14 mar 2015

Polskie rozwiązania stosowane w ochronie informacji niejawnych posiadające certyfikaty SKW lub ABW

2

Dla zapewnienia bezpieczeństwa każdego państwa niezbędnym jest objęcie pewnych istotnych dla jego funkcjonowania informacji ograniczeniem dostępu. W tym celu tworzy się system ochrony informacji, które nie są powszechnie jawne. Co za tym idzie, wszelkie informacje niejawne wykorzystywane przez polskie służby, wojsko a także współpracujące z nimi instytucje i firmy muszą posiadać odpowiednie zabezpieczenia. Za zabezpieczenie informacji niejawnych, w szerokim tego słowa znaczeniu odpowiadają w Polsce dwa organy: Agencja Bezpieczeństwa Wewnętrznego (ABW) po linii cywilnej oraz Służba Kontrwywiadu Wojskowego (SKW) po linii wojskowej. To one decydują m.in. jakie urządzenia i rozwiązania programowe spełniają kryteria umożliwiające ochronę informacji niejawnych. Dzisiaj przedstawimy kilka takich rozwiązań, które uzyskały certyfikację ww. służb lub zostały przez nie stworzone.
Jednym z rozwiązań programowych jest Narodowy Algorytm Szyfrujący (NASZ), który został opracowany przez Departament Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego (DBTI ABW) (źródło). Algorytm ten jest szyfrem przyjętym jako polski standard kryptograficznej ochrony informacji niejawnych. Specyfikacja algorytmu jest oczywiście niejawna, a jego implementacje są dostępne wyłącznie w urządzeniach produkowanych na potrzeby rządowe lub wojskowe. NASZ jest oparty o 3DES (algorytm szyfrowania symetrycznego polegający na trzykrotnym przetworzeniu wiadomości algorytmem DES). Według nieoficjalnych danych algorytm posiada funkcję whiteningu, której celem jest upodobnienie sygnału wyjściowego do białego szumu. Powód zastosowania dodatkowych przekształceń nie jest jasny, ale prawdopodobnie celem było udaremnienie prób wykorzystania publicznie dostępnych sprzętowych implementacji 3DES do szukania kluczy, przez co algorytm staję się bardziej bezpieczny i odporny na ataki. Narodowy Algorytm Szyfrujący jest dostępny w kilku odmianach, różniących się przeznaczeniem: NASZ-P służy do ochrony informacji niejawnych o klauzuli "Poufne" natomiast NASZ-T - "Tajne". Ponadto, urządzenia te korzystają z implementacji sprzętowej 3DES (prawdopodobnie także NASZ) w postaci specjalizowanego układu MCY74C609 zaprojektowanego przez Instytut Technologii Elektronowej we współpracy z firmą TechLab 2000.


Rozwiązania sprzętowe to wszelkiego rodzaju urządzenia, takie jak szyfratory, terminale, generatory losowe, degaussery, stacje, kabiny itp. Jednym z nich jest "Pakietowe urządzenie utajniające IP-KRYPTO" wraz ze stacjami generacji i redystrybucji danych kryptograficznych oraz oprogramowaniem do planowania, zarządzania i monitorowania. Urządzenie zostało opracowane przez Wojskowy Instytut Łączności i przeznaczone jest do kryptograficznej i elektromagnetycznej ochrony informacji przesyłanych w sieciach pakietowych IP o klauzuli do "Tajne" włącznie i wygląda tak:


W skład urządzenia wchodzi:
  • stacja planowania umożliwiająca planowanie sieci IP oraz relacji kryptograficznych;
  • stacja generacji umożliwiająca wytworzenie danych kryptograficznych na podstawie danych pochodzących ze stacji planowania z wykorzystaniem sprzętowego generatora ciągów losowych;
  • stacja dystrybucji i nośniki umożliwiające bezpieczną dystrybucję danych kryptograficznych;
  • stacja zarządzania umożliwiająca monitorowanie, aktywację, dezaktywację i zerowanie każdego urządzenia IP-Krypto pracującego w systemie.
Kolejnym urządzeniem jest szyfrator CompCrypt ETA-MIL 10P N7 służący do utajniania informacji przesyłanych w sieciach rozległych IP (także w sieciach radiowych). Urządzenie działa w oparciu o technologię wirtualnych sieci prywatnych (IPsec-VPN). Przy jego pomocy odległe lokalizacje lub terminale użytkownika zostają połączone tunelami szyfrowymi umożliwiając współdzielenie zasobów sieciowych i wymianę informacji. Zastosowano w nim najnowsze, wysokowydajne algorytmy szyfrujące oparte m.in. na krzywych eliptycznych. Urządzenie opracowała firma Enigma Systemy Ochrony Informacji (Enigma SOI) i uzyskało ono certyfikat SKW do ochrony informacji niejawnych o klauzuli "Poufne", a wygląda tak (wersja wojskowa):


