Hovedoppgave LKSK II/2 Modul VI

Transkript

1 Hovedoppgave LKSK II/2 Modul VI Sikker informasjonsoverføring over trådløse nettverk i NbF Christine Huseby Kull 54 Luftkrigsskolen

2 Innledning 1 Hovedoppgave 1 Innledning BAKGRUNN PROBLEMSTILLING AVGRENSNING Metode BEGREPSAVKLARING Teorigrunnlag NBF-KONSEPTET DET ELEKTROMAGNETISKE SPEKTERET INFORMASJONSSIKKERHET OVERGANG TIL DRØFTING Sikker trådløs informasjonsoverføring i kommersielle kommunikasjonssystemer SIKKERHET Sikring av konfidensialitet Aksesskontroll/Autentisering Fysisk sikring BÅNDBREDDE/OVERFØRINGSKAPASITET INTEROPERABILITET/STANDARDER OPPSUMMERING Sikker trådløs informasjonsoverføring i Forsvarets kommunikasjonssystemer GENERELT OM SIKKERHET I FORSVARETS MOBILE OG TRÅDLØSE NETT BÅNDBREDDE/OVERFØRINGSKAPASITET SIKKERHET INTEROPERABILITET OPPSUMMERING Fremtiden KOMMUNIKASJONSSTANDARDER/INTEROPERABILITETSNØKLER INSTANT MESSAGING IP-TELEFONI Oppsummering/Konklusjon Bibliografi...59 Unba/H:\DATA\Hovedoppgaver 2005\Huseby\Hovedoppgave.Doc

3 Innledning 2 1 Innledning 1.1 Bakgrunn En tenkt situasjon i 2005: En hærstyrke forflytter seg langs en vei i Nord-Norge. Mellom alle kjøretøyene er det etablert et trådløst datanett. Kjøretøyene stopper og utgrupperer seg i henhold til forhåndsordre. Kjøretøy som allerede har ankommet samlingspunktet kobler seg til det trådløse nettverket. Via satellitt etableres forbindelse ut av området til hjemmenettet. Måldata utveksles og ildordrer gis. Angrepet utføres. En tenkt situasjon i 2010: En hærstyrke forflytter seg langs en vei i et fremmed land. Mellom alle stridsvognene er det etablert et trådløst datanett. Stridsvognene stopper og utgrupperer seg i henhold til forhåndsordre. Måldata sendes fra en observasjonspost til kommandovognen. I nærheten ligger en annen vogn, skjult blant bygninger. Soldater i denne vognen kobler seg inn på det lokale nettverket, uten at noen merker det. Når meldingen med måldataene kommer, må det handles raskt. Meldingen stoppes og måldataene endres før de sendes videre i opprinnelig retning. Den fremmede vognen trekker seg forsiktig ut av området, og melder videre til sine overordnede via satellitt. På få sekunder har øverstkommanderene fått melding om at oppdraget er utført. Samtidig gis ildordrer i det lokale trådløse nettverket, og katastrofen er et faktum. Hærstyrken har skutt mot egne styrker. Dagens trusselbilde er uforutsigbart og i stadig endring, noe som krever en lett, mobil og fleksibel organisasjon. Forsvaret er i ferd med å gjennomgå store organisasjonsendringer, og omfattende nedskjæringer og omforminger skal gjøre oss nettopp lette, mobile og fleksible. Samtidig går utviklingen av ny teknologi i stor fart, og innføring av denne teknologien fører ofte til ytterligere effektivisering og personellreduksjon. I dag er det mulig å kommunisere på tvers av forsvarsgrener og den hierarkiske strukturen, og å samle inn og behandle store mengder informasjon. Forholdene skulle i så måte ligge vel til rette for en implementering av et Nettverksbasert Forsvar (NbF). Arbeidet med en norsk versjon av et NbF har pågått siden Forsvarssjefen (FSJ) i mai 2000 ga Forsvarets Stabsskole (FSTS) i oppdrag å vurdere konsekvenser for Forsvaret ved innføring av nettverkstenkning. 1 Ideen med NbF er at ulike militære kapasiteter knyttes sammen i et nettverk gjennom en omfattende informasjonsinfrastruktur. Målet med NbF er økt effektivitet og stridsevne, og dette skal gjøres ved å skaffe seg, og utnytte, en informasjonsoverlegenhet. 1 Forsvarssjefens militærfaglige utredning 2003: Konsept for nettverksbasert anvendelse av militærmakt, s 1

4 Innledning 3 Informasjonsoverlegenheten relateres her til styrkens behov for informasjon. Det vil si at det dreier seg om å ha et minst mulig udekket informasjonsbehov. Gjennom datafusjon og horisontal og vertikal distribusjon, kan man skape et felles situasjonsbilde. Målet er at beslutningstakerne skal få en felles situasjonsbevissthet. Denne forståelsen utgjør grunnlaget for å handle til egen fordel. En forutsetning for et fungerende NbF er en god informasjonsinfrastruktur. Informasjonsinfrastrukturen er limet i nettverket, hvor mennesker og komponenter kommuniserer med hverandre. Fordi Forsvaret i fremtiden skal være mobilt, fleksibelt og dynamisk blir det vanskelig å basere seg på en fast informasjonsinfrastruktur. Dataoverføring via trådløse nettverk vil derfor være en forutsetning for å kunne operere med et moderne nettverk. Samarbeidet skal kunne gå på tvers av avdelinger i nasjonalt-, FN- eller NATO-styrte operasjoner, og teknologien må derfor være kompatibel og fleksibel. På denne måten øker avhengigheten til teknologisk avanserte systemer, og det må stilles strenge krav til kvalitet og sikkerhet i nettverket. Trådløse nettverk er et område det jobbes aktivt med på mange nivåer i og utenfor Forsvaret. I Norge er Forsvarets Sikkerhetsavdeling (FSA), Forsvarets Kompetansesenter for Kommando og Kontroll Informasjonssystemer (FK KKIS), Forsvarets Logistikkorganisasjon/Informasjons- og kommunikasjonsteknologi (FLO/IKT), Norwegian Battlelab (NOBLE) og Forsvarets Forskningsinsitutt (FFI) alle militære avdelinger som fokuserer på temaet. Aktører som SINTEF, Kongsberg og Thales er bare få blant mange sivile interessenter. 1.2 Problemstilling Denne oppgaven vil fokusere på datasikkerhet i trådløse nettverk i NbF, og hvilke utfordringer dette stiller Forsvaret overfor. Hovedproblemstillingen i denne oppgaven vil være som følger: Hvilke utfordringer finnes for å ha sikker overføring av informasjon over trådløse nettverk i et NbF? To begrep er sentrale i denne problemstillingen: sikker informasjonsoverføring og NbF. NbF behandles nærmere i kapittel 3.1, og sikkerhet behandles i kapittel 3.3.

