с грифом "Совершенно секретно" и ниже в широкополосных каналах передачи по IP-протоколу используется шифратор KG-175A (TACLANE-GigE). Он обеспечивает закрытие линий со скоростью передачи 10/100/1000 Мбит/с и суммарную пропускную способность до 2 Гбит/с при пакетной передаче данных, а также обладает функцией автоматического конфигурирования и восстановления сетевых параметров и настроек при переподключении. Управление осуществляется посредством удобного интерфейса пользователя через ПЭВМ любого типа.

Ключи типа ТЕК автоматически обновляются и перенастраиваются через 11 месяцев. Генерация ключей осуществляется с использованием технологии FIREFLY. Обеспечение безопасности и управление доступом к функции крипто-графирования осуществляются с использованием сменяемого ключа запуска работы CIK (один основной и два резервных).

В связи с планомерным переводом всех систем и средств связи ВС США на использование IP-протокола на вооружение приняты высокоскоростные шифраторы IP-трафика для работы в сетях типа Ethernet со скоростью передачи данных не менее 100 Мбит/с и в дуплексных каналах со скоростью передачи потока 64-байтных пакетов не ниже 20 Мбит/с, а также новые магистральные устройства шифрования IP-пакетов с функцией маршрутизации.

Таблица 2 Основные ТТХ маршрутизаторов

Потребляемая мощность, Вт 200
Напряжение электропитания, В 100-240 (переменный ток 50/60 Гц)
Диапазон температур, °С: рабочих 0...+50
хранения -35...+85
Размеры (ВхШхД), см 8,9x43,8x39,4
Масса, кг 13,6
Интерфейсы: ввода/вывода IEEE 802.3 Ethernet, 10/100/1000 Base Т (RJ-45).
загрузки ключей сменные оптические (SFP-LX, -SX)
Объем хранилища ключей 500 (типа ТЕК)

Так, для закрытой передачи мультимедийных данных с пакетной коммутацией по протоколам IPv4 и IPv6 используются засекречивающие маршрутизаторы KG-275А и -275В производства американской фирмы Cisco. Они представляют собой высокопроизводительное устройство маршрутизации с закрытием данных, размещенное в промышленном корпусе для установки в стандартную стойку и сертифицированное УНБ США как шифровальное оборудование стандарта Туре-1.

Данная аппаратура полностью отвечает требованиям HAIPE IS (High-Assurance Internet Protocol Encryptor Interoperability Specification) v3.0, поддерживает современные протоколы маршрутизации и туннелирования, обеспечивает гарантированное качество обслуживания (QoS) и необходимый уровень аппаратного резервирования. Управление осуществляется с применением протокола SNMPv3 (Simple Network Management Protocol v3) и графического интерфейса пользователя Cisco Works, разработанного специально для такой шифраппаратуры.

Аппаратура KG-275A и -275В используется в виртуальных частных сетях, для организации видеоконференцсвязи, IP-телефонии (VoIP), а также может взаимодействовать с аналогичными зарубежными шифраторами (например, стран НАТО или других союзников) благодаря возможности модернизации программного обеспечения.

Кроме шифрования данные устройства обеспечивают в сетях совместную маршрутизацию как открытых, так и зашифрованных сообщений. При этом KG-275A (Cisco 5750) гарантирует надежную высокоскоростную передачу данных, речевых сообщений и видеоизображений в сетях с коммутацией пакетов по IP-протоколу со скоростью передачи 10/100/1000 Мбит/с и суммарную пропускную способность до 2 Гбит/с, a KG-275B (Cisco 5720) используется в основном для подключения удаленных пунктов управления, спутниковых линий в направлении "вверх" или в линиях связи, где требуется низкая скорость передачи. Для линий стандарта Т1/Е1 (1,544/2,048 Мбит/с) он обеспечивает полную управляемую интеграцию DSL7 CSU (Digital Switched Unit/Channel Switched Unit) или частичный сервис Т1/Е1, в то время как последовательный порт - соединение со скоростью до 8 Мбит/с.

В настоящее время скорость передачи в сетях ограничивается производительностью магистральных устройств шифрования IP-протокола с гарантированной стойкостью засекречивания. Они обеспечивают максимальную скорость шифрования до 100 Мбит/с. На современном этапе заканчивается разработка следующего поколения шифраторов НАТРЕ, обеспечивающих шифрование потока данных со скоростью до 10 Гбит/с.

Таблица 3 ТТХ модуля шифрования KJV-54

Потребляемая мощность, Вт 5,5
Напряжение электропитания, В 5 ± 5 % (постоянный ток)
Диапазон температур, °С:
рабочих
-10...+40
хранения -10...+70
Размеры (ВхШхД), см 2,9x8x11,4
Масса, кг 1,36 (с модулем связи)
Интерфейсы: ввода/вывода Ethernet 10/100 Base-T, Ethernet 100 Base-FX
загрузки ключей DS-101

В качестве типового внешнего модуля шифрования можно рассматривать криптографическое устройство KTV-54 производства американской фирмы Harris. Оно используется совместно со специальными модулями связи серии SecNet54 стандартов IEEE 802.1la/b/g, IEEE 802.3 Ethernet и IEEE 802.16 для закрытого обмена мультимедийными данными с грифом "Совершенно секретно" и ниже со скоростями передачи до 54 Мбит/с в проводных и беспроводных локальных вычислительных сетях (ЛВС) с пакетной коммутацией по IP-протоколу. Это малогабаритное высокопроизводительное устройство закрытия данных сертифицировано УНБ США как шифровальное оборудование стандарта Туре-1.

