Matthias Adams - Moderne E2E-Verschlüsselung mit SCIP-DE

Vortrag 0075
Moderne E2E-Verschlüsselung
mit SCIP-DE
Matthias Adams, 2015
Inhalt
ı  Ende-zu-Ende-Kommunikation im Hochsicherheitsbereich
§  Die SCIP-DE Kryptosuite
§  Verwendung von SIP für den Verbindungsaufbau
§  Sicherheitsdomänen und sichere Ende-zu-Ende-Kommunikation
§  Integration der Kryptogeräte in Netze
ı  Das Geheimfähige Secure Voice (GSV) Kryptosystem
§  Das GSV-Kryptogerät
§  Multikryptofähigkeit
§  Ladbare Kryptoapplikationen
§  Management-Systeme
§  Kryptomanagement
§  Administration
ı  Migration von ELCRODAT 6-2 zum GSV Kryptogerät
12.05.15
Moderne E2E-Verschlüsselung mit SCIP-DE
2
E2E-Kommunikation im Hochsicherheitsbereich
ı  Übertragung von Information, die die nationale Sicherheit gefährden kann, muss
die Anforderungen für eine Geheimhaltungsstufe GEHEIM erfüllen.
ı  Als Kommunikationsmittel von bis zu GEHEIM eingestufter Information werden
Telefone, Faxe, PCs zur Datenübertragung und Videokonferenzanlagen
verwendet.
ı  Hochsichere Kryptogeräte ermöglichen die Verwendung unterschiedlicher
Endgeräte für die Kommunikation
ı  Beispiele aktuell verwendeter Kryptogeräte in diesem Bereich:
§  Kryptotelefon ELCRODAT 5-4
§  Kryptogerät ELCRODAT 6-2 für Sprach-, Daten-, Fax- und Videokommunikation
12.05.15
Moderne E2E-Verschlüsselung mit SCIP-DE
3
E2E-Kommunikation im Hochsicherheitsbereich
GSV KG
GSV KG
IP-Netz
GSV KG
12.05.15
GSV KG
Moderne E2E-Verschlüsselung mit SCIP-DE
4
SCIP ist das NATO Interoperabilitätsprotokoll für
sichere Kommunikation der Zukunft
SCIP
ı  …ist die sichere, schmalbandige vom Kommunikationsnetz weitgehend
unabhängige Sprachkommunikation
ı  …ermöglicht eine von der Übertragungstechnologie weitgehend
unabhängige sichere Ende-zu-Ende Kommunikation
ı  … wird in Kryptogeräten vieler NATO-Staaten implementiert und ist deshalb
die Voraussetzung für eine Interoperabilität von Kryptogeräten
unterschiedlicher Hersteller
ı  … erlaubt die Verwendung unterschiedlicher Krypto-Algorithmen
ı  … ermöglicht nationale Ausprägungen, eine davon ist SCIP-DE
12.05.15
Moderne E2E-Verschlüsselung mit SCIP-DE
5
Die SCIP-DE Kryptosuite
SCIP-DE (eine „national angepasste Version des Protokolls“)
ı  … ist optimiert für IP-Netze und unterstützt schmal- und breitbandige
Anwendungen, wie beispielsweise die Videokommunikation
ı  … basiert auf SCIP-233
§ 
Betriebsart SCIP PD Mode zur Unterstützung von Multimedia-Applikationen
ı  … Key Management
§ 
§ 
§ 
§ 
§ 
§ 
Call Setup Encryption
X.509 v3 Zertifikate
X.509 v2 Zertifikatssperrlisten
ECDSA Signaturverfahren
Schlüsseleinigung nach signed ECDH
Verkehrsverschlüsselung mit einem einsatzspezifischen Block Cypher Algorithmus
12.05.15
Moderne E2E-Verschlüsselung mit SCIP-DE
6
Verwendung von SIP für den Verbindungsaufbau
ı  In heutigen Kommunikationsnetzen wird für den Verbindungsaufbau bei der
Sprach- und bei der Videokommunikation vorrangig SIP verwendet
ı  SCIP setzt auf einer bereits etablierten Kommunikationsverbindung zwischen
den Kryptogeräten auf
ı  Damit ist SCIP weitgehend unabhängig vom Verbindungsaufbauprotokoll
ı  Kryptogeräte mit SCIP-DE verwenden SIP als Verbindungsaufbau-Protokoll
12.05.15
Moderne E2E-Verschlüsselung mit SCIP-DE
7
SCIP-DE unterstützt die Kommunikation mit
unterschiedlichen Sicherheitsdomänen
ı  Sicherheitsdomänen grenzen Bereiche mit unterschiedlichen
Sicherheitsanforderungen gegeneinander ab
§  Unterschiedliche eingestufte Information
§  Unterschiedliche Organisationen
ı  Sicherheitsdomänen sind kryptographisch gegeneinander abgegrenzt
ı  Kryptogeräte mit SCIP-DE können gleichzeitig mehreren Sicherheitsdomänen
angehören
ı  Anwendern von SIP-Telefonen kann per Ansage und auf dem Display die
aktuell verwendete Sicherheitsdomäne signalisiert werden
12.05.15
Moderne E2E-Verschlüsselung mit SCIP-DE
8
Anwendungsbeispiel für zwei Sicherheitsdomänen
GSV KG
Domäne B
Domäne A
GSV KG
IP-Netz
GSV KG
GSV KG
GSV KG
SMC
12.05.15
Moderne E2E-Verschlüsselung mit SCIP-DE
9
Sichere Ende-zu-Ende-Kommunikation
ı  Die zu schützende Information wird kryptiert auch innerhalb der Netze einer
Liegenschaft bis zu den Kryptogeräten in den Kryptobetriebsstellen transportiert.