5 Metode 4 Militære krav og behov i nasjonale og internasjonale operasjoner vil vurderes, og noen av Forsvarets sentrale systemer vil bli brukt som eksempler. Fordi det sivile markedet er dominerende på IT-utviklingen, vil også kommersielle standarder bli studert og sammenholdt med militære behov. 1.3 Avgrensning Områder som administrasjon og forsyningstjeneste, forskning og utvikling er viktige i enhver militær organisasjon. Selv om informasjonsteknologien er sentral også på disse feltene, vil oppgaven fokusere på det operative nivå. Konkrete avdelinger, scenarier eller tekniske løsninger vil heller ikke diskuteres, oppgaven vil holdes på et mer overordnet og generelt nivå. Et stort antall kommunikasjonssystemer benyttes i Forsvaret i dag, men denne oppgaven vil ikke ta for seg alle. Jeg har isteden valgt ut noen av de systemene jeg finner mest sentrale i denne sammenheng. Det vil ikke være behov for å gå detaljert inn på de tekniske forholdene rundt dataoverføringer eller sikkerhet, og jeg vil gjennomgående holde meg på et teknologisk overordnet nivå. Etter innledningen i kapittel 1, vil metoden følge i kapittel 2. Teoridelen kommer i kapittel 3, og er delt i tre hoveddeler. Den første beskriver teori rundt NbF, den andre teorien rundt det elektromagnetiske spekteret, og den tredje teori rundt informasjonssikkerhet. I kapittel 4, 5 og 6 kommer hoveddelen av oppgaven; drøftingen. Kapittel 4 tar for seg generelt om sikkerhet i kommersielle, trådløse nettverk. I det neste kapittelet vil noen sentrale trådløse kommunikasjonssystemer i Forsvaret trekkes frem, mens det siste kapittelet vil diskutere noen muligheter i utviklingen videre fremover. Oppgaven avslutter med en oppsummering/konklusjon. 2 Metode Metode er et hjelpemiddel, en fremgangsmåte man benytter seg av for å samle inn og beskrive virkeligheten. 2 Hellevik definerer metode som: 2 Jacobsen, D I: Hvordan gjennomføre undersøkelser, s 24

6 Metode 5 en fremgangsmåte, et middel til å løse problemer og komme frem til ny kunnskap. Et hvilket som helst middel som tjener dette formålet, hører med til arsenalet av metoder. 3 Metoden hjelper til med å systematisere arbeidet, og skal sikre validitet og reliabilitet på arbeidet. Validitet betyr at informasjonen er gyldig og relevant, mens reliabilitet betyr at informasjonen er pålitelig og troverdig. 4 Denne oppgaven vil i hovedsak bli gjennomført etter kvalitativ metode, med noen kvantitative elementer. Formålet med oppgaven er å belyse og kartlegge utfordringer ved en eventuell implementering av NbF, og oppgaven består av en teoretisk del og en drøftingsdel. Den teoretiske delen vil gi korte karakteristikker av NbF, det elektromagnetiske spekteret og teori om datasikkerhet. Dette for å introdusere leseren til de grunnleggende teoriene som oppgaven bygger videre på. Metoden som benyttes i denne delen er i hovedsak dokumentstudie; en kvalitativ tilnærming. Dokumentstudie er valgt av enkelhet, da det her dreier seg om å bygge en grunnleggende forståelse for innholdet videre i oppgaven. I tillegg finnes det relativt mye litteratur om emnet, noe som gjør stoffet lett tilgjengelig. Ved å benytte dokumentstudie, finnes det videre mulighet til å studere kildene over tid og gå tilbake dersom noe må oppklares. En svakhet med denne metoden er at omfanget av kilder begrenses. Man kan umulig rekke over alt som er produsert, og man blir nødt til å gjøre et utvalg. For å passe på at denne oppgaven blir reliabel og valid er kildene derfor valgt med omhu. Den valgte litteratur er stort sett artikler og rapporter skrevet av fagmilitære og sivile miljøer som har kunnskap om og er anerkjente innenfor det aktuelle emnet. Metoden valgt i hoveddelen er også kvalitativ, men er her fordelt på dokumentstudier og samtaler med militært og sivilt fagpersonell. Trådløs informasjonsoverføring og datasikkerhet er et område i rask utvikling. Militære krefter rundt om i verden var lenge ledende i den teknologiske utviklingen, men denne trenden er definitivt snudd innenfor informasjonsteknologien (IT). Her ligger det sivile markedet klart først og fremskrittene innen IT går så raskt at militærindustrien ofte ikke rekker å følge tempoet. Det finnes store mengder sivil dokumentasjon på temaet, og mye av litteraturen hentet fra sivile kilder, som Telenor, Thales og SINTEF. Dette er firmaer som i stor grad samarbeider med Forsvaret, og som er blant de ledende på relevant teknologi i Norge. Disse kildene anses derfor som pålitelige. På den andre siden er en del aktuelle dokumenter produsert i forbindelse med nyutviklinger og mulige prosjekter, og de 3 Hellevik, O: Forskningsmetode i sosiologi og statsvitenskap, s 12 4 Jacobsen, D I: Hvordan gjennomføre undersøkelser, s 19-20

