Системи шифрування NSA

Сформоване в 1952 році Агентство національної безпеки (NSA), взяло на себе відповідальність за всі системи шифрування уряду США.^[1] Технічні деталі більшості систем, схвалених АНБ, все ще засекречені. Однак,  стало набагато більше відомо про ранні системи, а найсучасніші системи (деякі їх функції) були впроваджені в комерційні продукти.

Покоління систем шифрування АНБ

Системи шифрування, розроблених АНБ за півстоліття роботи, можуть бути згруповані в п'ять поколінь (десятиліття вказані приблизно):^[2]

Перше покоління: електромеханічне

 

KL-7 у музеї АНБ.

Системи АНБ першого покоління були представлені в 1950-х та засновані на попередніх напрацювання АНБ часів Другої світової війни і роторних машинах, отриманих з конструкції SIGABA для найбільш високого рівня шифрування; наприклад, KL-7^[en][3][4]. Розподіл ключів був розподілом паперових списків ключів, що описують розташування ротора, яке змінюється кожен день (криптоперіод) опівночі, GMT. Найбільша кількість трафіку передавалося за допомогою одноразової стрічкової системи, включаючи британську 5-UCO^[en], якій потрібна величезна кількість перфострічки.

Друге покоління: вакуумні лампи

 

Масив KW-26 системи шифрування.

Всі електронні проекти систем другого покоління (1970-ті) були на основі логіки перетворювача і вакуумних ламп. Алгоритми ґрунтуються на лінійних зсувних регістрах зворотного зв'язку, можливо, з деякими нелінійними елементами, доданими, щоб зробити їх більш важкими для криптоаналізу. Ключі завантажувалися з допомогою приміщення перфокарти у замкнений пристрій читання на передній панелі.^[5] . Ці системи були представлені в кінці 1960-х і залишалися у використанні до середини 1980-х. Вони вимагали великого догляду та обслуговування, але не були уразливі для EMP. Відкриття агентурної мережі Walker забезпечило імпульс для їх старіння, поряд з іншими системами першого покоління.

Третє покоління: інтегральні схеми

 

KOI-18 пристрій польового читання перфострічки.

Системи третього покоління (1980-ті) були транзиторними й на основі інтегральних схем та використовували більш досконалі алгоритми. Вони були компактніші й надійніші. Техобслуговування в польових умовах часто обмежувалася виконанням діагностики та заміною повністю неробочої частині пристрою запчастиною, а пошкоджене обладнання відправлялося назад для відновлення. Ключі завантажувалися через роз'єм на передній панелі. АНБ прийняла той же тип з'єднувача, який збройні сили використовували для польових радіо-гарнітур в якості завантажувального з'єднувача. Ключі спочатку розподілялися як смуги перфострічки, які могли бути вилучені з кишенькового рідера (KOI-18), сполученого з завантажувальним портом. Також використовувалися інші портативні електронні пристрої завантаження присторою загрузки (KYK-13, тощо)^[6].

Четверте покоління: електронний розподіл ключів

 

STU-III телефон з які згоряють криптоключем.

Системи четвертого покоління (1990-ті) використовують більше комерційних пристроїв і електронний розподіл ключів. Технологія інтегральної схеми дозволила зворотну сумісність з системами третього покоління. Були представлені токени безпеки, такі як crypto ignition key (CIK) KSD-64. Пізніше карта англ. Fortezza, спочатку представлена як частину спірного пропозиції по чипу Clipper, використовувалася як токен^[7]. Криптоперіоди були набагато довші, принаймні, наскільки це потрібно було користувачеві. Користувачі безпечних телефонів, таких як STU-III повинні викликати спеціальний телефонний номер тільки один раз в рік, щоб оновити їх шифрування. Методи з відкритим ключем (Firefly (англ. key exchange protocol)) були представлені для керування електронним ключем (EKMS) англ. Electronic Key Management System^[8]. Ключі могли тепер бути згенеровані окремими командами замість того, щоб прибувати з АНБ кур'єром. Звичайний кишеньковий пристрій завантаження (AN/CYZ-10) було представлено для заміни безлічі завантажувальних пристроїв, що включають в себе багато систем третього покоління, які все ще широко використовувалися. Підтримка шифрування була надана для комерційних стандартів, таких як Ethernet, IP (спочатку розроблений ARPA DOD'ом), та оптичного мультиплексування. Засекречені мережі, такі як SIPRNET (англ. Secret Internet Protocol Router Network) і JWICS (англ. Joint Worldwide Intelligence Communications System), були створені, використовуючи комерційну Інтернет-технологію з безпечними комунікаційними каналами між «анклавами», де і оброблялися секретні дані. Потрібно було дотримуватися обережності, щоб гарантувати відсутність небезпечних з'єднань між засекреченими мережами і загальнодоступним Інтернетом.

П'яте покоління: мережеві системи

 

Кишенькові радіо на основі мікропроцесора такі, як AN/PRC-148 мають складові методи шифрування.