Криптографическое закрытие данных обеспечивается встроенным перепрограммируемым модулем шифрования Sierra II. Криптомодуль KIV-54 может взаимодействовать с сетевыми шифраторами HAIPE INE, используя для этого предварительно установленные симметричные ключи.

Обнуление ключевых данных в модуле осуществляется специальной командой, переданной по ЛВС соответствующим должностным лицом, или механическим способом.

Для установки в любую современную аппаратуру и средства связи (радиостанция, мобильный радиотелефон, аппаратура передачи данных, носимый персональный компьютер и др.) используются встраиваемые малогабаритные устройства шифрования Citadel и Sierra производства американской фирмы Harris.

Устройство шифрования Citadel конструктивно выполнено в виде микросхемы с 80 контактами в корпусе TQFP.

Оно поддерживает большое количество криптографических алгоритмов, основанных на смешанных режимах, блочных арифметических шифрах, обеспечивающих как засекречивание связи, так и безопасность передачи данных. Устройство Citadel поддерживает симметричный и асимметричный методы генерации ключей (в том числе систему открытых ключей). Ключи типа КЕК и ТЕК хранятся в электронно-перепрограммируемом постоянном запоминающем устройстве. Длина ключевой последовательности изменяемая (56-128 бит), а количество вариантов составляет более 1,8x1019. Пользователь имеет возможность загружать свои алгоритмы шифрования без внесения изменения в аппаратную часть.

Перепрограммируемый модуль шифрования Sierra конструктивно выполнен в виде малогабаритной печатной платы с микросхемой. Он поддерживает алгоритмы шифрования УНБ стандартов Туре-1, 2 и 3 и возможность переключения между ними. Модуль совместим с шифраторами, поддерживающими криптографические алгоритмы DES и 3DES. В дополнение к шифрованию он обеспечивает цифровое кодирование сигнала речи (CVDS - дельта-модуляция, АМВЕ и др.) и функции управления шифрключами.

Таблица 4 Основные ТТХ встраиваемых малогабаритных устройств шифрования

Характеристика Citadel Sierra
Потребляемая мощность, Вт 1,5-540  
Напряжение электропитания постоянного тока, В 3,3-5 ± 5 %
Диапазон температур, °С -40....+85
Размеры (ВхШхД), см 0,3x1,6x1,6 0,5x2,5x5,1
Интерфейсы загрузки ключей   D6-101, D8-102
Скорость передачи шифруемых данных, Мбит/с До 5 До 11

Ввод ключевых данных может осуществляться по радиоканалу (для стандартов Туре-1 и 3). Возможность перепрограммирования и удаления программы алгоритма шифрования стандарта Туре-1 (используется для закрытия информации с грифом "Совершенно секретно") позволяет перевести аппаратуру, в которой использу-^ ется данный модуль, в категорию несекретной.

В вооруженных силах США в целях дальнейшего повышения надежности функционирования систем управления войсками активизированы работы по программам повышения безопасности информационного обмена, в том числе в системах связи и передачи данных. Это вызвано значительным увеличением объема циркулирующей информации, широким использованием радиосетей (особенно в тактическом звене), а также возрастающим количеством попыток несанкционированного доступа в системы управления.

Вместе с тем отмечается рост доли мультимедийных данных, передаваемых в линиях связи, что приводит к необходимости увеличения их пропускной способности, а также повышения производительности оборудования, обеспечивающего защиту информации. Кроме того, завершаются работы по переводу всех систем и средств связи на использование IP-протокола.

В ВС США основные работы при реализации программ модернизации средств обеспечения безопасности связи направлены на:
- совершенствование аппаратно-программных средств систем автоматической генерации и распределения ключей шифрования, поддержку инфраструктуры открытых ключей;
- развитие технологий засекречивания обмена данными в локальных радиосетях командных пунктов, разработку новых алгоритмов программирования криптографических систем;
- увеличение скорости шифрования и количества одновременно обслуживаемых каналов связи одним устройством;
- увеличение длины ключевой последовательности шифровальных материалов;
- повышение уровня оперативно-технической совместимости оборудования шифрования как на национальном, так и на коалиционном уровне;
- увеличение объема поставок в войска сетевых устройств, обеспечивающих шифрование данных, передаваемых по IP-протоколу.

В целом реализация запланированных в ВС США программ модернизации средств криптографического закрытия данных повысит надежность функционирования информационно-управляющих систем и существенно ограничит возможности несанкционированного доступа к защищаемым ресурсам.

Зарубежное военное обозрение. 2016, №3, С. 38-43

Смотрите также
Категория: Техническое обеспечение | Добавил: pentagonus (23.04.2016) | Автор: Полковник Д. Морозов
Просмотров: 11130 | Теги: шифрование, связь, Д. Морозов | Рейтинг: 0.0/0
Всего комментариев: 0
avatar