7 Metode 6 nevnte aktørene vil i den sammenheng kunne tjene på at Forsvaret inngår et samarbeid med dem. Det er derfor tatt hensyn til at enkelte fremstillinger på grunn av dette kan være mer positive enn objektivt sett er korrekt. Dataene som er innhentet om Forsvarets trådløse systemer er hentet fra fagmilitære kilder. Det er naturlig å benytte militære kilder da disse som regel har best kunnskap om rent militære problemstillinger. Offisielle norske forsvarsdokumenter er alle enige om at informasjonssikkerhet er viktig i et NbF, men det er imidlertid skrevet svært lite konkret om sikkerhetsmessige forhold i et NbF. Videre er det få kilder som knytter sivile og militære løsninger sammen. Utvalget av relevant militær litteratur er derfor relativt lite, og litteraturen som er benyttet er i stor grad ufullstendig. Den består for eksempel av artikler, foredragsnotater og foreløpige interne notater og dokumenter. Disse er i hovedsak fra FSA, FK KKIS, FLO/IKT, NOBLE, og FFI. Dette er avdelinger som er sterkt involvert både i den teknologiske utviklingen i Forsvaret, og i det sivilmilitære samarbeidet. De anses derfor som pålitelige kilder til tross for den ufullstendige litteraturen. Drøftingsdelen vil i tillegg til litteratur i stor grad støtte seg på samtaler med relevant personell. Personellet som har vært involvert tilhører i stor grad FSA, SINTEF, FK KKIS. Dette er igjen firmaer/avdelinger som har høy kunnskap på området, og som anses som pålitelige kilder. Uttalelser fra enkeltpersoner vil likevel som regel være subjektive. Personer som jobber med et prosjekt kan kanskje fremstille dette på en mer positiv måte enn det som objektivt sett er riktig. For eksempel er det stor overvekt av personell fra Hæren som jobber med kommunikasjonssystemer i Forsvaret i dag. FK KKIS er en arv etter Hærens Samband, og er nyetablert. En utfordring i den sammenheng er å skifte fokus fra Hæren til Forsvaret. For at resultatene skal bli reliable er det derfor forsøkt å få innspill fra ulike aktører med forskjellig fokus på hvert tema. Videre vil personlige uttalelser i hovedsak kun benyttes som innspill til drøftingen, og i tillegg til relevant litteratur. Det er også benyttet enkelte kilder fra Internett. På Internett kan hvem som helst legge ut informasjon, og mye av det man finner der kan være av dårlig kvalitet og ha lav grad av akseptert sannhet. Det er derfor lagt vekt på å kun benytte anerkjente internett-kilder, som har opphav eller kobling mot seriøse aktører.

8 Metode Begrepsavklaring I denne oppgaven benyttes mange begreper som kan forstås på flere måter. For å unngå uklarheter vil en del mye brukte begreper her omtales nærmere. Den følgende omtalen er ment som en avklaring på hva som legges i det enkelte begrep i denne oppgaven. Nettverk En strukturert måte å knytte enheter og tjenester sammen på, som sørger for at brukere kan utveksle informasjon. Nettverket består blant annet av infrastruktur, servere, pc er, og mobiltelefoner. Infrastruktur Består av nettverkets kabling og elektronikk (switcher/routere) som fysisk kobler sammen pc er, servere, trådløse aksesspunkter, andre komponenter og nettverk. Dette er bæreren for all datatrafikk. Switchene er med på å bestemme hvilken hastighet man skal ha i nettverket (båndbredde). I tillegg til dette sørger de for å håndtere feilkilder og trafikkflyten i nettverket. Deler av sikkerheten i et nettverk ligger i disse komponentene. Interoperabilitet I sammenheng med informasjonsoverføring kan interoperabilitet innebære flere ting. På den ene siden innebærer det at to eller flere systemer kan kommunisere på en måte som gjør at data kan overføres mellom programmene uten å forvrenges eller manipuleres. I tillegg må programmene kunne tolke den overførte informasjonen på samme måte, og presentere informasjonen likt både hos sender og mottaker. 5 Utstyr som med godt resultat kommuniserer med andre har god interoperabilitet. Sanntid Kan defineres som tidsnok til å reagere adekvat i et aktivt samband. 6 Ved sanntids overføring vil mottakeren ha informasjonen kort tid etter at senderen har overført den. Dette relateres ofte til hvilke krav og behov man har. Fordi det uansett tar noe tid å overføre informasjon, vil en tidsforsinkelse være uunngåelig. En overføringshastighet hvor brukerne ikke merker forsinkelsen nevneverdig bør imidlertid være tilfredsstillende. I intern datastyring av fly er for eksempel kravet til sanntid helt nede i mikrosekunder. I talesamband kan man ofte tillate en forsinkelse på under sekundet, mens man i datasamband som regel kan tillate noe mer forsinkelse. Rundt 1-2 sekunders forsinkelse vil være rundt det man tillater for å kunne kalle det sanntids overføring. 5 Fjällström m fl: Arkitekturprinciper för informationsöverlägsenhet i framtidens ledningsstödsystem, s 45 6 Selanger, Karl: LKSK 2005.