У двадцять першому столітті передача все більше і більше заснована на комп'ютерних мережах. Шифрування — лише один аспект захисту конфіденційної інформації в таких системах. Роль АНБ повинна буде все більше й більше полягати в напрямку комерційних фірм, що розробляють системи для урядового використання. Рішення HAIPE англ. Assurance Internet Protocol Encryptor — приклади цього типу продукту (наприклад, KG-245A^{[недоступне посилання з травня 2019]} і KG-250).^[9] Інші агентства, особливо NIST, взяли на себе роль підтримки безпеки для комерційних і вразливих, але не секретних додатків. Сертифікація АНБ про несекретному вибраному із NIST алгоритмі AES для секретного використання для «систем затверджених АНБ» припускає, що в майбутньому АНБ може використовувати більше незасекреченных алгоритмів. KG-245A і KG-250 використовують і секретні й несекретні алгоритми. The NSA Information Assurance Directorate через Департамент Безпеки реалізує англ. Cryptographic Modernization Program для перетворення та модернізації інформаційних можливостей в 21-му столітті.^[10][11] В нього входить три фази:

• Заміна — Всі небезпечні пристрої будуть замінені.
• Модернізація — Інтеграція модульних програмованих/вбудованих крипторішень
• Перетворення — Здійснити сумісність з вимогами про глобалізацію інформації Grid/NetCentric.

АНБ допомогла розробити кілька головних стандартів для безпечної передачі: англ. Future Narrow Band Digital Terminal (FNBDT англ. Secure Communications Interoperability Protocol) для передач мовлення,^[12] High Assurance Internet Protocol Interoperability Encryption — Interoperability Specification сумісності (HAIPE) для комп'ютерних мереж та Suite B (англ. NSA Suite B Cryptography) алгоритми шифрування.

Шифрування АНБ за типами застосування

Велика кількість систем шифрування, які розробила АНБ, може бути згруповано по застосуванню:

Шифрування написаного тексту

Під час Другої світової війни написані повідомлення були зашифровані рядком на спеціальних та понад секретних роторних машинах англ. Rotor machine і потім передавалися в пятибуквенні кодові групи, що використовують азбуку Морзе або схеми телетайпу англ. Teletype Corporation  для дешифрування оффлайн подібними машинами на іншому кінці.

KW-26 ROMULUS був широко застосованою системою шифрування другого покоління, яка могла бути вставлена в схеми телетайпу, таким чином, трафік був зашифрований і дешифрован автоматично.^[13] Ця система використовувала електронні зсувні регістри замість роторів, що стало дуже популярним (для COMSEC пристрої її ери) з більш ніж 14,000 вироблених модулів. Вона була замінена в 1980-х більш компактним KG-84, який потім був замінений на KG-84-сумісний KIV-7^[en].

Стратегічні сили

АНБ несе відповідальність за захист систем командування і управління ядерними силами. Серія KG-3X використовується в мінімальній основній мережі зв'язку з надзвичайних ситуацій (MEECN) уряду США, а Fixed Submarine Broadcast System використовується для передачі повідомлень в надзвичайних ситуаціях для ядерного та національного командування і контролю стратегічних сил США.^[14] Військово-морський флот замінює KG-38, який використовується в атомних підводних човнах, модулями схеми KOV-17, включеними в нові широкочастотні ресивери, на основі комерційної конструкції VME. У 2004році  американські Військово-повітряні сили укладали контракти для початку системної розробки та демонстраційної (SDD) фази програми для оновлення цих застарілих систем генерації, використаних у повітроплаванні.

Інтернет

АНБ схвалив ряд пристроїв для забезпечення зв'язку за допомогою Інтернет-протоколу. В них використовувався для захисту Secret Internet Protocol Router Network (SIPRNet) в числі інших засобів.^[15]

Першим комерційним пристроєм шифрування мережевого рівня був Motorola Network Encryption System (NES).^[16] Система використовувала SP3 і протоколи KMP, визначені АНБ Secure Data Network System (SDNS), і була прямими попередниками IPsec. В NES була використана архітектура, яка складається з трьох частин, яка використовувала невелике криптографічне ядро безпеки для поділу надійних і ненадійних стеків мережевого протоколу. ^[17]

Програма SDNS визначила Message Security Protocol (MSP), який був побудований при використанні X. 509 сертифікатів. Перші апаратні засоби АНБ, створені для цього додатка, були BBN Safekeeper.^[18] Message Security Protocol було попередником протоколу IETF Privacy Enhance Mail (PEM). BBN Safekeeper забезпечив високий ступінь захисту від втручання і був одним з перших пристроїв, використовуваних комерційними PKI компаніями.

