Kryptoløsninger I Hjemmekontor Og Mobile Klienter Norsk kryptoseminar 2002. Trondheim 17-18 oktober. Anders Paulshus, forsker ved seksjon for teknisk krypto apaulshus@mil.no FO / Sikkerhetsstaben Nasjonal sikkerhetsmyndighet 17.10.2002 1
Agenda Kort om NSM og sikkerhetsloven NSM og krypto Hjemmekontorløsninger Motivasjon og overordnede krav Thales Kongsberg GSM Svakheter i dagens GSM Løsningen NSK 200 17.10.2002 2
NSM og Sikkerhetsloven Lov av 20. Mars 1998 nr. 10 Om forebyggende sikkerhetstjeneste Iverksatt 1. juli 2001 Opprettelse av Nasjonal sikkerhetsmyndighet (NSM) FO/S ivaretar rollen som NSM frem til 31.12.2002 FO/S fremover NSM FSJ sikkerhetsavdeling (FSA) 17.10.2002 3
Sikkerhetsloven - formål Motvirke spionasje sabotasje terrorhandlinger som kan tenkes å rette seg mot informasjon objekter som vurderes å være skjermingsverdige p.g.a. betydningen for Rikets selvstendighet og sikkerhet andre vitale nasjonale sikkerhetsinteresser Ivareta den enkeltes rettssikkerhet 17.10.2002 4
NSM og krypto Bare kryptosystem algoritmer og utstyr - godkjent av NSM tillates brukt for beskyttelse av gradert informasjon i Norge NSM er sertifiseringsmyndighet for kryptoutstyr NSM er nasjonal kryptoforvalter og leverandør av kryptotjenester NSM kan godkjenne andre leverandører av kryptotjenester 17.10.2002 5
Hjemme- og mobilkontor. Motivasjon NSM får innspill om ønsker og behov fra sluttbrukere og oppdragsgivere. (For Forsvaret: FLO/IKT) Ofte samme drivende faktorer som i privat næringsliv Ønske om å tilby de samme løsninger: Økt behov sanntidsinformasjon Ønske om økt tilgjengelighet og mobilitet Utstrakt bruk av offentlig (usikker) infrastruktur av kostnadsmessige og praktiske vurderinger Forskjell: Sikkerhetsloven 17.10.2002 6
Hjemme- og mobilkontor. Godkjenning Overordnede krav Sikkerhetsgodkjent for angitt graderingsnivå Sikkerhetsinstruks tilgjengelig for brukeren Sikring av PC Fysisk sikring NSM godkjent kryptering av gradert informasjon på harddisk Kommunikasjonssikring Mot virksomhetens nettverk (VPN tunnel) Forlenge virksomhetens nettverk Utnytte sikkerhet i virksomhetens nettverk Virksomhetens brannmur mot Internett NSM godkjent krypto for gradert kommunikasjonssikring 17.10.2002 7
Kommunikasjonsløsninger Løsninger tilgjengelige i 2002 TVPN EnGuard GSM krypto Thales Kongsberg Defence Communications Sectra / Kongsberg Defence Communications 17.10.2002 8
TVPN Thales Trusted VPN 17.10.2002 9
TVPN systemet Hjemme-PC TVPN PCMCIA ISP Router Internett Hjemmenett (FISBasis) DC2K 17.10.2002 10
TVPN enheter Hjemmekontor / mobil PC TVPN brukerapplikasjon Opsjon SW diskkryptering TVPN PCMCIA kort AES krypto Sertifikater for kommunikasjon mot DC2K Nøkler for diskkryptering DC2K Thales e-security, UK Sentral kryptoenhet Sertifikater for alle TVPN-kort Sikkerhetsadministrasjon 17.10.2002 11
Sikkerhetsadministrasjon Setter opp DC2K og TVPN Windows 2000 PCMCIA grensesnitt Standard brukerprogram TVPN applikasjon Endre TVPN passord Gi TVPN identifikator Legge inn nøkkel for diskkryptering TVPN og DC2K Diffie-Hellman parametre Unike nøkkel-par pr enhet offentlig / privat CA sertifikater AES 17.10.2002 12