9 Teorigrunnlag 8 Protokoll Er et forhåndsavtalt format for datakommunikasjon mellom to enheter. Protokollen gir regler for dataformat, sending og mottak, timing, feilsøking, datakompromittering med mer. En protokoll kan implementeres både i programvaren og maskinvaren. 7 Gateway Er en systemport. Node Er et knutepunkt. Defineres som et punkt i en elektrisk krets der to eller flere kretselementer kobles sammen. 8 Et eksempel kan være en basestasjon. Kryptoalgoritmer En matematisk prosess basert på en nøkkel, med det mål å skjule innholdet, transformere data tilbake til klartekst, sikre at modifikasjoner blir oppdaget og hindre uautorisert bruk av data eller ressurser. 3 Teorigrunnlag 3.1 NbF-konseptet NbF-konseptet bygger på noen grunnleggende hypoteser: 9 1) En styrke som er robust sammenkoblet i et nettverk forbedrer sin mulighet for deling av informasjon og samvirke. 2) Deling av informasjon og samvirke øker kvaliteten på informasjonen og den felles situasjonsbevisstheten. 3) Felles situasjonsbevissthet gir mulighet for selvsynkronisering. 4) Dette fører igjen til en dramatisk økning i stridsevne. NbF-konseptet består i hovedsak av fire komponenter; sensorer, effektorer, beslutningstakere og informasjonsinfrastruktur, som vist i figur 1. Beslutnings komponent Informasjonsinfrastruktur Effektor komponent Sensor komponent Fig 1: Skjematisk fremstilling av hovedkomponentene i et Nettverksbasert Forsvar Aschoug & Gyldendal 8 FO/I: Anbefaling om arkitekturutvikling i Forsvaret, Del-rapport fase 1: Organisering og innretning. 9 Ødegaard, Jan C: Nettverksbasert Forsvar, Foredrag 24 oktober 2002, FO/FSA

10 Teorigrunnlag 9 Sensorkomponenten samler inn data, enten direkte via sanseinntrykk som syn og hørsel, eller indirekte ved at en eller annen slags sensor registrerer hendelsen og videresender data den fanger opp. 11 Sensorene forsyner beslutningstakere og effektorer med informasjon gjennom informasjonsinfrastrukturen. Ved å koble sammen mange ulike typer sensorer til det samme nettverket, kan man sette sammen, eller fusjonere data. Målet med datafusjonen er å kunne utnytte samspillet mellom sensorinformasjon, informasjon fra omgivelsene og kjente opplysninger om motparten. Informasjonsfusjonen skal med andre ord bringe frem et felles situasjonsbilde, som videre skal kunne gi informasjonsoverlegenhet og hjelpe til i arbeidet med å vurdere motpartens hensikter og mulige handlemåter. 12 Det felles situasjonsbildet kan bestå av informasjon fra sensorer som er geografisk atskilte fra hverandre og resten av komponentene, og av informasjon fra ulike typer sensorer. Bildet kan bli meget detaljert, og målet er å kunne overføre dette i sanntid. Selv om situasjonsbildet kan bli detaljert, er det likevel viktig å være bevisst på at man ikke vet alt. For eksempel kan usynlige våpen som stealth, og tidsforsinkelser på situasjonsoppdateringer, være noen begrensninger. Effektoren er den komponenten som utfører den besluttede handlingen. Dette trenger ikke nødvendigvis å være en våpenplattform, men kan like gjerne være et dataprogram. I et NbF kan effektorene få informasjon direkte fra sensorer, fra andre effektorer, fra lokale databaser og fra det oppdaterte felles situasjonsbildet. 13 Ved å knytte ulike effektorer til nettverket, vil man kunne øke antallet alternative handlemåter. Dette fordi en beslutningstaker ikke trenger å eie en bestemt effektor, og en effektor trenger ikke eie en bestemt sensor. 14 Det vil si at for eksempel et jagerfly i noen situasjoner kan legges under kommando av en sjøforsvarskomponent, og i andre under en hærkomponent. Dette skal kunne gi stor fleksibilitet. Effektorkomponentene vil bestå av mobile systemer, flere avstandsleverte langtrekkende systemer enn før, og mulighet for kapasitet for elektronisk ild og cyberild. I tillegg kreves synkroniseringsmekanismer for alle typer ild Det opereres av og til med to tilleggskomponenter i modellen; en beslutningsstøttekomponent og en samhandlingskomponent. Disse vil ikke berøres i denne oppgaven, og er derfor ikke nevnt. (Karlsen, Morten: Forelesninger Luftkrigsskole II høst 2004) 11 Forsvarssjefens militærfaglige utredning 2003: Konsept for nettverksbasert anvendelse av militærmakt, s Fjällström m fl: Arkitekturprinciper för informationsöverlägsenhet i framtidens ledningsstödsystem, s Forsvarssjefens militærfaglige utredning 2003: Konsept for nettverksbasert anvendelse av militærmakt, s Tjøstheim m fl: Introduksjon til Nettverksbasert Forsvar, s Ødegaard, Jan C: Nettverksbasert Forsvar, Foredrag 24 oktober 2002, FO/FSA

