CYPCOM 100 titkosító család

A CYPCOM 100 titkosító család hatékony eszköz távközlési összeköttetések (pl. PCM hang, X.25 adat), valamint IP alapú kommunikáció (pont-pont, pont-multipont) titkosítására. Titkosítást akkor kell alkalmazni, ha az átvitt adatok bizalmasak, és/vagy a távközlési összeköttetést szabotázs ellen kell védeni (pl. mikrohullámú összeköttetés jelzőcsatornája). A család néhány tagja a titkosítás mellett router funkciót is ellát, amikor a titkosított és a nem titkosított oldal különböző interfészeken kapcsolódik. Az IP alapú titkosítók forgalom irányítási és sávszélesség korlátozó, valamint tűzfal funkciókat is elláthatnak igény esetén. Az alkalmazott tűzfal megoldás nagy előnye, hogy a beépített parancsszűrő funkció nem iktatható ki jogosulatlanul.

Az egész gyártmánycsaládra jellemző, hogy a belső szoftvere gyártóspecifikus, nagy megbízhatóságú real-time operációs rendszer, amely magas szintű szabotázs védelmet biztosít. Igény esetén a felsoroltakon kívül más interfészek is rendelhetők.

Interfészek

• Aszinkron (RS232/RS422) bitsztrím titkosító. 300 bps-115200 bps (felhasználható például analóg modemek adatátvitelének titkosítására).
• Ugyanez X.21 interfésszel. Ilyenkor az aszinkron kommunikáció adattartalmát X.21 szinkron szinkron átviteli szakaszon vihetjük át titkosítva. Két független RS kommunikáció vihető át egy X.21 bitsztrímen.
• Ugyanez két E1 interfésszel. Az aszinkron adatátvitelt az E1 időrésekbe iktatjuk be titkosított formában. E1 összeköttetésként működhet és a titkosított adatfolyamot szabad időrésbe iktatjuk be. Maximum négy független RS adatátvitel iktatható be szabad időrésekbe.
• X.21/X.21 titkosító. A bejövő bitsztrímet titkosítjuk és visszük át egy ugyanilyen interfészen. Tipikusan felhasználható X.25-ös hálózatok végződései közötti titkosításra. A sztrím maximális sebessége 2 Mbps full duplex.
• X.21/E1 titkosító. X.21 bitsztrímet titkosít és visz át E1 interfészen. Tetszőleges E1 összeköttetés időrésébe való beiktatás is lehetséges.
• Pont-pont E1/E1 összeköttetés titkosító. Ez a berendezés a teljes E1 PCM bitsztrímet titkosítja (pl. mikrohullámú összeköttetés titkosítása). Egy berendezés két E1 összeköttetést titkosít full duplex módon maximum irányonként egy titkosító kulccsal. Lehetőség van 1+1-es konfiguráció kialakítására, illeszkedve a mikrohullámú összeköttetés kialakításához.
• E1/E1 időrés titkosító. Ez a berendezés akkor használatos, ha egy átviteli összeköttetés időrései el vannak osztva és az egyedi időrések nem ugyanazon az átviteltechnikai terminálon végződnek. Ebben az esetben az induló oldal titkosítója több távolvégi egységgel is képes kommunikálni. Az egyes időrés-csoportok a hálózati struktúrával összhangban képezhetők.
• IP titkosító. Az eszköz maximum négy eternet portot tartalmaz, továbbá ruter és tűzfal funkciókat is elláthat a megrendelő kívánsága szerint. Igény esetén az eternet portok száma növelhető. Pont-pont összeköttetések esetén a teljes eternet csomag titkosításra kerül (beleértve az IP fejlécet). Ebben az esetben a forrás és végződő IP címek is elrejtésre kerülnek a titkosított szakaszon. IP hálózaton való kommunikáció során csak a payloadot titkosítjuk, mivel az IP címeket a hálózat irányításra használja. Igény esetén az alhálózatokban is biztosítható a titkosítás. Ez esetben az alhálózatok IP címei szintén titkosítottak (VPN).
• Ethernet/E1 titkosító + bridge. Ez a berendezés egy IP sztrímet titkosít és visz át E1-es átviteli szakaszon.

Valamennyi típusú titkosító ugyanazt az algoritmust alkalmazza, valamint azonos a kulcskezelés is. A fizikai interfészek és az adatcsomagok felépítése különbözik csak.

IP titkosítók esetén az interfészek 10/100BaseT típusúak automatikus felismeréssel. A titkosított adatsztrím effektív sávszélessége 8 Mbps. Ez a sebesség igény esetén megnövelhető.

A CYPCOM 100 család berendezéseinek alkalmazása részletesen a "Megoldások" menű pontban került bemutatásra

Alkalmazott titkosító algoritmus

A CYPCOM 100 család berendezései az adatsztrímet AES (128, 192, 256 bit kulcsméret), vagy 3DES (128 bit kulcsméret) szabványos, illetőleg gyártóspecifikus algoritmussal titkosítják. A szabványos DES, 3DES, AES algoritmusokat gyártóspecifikus algoritmusokkal keverjük.Ebben az esetben a titkosítás eredő biztonsági szintje megegyezik az ismert DES és AES algoritmusokéval, azonban a végső kódolás már nem szabványos. Az adási és vételi adatsztrímek különböző kulcsokkal titkosíthatók. E1 titkosító esetén mindegyik link különböző kulccsal kerül titkosításra.

Biztonság, szabotázsvédelem

A berendezés fedőlapjának eltávolítását érintkezők érzékelik, és a nyitás pillanatában törlődnek a beállított kulcsok. A berendezés un. „invalid” állapotba kerül. A fedőlap visszahelyezése után a kulcsokat ismét be kell tölteni, és csak ekkortól működik ismét üzemszerűen a berendezés.

A kulcsok kódoltan vannak tárolva a berendezésben is, de áramszünet esetén nem törlődnek a berendezésből. Így egy esetleges áramkimaradás után nem kell újratölteni a kulcsokat. A belső áramkör kialakítása olyan, hogy elektromos méréssel vagy rácsatlakozással még a kódolt formában tárolt kulcsok sem olvashatók ki.

A berendezés minden kulcstöltést, illetve fedőlap eltávolítást regisztrál és letárol időbélyeggel ellátva. Ezek a bejegyzések az üzemfelügyeleti szoftver segítségével kérdezhetők le.

Műszaki paraméterek

Fizikai méretek: a berendezés egy szabvány 19’’-os keretbe építhető, 1U magasságú
Tápellátás: 220V/50Hz AC vagy 36V-72V DC
Fogyasztás: 30W
Csatlakozások:

• E1 interfészek: RJ45-ös csatlakozó 75 vagy 120 ohm, G.703/G.704
• Ethernet interfészek: 10/100Mbps
• Kulcstöltő adapter csatlakozás: speciális csatlakozó