TVPN oppsummering Algoritme AES Godkjennes for BEGRENSET Annen offentlig informasjon Personvernet Solid fysisk beskyttelse Beskyttet nøkkelmateriell Klartekst nøkler ikke tilgjengelig eksternt TVPN til TVPN kommunikasjon via hjemmenettverk Forlenger hjemmenettverket til hjemme-pc med sikker kommunikasjon Klart skille på rød/sort side Fil / diskkryptering = opsjon 17.10.2002 13
EnGuard Kongsberg Defence Communications 17.10.2002 14
EnGuard NX 20x0 systemet PC kommunikasjon Router Internett WAN USB EnGuard Hjemmenett (FISBasis) NX 20x0 17.10.2002 15
EnGuard enheter USB EnGuard PC Kryptoenhet USB grensesnitt Windows 2000 NX 20x0 Sentralenhet mot hjemmenettverk Amazin Administrasjon av NX 20x0 EnGuard on-line nøkkeladministrasjonssenter 17.10.2002 16
Algoritme NSK EnGuard oppsummering Godkjennes for BEGRENSET Annen offentlig informasjon Personvernet Solid fysisk beskyttelse Nøkler på smartkort (ikke i klartekst) Smartkort må stå i for kryptering Kommunikasjon mot annen EnGuard E-mail + IPSEC Forlenger hjemmenettverket til hjemme-pc med sikker kommunikasjon Kan bruke alle PC-ens eksisterende kommunikasjonsgrensesnitt Sikker lagring av data på harddisk og andre medier Sikker e-mail: kryptering og signering EnGuard nøkkel-administrasjonssenter Online distribusjon av trafikknøkler og konfigurasjon Sertifikater tildeles online eller via diskett 17.10.2002 17
GSM systemet Interne sikkerhetssvakheter Sikkerhetssvakheter Bare radiohoppet er kryptert Klartekst i nettene Nøkler sendes i klartekst Krypto ikke garantert Kan skrus av Ikke sterk kryptering Tilfeller av knekt algoritme Utilstrekkelig autentisering Falsk basestasjon (Aktiv avlytting man-in-the-middle) Monitorering i nettverkene GSM i utstrakt bruk Sikkerhet ignoreres Netverk PSTN / ISDN 17.10.2002 18
GSM - nett Kryptert Telenett WAN PSTN / ISDN Kryptert Klartekst 17.10.2002 19
GSM - krypto / NSK 200 Utviklet av Sectra for Forsvarsdepartementet Ende til ende sikkerhet mellom mobiler Beskyttelse av NATO SECRET / HEMMELIG Opererer i GSM eller DECT modus Sikker terminal Default modus Ordinære GSM eller DECT mobiltelefoner DECT via adapter Telenett-tilkopling GSM og DECT modus samtrafikk 17.10.2002 20
Godkjenning Sikkerhetsnivå Godkjenning Tilknytning til GSM-nett i Europa + 900 MHz 1800 MHz DECT Kommunikasjonskanaler Data kanal 9.6 kb/s i GSM eller DECT modus 14.4, 28.8 data - begge terminaler i DECT modus Tilkopling V.32 V.110 Hurtigoppkobling Tjenester Kryptert og klartekst Tale Data Faks sendt som data SMS - klartekst Telefonkatalog 100 abonnenter 4 nummer for hver GSM nummer Kryptert GSM 2 DECT nummer 17.10.2002 21
GSM krypto NSK 200 Kryptert og klartekst tale & data Opp til HEMMELIG Eksisterende GSM nettverk PSTN via DECT adapter INMARSAT M IR Data over IRDA 2 operatør Avtale dataoverføring Overføring av dokument Filoverføring Sikker SW oppdatering via IRDA 17.10.2002 22
Operasjonsmodi Security Management Centre (SMC) ISDN Telenett PSTN / ISDN Manuell modus uten SMC Automatisk modus med SMC 17.10.2002 23
GSM over INMARSAT M DECT adapter DECT integrasjon 2003/2004 NERA World Communicator 17.10.2002 24
Nøkkellasting Aksess kontroll Property of CHOD NORWAY NMSY CCI REG NO Personal Protection Krypto-forvalter Laster nøkler fra smartkort Binding av nøkler til mobilen Brukeropplæring Bruker Smartkort aksess kontroll Når mobilen slås på Innen 30 timer 17.10.2002 25