Innentäter mit einem Zugriff auf das Kommunikationsnetz der Liegenschaft haben
keinen Zugriff auf die zu schützende Information.
Behördennetz
ypte
encr
dia
d me
data
GSV KG
GSV KG
12.05.15
Moderne E2E-Verschlüsselung mit SCIP-DE
10
Das GSV-Kryptosystem
Geheimfähiges Secure Voice Kryptosystem
SIP-Server
GSV KG
IP-Netz
GSV KG
Secuity Management Center (SMC)
(Kryptomanagement)
12.05.15
Configuration Management Center (CMC)
(Administrationsmanagement)
Moderne E2E-Verschlüsselung mit SCIP-DE
11
Einfache Integration der SCIP-DE Kryptogeräte in
bestehende Netze
ı  SCIP-DE Kryptogeräte sind SIP-Clients
ı  Plug-and-Play Installation, vergleichbar mit der Installation von SIPTelefonen
ı  Dynamische IP-Adressen werden unterstützt
ı  Hinzunahme oder Austausch von Kryptogeräten ist ohne Rekonfiguration
der bereits installierten Kryptogeräte möglich
ı  Interoperabilität zwischen Kryptogeräten, die in geschlossenen
Regierungsnetzen installiert sind und solchen, die über das Internet
erreicht werden können
12.05.15
Moderne E2E-Verschlüsselung mit SCIP-DE
12
Weltweite, sichere Ende-zu-Ende Kommunikation
SIP-Phone
Behördennetz
Internet
SIP-Phone
encrypte
en
media
crypted
SIPS
GSV-KG
data
d media
data
SIPS
GSV-KG
SIPS
SCIP-DE
SIP-Server
12.05.15
Moderne E2E-Verschlüsselung mit SCIP-DE
13
Das GSV-Kryptogerät bietet vielfältige
Anwendervorteile
ı  Rohde & Schwarz Hardware-Plattform mit softwaredefinierter Kryptographie
§ 
Dadurch flexible Aktualisierbarkeit und Erweiterungsfähigkeit
ı  Konzipiert für Einstufungsgrade GEHEIM und NATO SECRET
ı  Multiple Independent Levels of Security - MILS
§ 
§ 
Gleichzeitiger Betrieb von drei Kryptosuiten in einem GSV Kryptogerät möglich
Drei rote Schnittstellen zum parallelen Betrieb von Endgeräten mit unterschiedlichen
Einstufungsgraden und unterschiedlichen Sicherheitsdomänen
ı  Ladbare Kryptoapplikationen
§ 
Flexible Verwendung bei wechselnden Einsätzen und Missionen
ı  Multikryptofähigkeit
§ 
Hohe Flexibilität und signifikante Reduzierung von Investitionen
12.05.15
Moderne E2E-Verschlüsselung mit SCIP-DE
14
Das GSV-Kryptogrät – Multikryptofähigkeit
Black
Processing
Kryptomodul
ETH
Red
Processing
Kryptosuite A
ETH
Kryptosuite A
ETH
Kryptosuite A
ETH
Plattformdienste
Beispiel einer Multikrypto Konfiguration
Bezeichnung der
Kryptosuite
max. Einstufung der zu
übertragenden Information
Kryptosuite A
SNS
VS-NfD
Kryptosuite B
SCIP-DE
GEHEIM
Kryptosuite C
SCIP
NATO SECRET
12.05.15
Moderne E2E-Verschlüsselung mit SCIP-DE
15
GSV Managementsysteme
ı  Kryptomanagement
§  Online-Kryptomanagement
§  Verteilung und Aktualisierung kryptographischer Daten
(Zertifikate, Sperrlisten)
ı  Konfigurationsmanagement
§  Online-Verteilung von Betriebsparametern und nachladbarer
Software an die Kryptogeräte
§  Online-Abfrage der Betriebszustände der Kryptogeräte
12.05.15
Moderne E2E-Verschlüsselung mit SCIP-DE
16
Migration ELCRODAT 6-2 nach GSV-System
ı  Das Kryptosystem ELCRODAT 6-2 und das Nachfolge-Kryptosystem GSV sind
kryptographisch nicht kompatibel
ı  Gatewaykonzept und Komponente für interoperable Migration sind vorhanden
R&S®IP-GATE
RED GATEWAY
ELCRODAT 6-2
GSV KG
IP-Network
R&S®IP-GATE
ISDN
SIP-Server
GSV KG
ELCRODAT 6-2
12.05.15
Moderne E2E-Verschlüsselung mit SCIP-DE
17
Zusammenfassung und Ausblick
ı  Das GSV-Kryptosystem ermöglicht über IP weltweit hochsichere Ende-zu-EndeKommunikation in unterschiedlichen Sicherheitsdomänen mit SIP-fähigen
Endgeräten bei einfacher Handhabung
ı  Durch softwaredefinierte, nachladbare Kryptographie und Gerätesoftware ist
sehr hohe Flexibilität bei wechselnden Einsatzbedingungen gegeben
ı  Mit der Multikryptofähigkeit wird die Anzahl erforderlicher Kryptogeräte
reduziert, bei gleichzeitig erheblich flexiblerem Einsatz
ı  Die Migration von ELCRODAT 6-2 zum GSV-Kryptosystem ist machbar
12.05.15
Moderne E2E-Verschlüsselung mit SCIP-DE
18

Download Report