11 Teorigrunnlag 10 Beslutningstakeren er den komponenten som tar beslutninger. Ofte er det mennesker som er beslutningstakeren, men det kan også være dataprogram som tar automatiserte beslutninger. En beslutningstaker bør uansett ha evne til å ta avgjørelser så raskt at situasjonen ikke har forandret seg vesentlig før beslutningen får effekt. Et viktig punkt er i den sammenheng å ha rask nok tilgang på nødvendig informasjon. I et NbF vil beslutningstakeren kunne befinne seg på ulike formelle nivå av en organisasjon i ulike situasjoner. Selv om konseptet gjør det mulig å fjerne nivåer, vil beslutningstakerne likevel måtte forholde seg til mange nivåer. Der man tidligere overlot kommandoen til lavere nivåer i organisasjonen, gjør nettverket det nå teknisk mulig å følge styrker på taktisk nivå mens man selv sitter på strategisk nivå. Man kan altså i noen sammenhenger følge, analysere og detaljstyre militære operasjoner fra høyere nivå enn før. 16 Filtrering, sammenfatning og tolkning av informasjon blir derfor viktige områder hvor teknologien kan støtte beslutningstakeren for å opprettholde det ønskede tempoet. For å få til alt dette er informasjonsinfrastrukturen, heretter kalt infostrukturen, viktig. Den består av fysiske nett med overføringslinjer, datamaskiner og programvare. I tillegg kommer drift av systemet. 17 Gjennom infostrukturen kan man skaffe seg tilgang til, innhente, behandle og styre informasjon. Et godt sanntids situasjonsbilde kan utnyttes til å ha den beslutningsoverlegenheten man trenger for å gjennomføre effektive operasjoner. Dette betyr ikke nødvendigvis at alle data skal overføres på kortest mulig tid. Det kan være like viktig at informasjonen prioriteres slik at systemet har kapasitet til øyeblikkelige overføringer ved behov. For å opprettholde høyt tempo og initiativ, har man dessuten sjelden tid til å få det perfekte situasjonsbildet. Ambisjonen er derfor å skaffe et tilstrekkelig bilde på tilstrekkelig tid. Komponentene i et NbF skal ha evne til flerfunksjonalitet og rollebytte. Det vil si at en fregatt i en situasjon kan ha beslutningstakeren, et kampfly kan være effektoren og en soldat på bakken kan være sensoren. I en annen situasjon kan fregatten være effektor, kampflyet sensoren og beslutningstakeren bakkebasert. Samtidig kan en komponent i en situasjon kontrolleres fra et nivå i organisasjonen, mens den i et annet tilfelle kontrolleres av en annen del og på et annet nivå. Slik kan NbF-konseptet føre til en fleksibel organisasjon hvor komponentene settes sammen på forskjellige måter for å dekke behov i ulike scenarier. NbF har som mål å gi økt stridsevne ved hjelp av koordinert innsats av flere stridsmidler av ulik type mot ulike mål over hele innsatsområdet. Bekjempelse av det enkelte mål med riktig type 16 Forsvarssjefens militærfaglige utredning 2003: Kommandokonsept i Nettverksbasert Forsvar, s Forsvarssjefens militærfaglige utredning 2003: Kommandokonsept i Nettverksbasert Forsvar, s 34

12 Teorigrunnlag 11 stridsmiddel, bedre synkronisering, og økt tempo i stridsledelsen og i operasjonene skal gi bedre styrkeøkonomisering Det elektromagnetiske spekteret Moderne trådløst samband bruker elektromagnetisk stråling som informasjonsbærer. Elektromagnetiske bølger eller elektromagnetisk stråling er energi overført gjennom enten vakuum eller et medium. 19 I denne sammenheng måles en bølges frekvens i antall svingninger per tidsenhet, og benevnes Hertz (Hz). Alle elektromagnetiske bølger beveger seg i lysets hastighet (C = 3 x 10 8 m/s) i vakuum. 20 Bølgelengden og frekvensen har sammenheng med hastigheten som følger: C = frekvens x bølgelengde. Siden lysets hastighet er konstant, er frekvens og bølgelengde omvendt proporsjonale, bølgelengden avtar med økende frekvens. Bølgene kan ha både partikkel- og bølgeegenskaper. Partikkelen kalles foton og dens energi øker med frekvensen: Energi = h x frekvens, der h=planchs konstant. Ved å sette sammen flere frekvenser kan de elektromagnetiske bølgene bære med seg informasjon. Dette utnyttes i et NbF. Frekvens og bølgelengde påvirker kvaliteten på overført informasjon, noe vi også kjenner som oppløsningen. Hurtige svingninger betyr bølger med høy frekvens og energi, som igjen betyr mye informasjon og bedre oppløsning. For å overføre informasjon, enten det gjelder trådløs overføring eller via kabel, kreves båndbredde. Begrepet båndbredde stammer egentlig fra analog teknologi og betyr avstanden i Hz mellom øvre og nedre grensefrekvens for et frekvensområde eller frekvensbånd. 21 Det er altså et uttrykk for kapasiteten i et analogt overføringssystem. I takt med utviklingen av digitale signaler er det nå vanlig at båndbredde-begrepet nå også omfatter digitale signaler der kapasiteten uttrykkes i bit per sekund (bps). Dette kan være noe forvirrende fordi man for eksempel kan snakke om radiooverføring av digitale signaler (for eksempel i et WLAN) hvor båndbredden både har betydningen frekvensbånd i radiospekteret og kapasitet som den enkelte radiokanalen kan overføre. Båndbredde kan altså måles både i Hz og i bps. Uansett handler det om hvor mye informasjon som kan overføres (sendes eller mottas) per tidsenhet. 18 Forsvarssjefens militærfaglige utredning 2003: Konsept for nettverksbasert anvendelse av militærmakt, s 2 19 Heinrich Hertz genererte og oppdaget elektromagnetiske bølger. 20 Maxwell, James Clerk: Treatise of Electricity and Magnetism,

13 Teorigrunnlag 12 Dagens teknologi muliggjør overføring av dokumenter, store databaser, bilder og videofilm. Begrensingen ligger som regel på hvor hurtig dette lar seg gjøre. Det kreves mindre båndbredde for å overføre et lite Word-dokument, enn å overføre en videofilm. God båndbredde kan derfor bety flere bilder, og bedre oppløsning, flere samtaler eller mer sensorinformasjon. For eksempel ligger VLF på 3-30 khz, mens en satellitt kan ligge på GHz. Det gir en faktorforskjell på 1 million, det vil si at informasjonen kan gå 1 million gang raskere ved hjelp av satellitt enn VLF per samme tidsenhet. Man kan altså få mer informasjon i hurtige svingninger enn i sakte. Ved bruk av områdene med lav frekvens er det et problem at man ikke har nok båndbredde tilgjengelig. Derfor må vi flytte båndet oppover i frekvensene for å få mer informasjon overført per tidsenhet. Båndbredde er et aktuelt og mye debattert tema i forbindelse med NbF og trådløs overføring av informasjon. Det foregår mye forskning på dette feltet, og kommersielle produkter klarer i dag å utnytte frekvenser opp til over 40 GHz. I militær sammenheng gjøres det forsøk med ny teknologi helt oppe i 350 GHz. 22 Selv om det å utnytte slike frekvenser ville gi mulighet for stor informasjonsoverføring på kort tid, medfører det også ulemper. Blant annet vil informasjon som før gikk i faste nett, ved trådløs overføring kunne bli sårbar for nye sikkerhetsutfordringer, som for eksempel jamming og autentisering. Det elektromagnetiske spekteret er en frekvensskala som fremstiller elektromagnetiske bølger over et bredt område av bølgelengder eller frekvenser. Egenskapene til strålingen er grunnleggende de samme uansett hvor i spekteret man befinner seg. I vekselvirkningen med det medium de befinner seg i til enhver tid får man imidlertid sterkt frekvensavhengige effekter. Spekteret er inndelt i ulike frekvensbånd, hvor de mest brukte i Forsvaret er HF, VHF og UHF Anderson, H R: Fixed Broadband Wireless System Design. 23 Brassey: Air Power: Electronic Warfare, s 62-68