Kolejny szyfrator to ETA-VPN 100P zaprojektowany przez grupę COMP S.A. (producent Enigma SOI) dla celów kryptograficznej ochrony informacji niejawnych do klauzuli "Poufne" i umożliwia tworzenie bezpiecznych, wydzielonych sieci transmisji danych wykorzystując do tego technologię VPN. Kanały transmisyjne są skutecznie zabezpieczone przed atakami z zewnątrz dzięki szyfrowaniu pakietów IP, które połączone jest z funkcjami filtrowania. Zastosowano algorytmy szyfrowe, w tym niejawny algorytm utajniający (NASZ-P-05) a także AES, RSA (1024, 2048), SHA2-256. Dokładnie 32 urządzenia tego typu grupa Comp dostarczyła policji na potrzeby Systemu Informacji Operacyjnych (SIO) oraz Ogólnopolskiej Bazy Osobowych Źródeł Informacji (OBOZI). Wartość umowy sprzętowej z Komendą Główną Policji wyniosła prawie 1,5 mln zł brutto. Urządzenie wygląda tak:


Kolejne urządzenie to jednokierunkowy modem światłowodowy JMS-10 opracowany przez firmę PIT S.A. i przeznaczony do ochrony informacji niejawnych narodowych o klauzuli "Tajne" a także informacji niejawnych NATO i Unii Europejskiej o klauzuli NATO Confidential / EU Confidential (odpowiednik klauzuli "Poufne"). Jest to produkt wykonany w technologii TEMPEST (pozwalająca na stworzenie tak zwanych bezpiecznych urządzeń, zabezpieczonych przed podsłuchem elektronicznym). Produkt składa się z dwóch bloków: nadajnika JMS-10TX oraz odbiornika JMS-10RX, co ilustruje poniższy obraz:




Zestawienie zamyka "Sprzętowy generator ciągów losowych SGCL-1 MB" opracowany przez Wojskowy Instytut Łączności. Urządzenie przeznaczone jest do generacji binarnych ciągów losowych na potrzeby urządzeń i aplikacji kryptograficznych (stacje generacji danych kryptograficznych, stacje szyfrowe, urządzenia kryptograficznej ochrony informacji), dla zastosowań przetwarzających informacje niejawne o klauzuli do "Ściśle tajne" włącznie, na podstawie certyfikatu Służby Kontrwywiadu Wojskowego nr 300/2011/JC SKW. Wygląda niepozornie:

Poniżej przedstawiamy wykaz aktualnych certyfikatów na urządzenia i rozwiązania tego typu od Służby Kontrwywiadu Wojskowego (wydanie z dnia 20 lutego 2015 r.):

Poniżej certyfikaty Służby Kontrwywiadu Wojskowego i Agencji Bezpieczeństwa Wewnętrznego na niektóre wyżej opisane rozwiązania:























Dodatkowo dla zainteresowanych: "Polityka kryptograficzna Agencji Bezpieczeństwa Wewnętrznego" w formie PDF.


Źródło:
www.skw.gov.pl
www.abw.gov.pl
www.wil.waw.pl
www.enigma.com.pl
www.ite.waw.pl
pl.wikipedia.org

2 komentarze:

Anonimowy pisze...

Na zdjęciu podpisanym "Rys 2" jest karta PCI a nie ISA.

vigila semper pisze...

Racja, niestety taki błąd występuje w dokumentacji tego urządzenia, przedstawiony na screenie przedmiot posiada faktycznie złącze PCI a nie ISA.

Publikowanie komentarza

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift