Μελέτη υλοποίησης του πρωτοκόλλου IPsec µε τη χρήση IP Encryptors στα IP δίκτυα της Βόρειο-Ατλαντικής Συµµαχίας (North Atlantic Treaty Organization, NATO)
Study for the implementation of the IPsec protocol using IP Encryptors in the IP networks of the North Atlantic Treaty Organization (NATO).
Keywords
IPSec ; NATO ; IP ; Encryptor ; Κρυπτομηχανή ; Κρυπτογράφηση ; TempestAbstract
Η κρυπτογραφία αποτελεί το πλέον διαδεδομένο εργαλείο για τη διασφάλιση της εμπιστευτικότητας και της ακεραιότητας των πληροφοριών στις επικοινωνίες. Κατέχει δε κομβικό ρόλο στις στρατιωτικές επικοινωνίες, καθώς βοηθά στην προστασία απόρρητων πληροφοριών και ευαίσθητων δεδομένων, οι οποίες πρόκειται να «κυκλοφορήσουν» σε ένα δίκτυο. Απoτελεί τον κύριο τρόπο με τον οποίο μπορούν να μεταδίδονται με ασφάλεια μηνύματα μεταξύ των δυνάμεων μιας στρατιωτικής δομής, χωρίς η αντίπαλη δύναμη να έχει τη δυνατότητα παρεμπόδισης των μηνυμάτων ή και ανάγνωσής τους. Ακόμα κι αν το μήνυμα υποκλαπεί, θα πρέπει κατόπιν να αποκρυπτογραφηθεί ώστε να είναι σε αναγνώσιμη μορφή. Για την ασφάλεια επικοινωνιών σε στρατιωτικά IP δίκτυα χρησιμοποιούνται κυρίως συσκευές κρυπτογραφίας IP (IP Encryptors), οι οποίες μπορούν να προσφέρουν υψηλό βαθμό εμπιστευτικότητας ροής πληροφορίας, αυθεντικότητας και ακεραιότητας των δεδομένων, τα οποία ανταλλάσσονται σε ένα δίκτυο. Παρόλα αυτά, η ενσωμάτωση συσκευών αυτού του τύπου σε ένα δίκτυο, παρουσιάζει πρόσθετα προβλήματα στις περιπτώσεις δυσλειτουργίας τους ή της ανάγκης για συντήρηση και επισκευή, καθώς το κόστος προμήθειας - αντικατάστασής τους είναι σημαντικό για μία στρατιωτική δομή, και στις περιπτώσεις που η αντικατάστασή τους δε μπορεί να γίνει άμεσα, υπάρχει προσωρινή έλλειψη διαθεσιμότητας στο δίκτυο.
Σκοπός της πτυχιακής αυτής εργασίας είναι η μελέτη των IP Encryptors (ή αλλιώς, κρυπτομηχανών) που χρησιμοποιούνται για την υλοποίηση του IPSec στα IP δίκτυα της Βορειο-Ατλαντικής Συμμαχίας (NATO), του τρόπου λειτουργίας τους και ενσωμάτωσης του IPSec σε αυτές και θα αναλυθούν οι δυνατότητες μετάβασης από το μοντέλο ενσωμάτωσης του IPSec στις κρυπτομηχανές σε άλλο μοντέλο υλοποίησης του IPSec σε IP δίκτυα κορμού του NATO, χωρίς τη χρήση ξεχωριστής IPSec συσκευής. Σε αυτή την εργασία, θα γίνει αρχικά παρουσίαση του πρωτοκόλλου IPsec, της αρχιτεκτονικής του και των τρόπων υλοποίησής του. Στη συνέχεια, θα περιγραφούν οι συσκευές κρυπτογράφησης IP (IP Encryptors), σε ό,τι αφορά τη λειτουργία τους και τον τρόπο με τον οποίο χρησιμοποιούν το πρωτόκολλο IPsec. Επιπλέον, θα μελετηθούν τύποι συσκευών κρυπτογράφησης IP που έχουν αναπτυχθεί από εταιρείες τηλεπικοινωνιών και χρησιμοποιούνται από κράτη-μέλη της Βόρειο-Ατλαντικής Συμμαχίας (North-Atlantic Treaty Organization – NATO), οι οποίες θα συγκριθούν ως προς τις δυνατότητες και τη λειτουργία τους, και θα ερευνηθούν περαιτέρω οι απαιτήσεις του NATO ως προς τη σχεδίαση, αρχιτεκτονική και λειτουργία των συσκευών αυτών. Με τα παραπάνω ευρήματα, θα μελετηθεί κατά πόσο είναι δυνατή η μετάβαση από το μοντέλο IPSec με χρήση dedicated hardware στο μοντέλο χρήσης IPSec χωρίς dedicated hardware, με κριτήρια τη δυνατότητα συμμόρφωσης με τις προδιαγραφές - απαιτήσεις ασφαλείας που θέτει το NATO για τις συσκευές αυτές, του συνολικού κόστους που απαιτείται για την μετάβαση στο νέο μοντέλο καθώς και των πλεονεκτημάτων – μειονεκτημάτων του κάθε μοντέλου και θα γίνει παράθεση των συμπερασμάτων.
Abstract
Cryptography is the most widely used tool to ensure the confidentiality and integrity of information in communications. It plays a key role in military communications, helping to protect confidential information and sensitive data that will be "circulated" on a network. It is the main way in which messages can be safely transmitted between the forces of a military structure, without the opposing force having the ability to block the messages or read them. Even if the message is intercepted, it must then be decrypted so that it is legible. IP Encryptors are mainly used for the security of communications in military IP networks, which can offer a high degree of confidentiality of information flow, authentici-ty and integrity of the data, which are exchanged in a network. However, the integration of such devices in a network presents additional problems in events of their malfunction or the need for maintenance and repair, as the cost of their supply or replacement is important for a military structure, and in cases where their replacement can not be done immediately, there is a temporary lack of availability in the network.
The purpose of this thesis is to study the IP Encryptors used for the implementation of IPSec in the IP networks of the North Atlantic Treaty Organization (NATO), how they operate and integrate IPSec and will examine the possibility of switching from the IPSec integration model in IP Encryptors to another IPSec implementation model in NATO IP backbone networks, without the use of a separate IPSec device. In this paper, the IP-sec suite of protocols, its architecture and implementation modes will be presented first. Next, IP Encryptors will be described in terms of how they operate and how they inte-grate the IPsec suite of protocols. In addition, types of IP encryption devices developed by telecommunications companies and used by North Atlantic Treaty Organization (NATO) member states will be analyzed and compared in terms of their capabilities and operation, and NATO requirements for the design, architecture and operation of these devices will be further investigated. With the above findings, there will be a study of whether it is possible to switch from the IPSec model using dedicated hardware to the IPSec model without dedicated hardware. The criteria of this study will be the compli-ance with the specifications - security requirements set by NATO for these devices, the total cost required for the transition to the new model as well as the advantages - dis-advantages of each model, and so, the conclusions will be presented.