14 Teorigrunnlag 13 Figur 2. Det elektromagnetiske spekteret. Militært sett ligger utnyttelsen i hovedsak i den nedre delen av det elektromagnetiske spekteret, fra og med synlig lys og nedover. Årsaken til dette ligger i den atmosfæriske dempingen av signalene. Absorpsjon, bøying, demping, brytning og refleksjon av bølger skjer i ulik grad i de ulike delene av spekteret. Denne påvirkningen av bølgene kan gjøre at de får en annen retning enn opprinnelig tenkt, eller at rekkevidden påvirkes. Det er derfor viktig å velge rett frekvens. Demping av de elektromagnetisk signalene kan ha flere årsaker, blant annet absorpsjon. Dempingen måles i desibel (db) over en angitt strekning (se figur 3). Absorpsjonens styrke øker som en logaritme med grunntall 10. Det vil si at ved en absorpsjon på 10 db vil 10% av signalene slippe igjennom. Dersom absorpsjonen øker til 100 db vil derimot kun 0, % av signalene slippe gjennom. En liten økning i dempingen vil således ha store konsekvenser for signalenes gjennomtrengningsevne. Denne dempingen er avhengig av frekvens og er minst i den nedre delen av spekteret, der frekvensen er under ca 20 GHz. Dette er det nedre av to områder som utnyttes mye. Her finner vi radiobølgene, som har en bølgelengde på ca 0,03m. I det øvre av de to mest benyttede områdene finner vi optiske bølger, med en bølgelengde på ca 0, m.

15 Teorigrunnlag 14 Faktorforskjellen mellom de to nevnte bølgelengden er Dette betyr at de to områdene er helt ulike i forhold til egenskaper og fordeler/ulemper. 24 Figur 3. Grafen angir den atmosfæriske dempingen for hver frekvens På grunn av den store dempingen blir rekkevidden kortere der frekvensen er høy. Dette er årsaken til at trådløs kommunikasjon foreløpig ikke er tilgjengelig på høye frekvenser. På den andre siden har de høye frekvensene fordelen av stor overføringskapasitet. De lavere frekvensene har derimot god rekkevidde, og liten demping gir allværskapasitet. Dersom man sender på samme frekvens vil en stor radarantenne gi en mer nøyaktig oppløsning enn en liten vil. Store bølgelengder på de lave frekvensene krever derfor mye større antenner enn de små bølgelengdene på de høye frekvensene. Samtidig har bølgene med høy frekvens andre ulemper. For eksempel vil ikke laser-bølger spres utover, slik som radiobølgene kan. De må derfor være retningsbestemt og treffe en mottaker. Dette er noen eksempler på de fordeler og ulemper de to mest utnyttede områdene i det elektromagnetiske spekteret gir. 24 Stette, G, Jordobservasjon, pkt 6.1.2

16 Teorigrunnlag Informasjonssikkerhet Sikkerhet defineres ofte som det å være sikker, eller en tilstand utenfor fare. 25 Informasjonssikkerhet skal i henhold til Sikkerhetsloven beskytte konfidensialitet, integritet og tilgang eller aksess. Dette betyr beskyttelse av skjermingsverdig informasjon ved kontroll av informasjonssystemer som lagrer, behandler eller transporterer informasjonen. En mer konkret forståelse av sikkerhet kan være å si at det omfatter sikkerhetspolicy og -tiltak for informasjon i et datasystem. Konfidensialitet sikres først og fremst gjennom kryptering. Ved hjelp av kryptering skal man hindre avlytting av tale eller avlesing av elektroniske signaler. Enkelte krypteringsmekanismer ivaretar også integritetskontroll og autentisering. Autentisering kan gjøre informasjonen sporbar, og er videre et viktig tiltak for å ha aksesskontroll. Informasjonssystemer må sikres mot inntrengning fra uvedkommende, og man må forsøke å hindre uvedkommende i å skaffe seg tilgang til informasjonen. Dette kan også i mange tilfeller gjøres gjennom fysisk sikring, for eksempel ved hjelp av vegger og tak og fysisk vakthold. Sikkerhetsgrad er en av betegnelsene begrenset, konfidensielt, hemmelig eller strengt hemmelig som brukes om informasjon gradert etter Sikkerhetsinstruksen. Kryptering er en metode som gjør det mulig å sende en hemmelig melding, slik at ingen uautoriserte personer skal kunne lese den. Man koder meldingen ved hjelp av en nøkkel, og uten den rette nøkkelen vil det være umulig å gjenopprette den originale meldingen. Kun en type kryptering er 100% sikker, den såkalte one-time-pad krypteringen. 26 Grunnen til at denne er sikker, er at nøkkelen er helt vilkårlig, og at den er lengre enn den meldingen som skal krypteres. Fordi kryptoen er lengre enn teksten, vil man kunne få flere klartekster som gir mening, men man vil ikke kunne vite hva som er rett. For at denne metoden skal være 100% sikker kreves det imidlertid at hver nøkkel kun benyttes én gang. Derfor er dette en ressurskrevende kryptering, som benyttes i liten grad. Kryptoalgoritmenes styrke kan variere, og måles i flere faktorer. 27 En viktig faktor er hvor godt algoritmen er kjent, eller hvor mange som vet hvordan den fungerer. Jo flere som kjenner til algoritmen desto sterkere er sikkerheten. Dette kommer av at dersom mange eksperter får komme med innspill til og sikre algoritmen, blir den godt testet. Dersom ekspertene ikke finner Jonsson, Per: Review of Free-Space Quantum Key Distribution, s 5 27 Tøndel, Inger Anne: Samtale 8 mar 05, SINTEF