Польова аутентифікація

 

NSA KAL-55B Tactical Аутентифікаційна система, яка використовувалася під час війни у В'єтнамі. — Національний музей криптографії

АНБ все ще підтримує прості паперові системи шифрування і системи аутентифікації для польового використання, такі як DRYADDRYAD.^[19]

Відкриті системи

АНБ брала участь в розробці декількох систем шифрування для загальнодоступного використання. А саме:

• Suite B — алгоритм з набором стандартів для відкритого ключа на основі шифрування в еліптичних кривих.
• Advanced Encryption Standard (AES) — алгоритм шифрування, вибраний NIST після проведеного змагання. У 2003 АНБ сертифікувала AES для використання Type 1 в деяких затверджених АНБ системах.^[20]
• Secure Hash Algorithm — сімейство геш-алгоритмів розроблене АНБ.
• Digital Signature Algorithm
• Data Encryption Standard (DES)^[21]
• Skipjack — шифр, розроблений для Clipper чипу і опублікований в 1998.^[22]
• Clipper chip — вбудована мікросхема, за задумом АНБ ця технологія повинна була вирішити проблему, пов'язану з плануванням і веденням незаконної діяльності.^[23]
• Security-Enhanced Linux — необхідність поліпшення операційної системи не менш важливими для інформаційної безпеки, ніж поліпшення шифрів.^[24]
• The Speck and Simon light — вагові Блочні шифри, опубліковані в 2013.^[25]

Посилання

1. Шнайер Б. 25.1 Агентство национальной безопасности // Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — С. 661—663. — 816 с. — 3000 экз. — BookSources/5893920554 ISBN 5-89392-055-4.
2. NSA security history [Архівовано 2020-02-15 у Wayback Machine.] // National Cryptologic Museum Exhibit Information
3. A History of U.S. Communications Security; the David G. Boak Lectures, National Security Agency (NSA), Volume I, 1973, partially released 2008, additional portions declassified October 14, 2015
4. Jerry Proc's page on the KL-7. Архів оригіналу за 11 травня 2009. Процитовано 19 квітня 2018.
5. Melville Klein, «Securing Record Communications: The TSEC/KW-26», 2003, NSA brochure, p. 4, (PDF)
6. KYK-13.
7. FIPS-140-1 Security and FORTEZZA Crypto Cards. Choosing Security Solutions That Use Public Key Technology. Microsoft. Процитовано 16 лютого 2012.
8. The Communications Security Material System (PDF). Архів оригіналу (PDF) за 16 вересня 2012. Процитовано 17 серпня 2013.
9. L-3 Common HAIPE Manager^{[недоступне посилання з липня 2019]}
10. Security Guide: Operationalizing the IA Component of the GIG — Richard C. Schaeffer Jr. — Military Information Technology. Архів оригіналу за 11 жовтня 2007. Процитовано 19 квітня 2018.
11. Allen Walton «Army Key Management System 2007 update». Army Communicator. Fall 2007. FindArticles.com. 21 Aug. 2008.
12. Introduction to FNBDT [Архівовано 2016-11-04 у Wayback Machine.] by NC3A discusses the prospects for FNBDT for NATO in 2003
13. KW-26 history page
14. Fixed Submarine Broadcast System
15. Misiewicz (September 1998). Thesis; Modeling and Simulation of a Global Reachback Architecture ... (PDF). Архів оригіналу (PDF) за 12 серпня 2011. Процитовано 13 квітня 2011.
16. Motorola Network Encryption System //National Computer Security Conference, 1993 (16th) Proceedings: Information Systems Security: User Choice pages: 236—244
17. Патент EP0435094B1 на «Uniform interface for cryptographic services» - Google Patents
18. Cox, Nancy (24 листопада 1999). Electronic Messaging. CRC Press. Процитовано 8 червня 2021. (англ.)
19. U.S. Army Field Manual FM 24-12, Chapter 7, Communications Security Operations
20. Lynn Hathaway (June 2003). National Policy on the Use of the Advanced Encryption Standard (AES) to Protect National Security Systems and National Security Information (PDF). Процитовано 15 лютого 2011.
21. Thomas R. Johnson (18 грудня 2009). American Cryptology during the Cold War, 1945-1989.Book III: Retrenchment and Reform, 1972-1980, page 233 (PDF). National Security Agency, DOCID 3417193 (file released on 2009-12-18, hosted at nsa.gov). Архів оригіналу (PDF) за 18 вересня 2013. Процитовано 10 липня 2014.
22. «However, I have noted that the inconsistency involved may be more apparent than real. Between the statements cited, and the declassification of SKIPJACK, a paper was published by an academic researcher noting that Feistel ciphers of a particular type, specifically those in which the f-function was itself a series of Feistel rounds, could be proven to be immune to differential cryptanalysis.» http://www.quadibloc.com/crypto/co040303.htm
23. Levy, Steven (12 червня 1994). Battle of the Clipper Chip.
24. SELinux. Архів оригіналу за 19 липня 2019. Процитовано 19 квітня 2018.
25. Schneier, Bruce (1 липня 2013). Schneier on Security. Процитовано 17 липня 2013.

Джерела

• NSA official site
• Jerry Proc Crypto machine page
• Brooke Clarke Crypto machines site
• Telecommunications Security (TSEC) Nomenclature System
• A History of U. S. Communications Security; the David G. Boak Lectures, National Security Agency (NSA), Volumes I, 1973, Volumes II 1981, partially released 2008, additional portions declassified October 14, 2015