17 Teorigrunnlag 16 svake punkter, betyr det som regel at det er vanskelig for andre å finne det også. Dersom man velger å holde algoritmen skjult, velger man samtidig å stole på at det man har selv er godt nok. En annen faktor er den datakraft og tid som trengs for å knekke nøkkelen. Det vil si hvor mye kraft som trengs for å prøve ut alle mulige kombinasjoner, og hvor lang tid tar det å søke gjennom et antall varianter med den datakraften man har i dag. Dette går blant annet på lengden på nøkkelen. Jo lengre tid det tar, desto sterkere er kryptoen. Etter hvert som teknikken med kryptoalgoritmer utvikler seg, vil nok tiden det tar bli kortere og kortere, men foreløpig kan det med for eksempel AES algoritmen være snakk om millioner av år. 28 Selv om denne tiden i fremtiden kan kortes ned, vil også arbeidet med nye algoritmer fortsette, og IT-industrien forventer at disse vil forbedres i tilnærmet tilsvarende hastighet. En tredje faktor som ikke angir styrken på krypteringen direkte, men som likevel er viktig i denne sammenheng, er hvor ofte en nøkkel benyttes. Dersom den samme nøkkelen benyttes mye, blir den sårbar, og man må derfor være bevisst hvor mye man krypterer med samme nøkkel. Dette krever at nøklene byttes ofte. Selv om gamle meldinger er utdatert når koden knekkes, kan den samme koden benyttes til å dekryptere nye meldinger. Man kan benytte både symmetrisk og asymmetrisk kryptering når informasjon sendes over trådløse nettverk. Ved asymmetrisk kryptering benyttes en privat og en offentlig nøkkel. Den som sender en melding krypterer den med den offentlige nøkkelen til den som skal motta meldingen. Mottakeren har da en privat nøkkel som dekrypterer meldingen. Ved symmetrisk kryptering har både mottaker og sender samme nøkkel, og denne er ikke offentlig. Generering av nøkler gjøres på flere måter, men det er uansett viktig at nøklene lages tilfeldig, uten et system. Når man skal lage nye nøkler må man som regel ha en hovednøkkel eller en basisnøkkel, som man kan generere nøkler ut i fra, og en initialiseringsvektor. Denne vektoren må endres hver gang noe krypteres for å lage unike nøkler. Dersom vektoren er den samme hver gang, får man hele tiden den samme nøkkelen. En angriper som kun ser initialiseringsvektoren vil ikke kunne lage nye nøkler uten å ha hovednøkkelen. Hovednøkkelen sendes aldri over nettet, men ligger kun på kortet hvor den brukes til å generere nøkler med. Den er derfor vanskelig å få tak i. Dersom noen ønsker å interferere i et lokalt trådløst nett, er dette relativt enkelt. Man kan gå inn og late som om man er et aksesspunkt i nettet, ved å lage signalene fra det falske punktet sterkere 28 AES er en anerkjent symmetrisk krypteringsalgoritme som er godkjent for de høyeste sivile sikkerhetsgraderingene. (Tøndel, Inger Anne: Samtale 8 mar 05, SINTEF)

18 Teorigrunnlag 17 enn de ekte aksesspunktene. Brukerne vil da sende til det aksesspunktet som har de sterkeste signalene. Det falske aksesspunktet får på den måten tilgang til informasjonen uten at noen merker det. Slik kan uvedkommende også endre på informasjonen før den sendes videre. Noen krypteringsmekanismer utfører også integritet- og autentiseringskontroll. Kontroll av integritet betyr at mekanismen sjekker at informasjonen som sendes ikke endres underveis. Dette skal forhindre at forvrengte eller uriktig data sendes i nettverket. Det er i tillegg viktig å autentisere aksesspunktet i tillegg til brukerne. Det vil si at man bør ha en mekanisme som kontrollerer hvem som får lov til å benytte nettet. Autentiseringen skjer ved hjelp av en autentiseringstjener. Dersom noen ønsker å bruke nettet, vil terminalen si i fra til aksesspunktet. Aksesspunktet spør autentiseringstjeneren om denne brukeren skal ha tilgang til å bruke nettet. Hvis brukeren så kan bevise at den er autorisert, får han bruke nettet, hvis ikke blir alt stoppet. Brukeren identifiserer seg med passord eller lignende. Fysisk sikring handler både om vakthold og om å beskytte systemene mot avlyttbar utstråling med mer. Avlyttbar stråling kan stanses ved hjelp av solide bygninger, eller ved for eksempel å grave ned kabler. Dette fungerer godt ved sikring av aksess til faste nett, men er ikke hensiktsmessig ved bruk av trådløse og mobile nett der signalene skal spres gjennom luft. Fysisk vakthold og gode rutiner rundt oppbevaring og bruk av utstyr vil sikre aksesskontrollen noe. Fysiske atskilte internett-tilkoblinger er et eksempel på viktige tiltak. Det er også relativt enkelt å forstyrre signalene i et trådløst nettverk. Dersom man for eksempel setter opp en jammestasjon som sender ut masse signaler, vil alle signaler i området bli ødelagt på grunn av interferens. Man trenger ikke vite frekvensen til nettet man skal forstyrre, ofte holder det å sende på et bredt spekter i et stort område. Men det betyr samtidig at heller ingen andre kan benytte området til trådløs overføring. Man er avhengig av å ha en ledig plass i spekteret for å kunne sende trådløs informasjon. Det betyr videre at man generelt er avhengig av at alle samarbeider, og at ingen går utover sitt område. Dersom noen kun er ute etter å ødelegge, er det derimot vanskelig å sikre seg mot dette. I et NbF må alle impliserte være bevisst truslene mot informasjonen og vite hvilke forebyggende sikkerhetstiltak som må tas. Datasikkerhetsdirektivene regulerer mye når det gjelder regelverk og rutiner. Disse direktivene gir retningslinjer for administrative tiltak og omfatter saker som organisering av datasikkerheten, håndtering av maskinvare og datalagringsmedier, og internkontroll. Videre gir direktivene veileding i bruk av krypto og fysisk sikring og

19 Teorigrunnlag 18 gjennomføring av sikkerhetsmessig godkjenning. 29 Det må i tillegg stilles krav til dokumentasjon og godkjenning for utføring av gradert databehandling, og man bør ha graderte installasjonsforeskrifter. 3.4 Overgang til drøfting NbF-konseptet tilstreber informasjonsoverlegenhet og er derfor kritisk avhengig av informasjonsflyten. Informasjonen må til ønsket tid komme frem til de rette komponentene, og kvaliteten på den må være så god at beslutningstakerne har et tilfredsstillende grunnlag å ta avgjørelser på. Overføringskapasitet og båndbredde er viktige stikkord i denne sammenheng. Båndbredde er ikke direkte informasjonssikkerhet, men er likevel et sentralt element. Båndbredden påvirker kvaliteten på informasjonen, og dårlig båndbredde kan føre til dårlig oppløsning, manglende eller for sene oppdateringer, og hindre sanntids overføring. Videre påvirker båndbredden hvilke sikkerhetsmekanismer man kan ta i bruk på systemet. Avgjørelser skal videre kunne tas på mange ulike nivå i organisasjonen. Derfor må innsamling av data fra ulike sensorer og enheter samordnes, og informasjonen må være tilgjengelig for brukeren til rett tid. Tilgang på informasjonen skal imidlertid bare gis til dem som er autorisert. Aksesskontroll eller autentisering er derfor viktig. Autentisering gjør i tillegg informasjonen sporbar slik at vi vet hvor den kommer fra. Informasjonen må overføres i en form brukerne forstår, uavhengig av hvilken forsvarsgren eller nasjon de tilhører. Interoperabilitet på utstyret er et derfor viktig. Dessuten bør informasjonen beskyttes mot innsyn, noe som blant annet kan gjøres ved hjelp av fysisk sikring eller sikring av konfidensialitet. For å hindre annen ødeleggelse og manipulering av informasjon bør man også ha en integritetskontroll. Ulike teknikker dekker delvis nevnte behov i dag, men eventuelle 100 %-løsninger rundt informasjonssikkerhet vil inntill videre gå på bekostning av fleksibiliteten og mobiliteten i et NbF. Systemene som benyttes i Forsvaret i dag er i mange tilfeller i ferd med å bli utkonkurrert av nye systemer. I noen tifeller allerede før de engang er tatt i bruk. Samtidig tar utviklingen og implementeringen av nye systemer i Forsvaret så lang tid at dagens systemer i stor grad ble designet under den kalde krigen og da med andre formål enn det som fokuseres på i dag. Dette 29 Endresen, Knut: Informasjonsdomenet Fremtidens nye frontlinje.., Militær Teknologi nr , s 15

20 Sikker trådløs informasjonsoverføring i kommersielle kommunikasjonssystemer 19 medfører at Forsvaret i dag med fordel benytter seg av kommersiell industri og systemer innenfor IT. Kommersielle systemer er imidlertid nettopp det ment for sivile formål og er det da så enkelt å uten videre ta dem i bruk militært? Noen sentrale faktorer i denne sammenheng er båndbredde/overføringskapasitet, sikkerhet og interoperabilitet. Med sikkerhet menes her fysisk sikring, sikring av konfidensielt og autentisering. Disse faktorene vil drøftes videre i oppgaven. 4 Sikker trådløs informasjonsoverføring i kommersielle kommunikasjonssystemer 4.1 Sikkerhet Sikring av konfidensialitet Et trådløst lokalt nettverk (WLAN) tillater trådløs overføring av informasjon på en enkel måte, og benyttes i stort omfang både hjemme hos privatpersoner og i avdelinger i Forsvaret. Fordelen med et slikt nett er at brukerne har mulighet til å være mobile og man kan koble seg opp mot nettet uavhengig av organisasjonstilknytning. Trådløse nettverk er i utgangspunktet usikret og åpne. Hæren har i dag et taktisk WLAN til utprøving, og Forsvaret ser for seg muligheten til å benytte denne typen nett i et NbF. Fordelen med WLAN er at de tilbyr høy hastighet på grunn av korte avstander og/eller innenfor et begrenset område. Dersom man benytter WLAN mellom militære enheter, vil en sky dekke hele området hvor det er enheter. De kan så bevege seg i forhold til hverandre uten at dette vil påvirke nettverket. Dette gjør enhetene veldig mobile innenfor nettverket. Foreløpig er dette nettet så godt som usikret. Det kan derfor kun benyttes til enten helt ugraderte data, eller til data med veldig kort levetid. I slike trådløse nettverk kan man benytte både symmetrisk og asymmetrisk kryptering. Symmetriske nøkler er noe sikrere enn asymmetriske nøkler, men den viktigste fordelen med de symmetriske nøklene er at de er mye raskere. Årsaken til dette er at de som regel legges inn i maskinvaren, mens asymmetriske nøkler ofte legges i programvaren. Symmetrisk kryptering egner seg derfor best til kryptering av store mengder data, som for eksempel store videoklipp. Asymmetrisk kryptering egner seg godt på små mengder data, og har da ikke noe problem med å overføre i sanntid. For eksempel er distribusjon av symmetriske nøkler ved hjelp av en