Система электронного управления ключами ( EKMS ) - это программа под руководством Агентства национальной безопасности США, отвечающая за управление ключами , учет и распространение ключей безопасности связи ( COMSEC ) . В частности, EKMS генерирует и распространяет электронные ключи для всей системы шифрования АНБ.ключи которого загружаются с использованием стандартных устройств заполнения, и руководит распространением материала ключей, созданного АНБ. Кроме того, EKMS выполняет регистрацию учетных записей, управление привилегиями, упорядочивание, распространение и учет для управления и распределения физических материалов COMSEC для услуг. Общие компоненты и стандарты EKMS способствуют взаимодействию и унификации между вооруженными силами и гражданскими агентствами. [1]
Причины развития
Основная причина разработки EKMS связана с проблемами безопасности и логистики, которые преследовали систему контроля материалов COMSEC (CMCS) [2], которая пришла на смену системе зарегистрированных публикаций (RPS) в 1970-х годах. CMCS была очень трудоемкой операцией, которая была загружена на полную мощность. Самой серьезной и непосредственной проблемой была угроза для человека, связанная с доступом к бумажным ключам и их использованием на протяжении всего их жизненного цикла. Раскрытие шпионской сети Уокера явилось явным оправданием этой озабоченности. Хотя устранение большинства бумажных ключей значительно снизит эту угрозу для человека, долгосрочная цель EKMS по минимизации доступа людей к ключам не будет реализована до тех пор, пока не будет полностью реализован безопасный ключ заполнения. Доброкачественное заполнение позволяет передавать зашифрованные материалы с электронными ключами непосредственно на устройство COMSEC без доступа человека к самому ключу.
Необходимость совместной оперативной совместимости привела к Закону о реорганизации обороны 1986 года, в соответствии с которым Объединенный комитет начальников штабов (JCS) поручил АНБ, Агентству оборонных информационных систем ( DISA ) и Объединенному тактическому агентству командования, управления и связи (JTC3A) разработать архитектуру целей управления ключами (KMGA). Последующие трудности с координацией распределения и поддержки COMSEC во время совместных военных операций, например, «Буря в пустыне» , « Срочная ярость» и « Операция Just Cause» , еще больше подчеркнули необходимость в системе, способной к взаимодействию между Службами.
Центральный объект (уровень 0)
EKMS начинается с Центрального объекта (CF), находящегося в ведении NSA, который предоставляет широкий спектр возможностей Службам и другим государственным учреждениям. CF, также называемый уровнем 0, является основой EKMS. Традиционные бумажные ключи и ключи для защищенного телефонного аппарата - третье поколение ( STU-III ), STE , FNBDT , Iridium , Secure Data Network System (SDNS) и другие электронные ключи управляются из подземного здания в Финксбурге, штат Мэриленд, которое способен на следующее:
- обработка заказов как на физические, так и на электронные ключи
- электронная генерация и распространение ключей
- генерация ключевого материала для FIREFLY (алгоритм АНБ)
- выполнение преобразования семян и смены ключей
- поддержание компромиссного восстановления и управление материалами FIREFLY
- поддержка беспроводной смены ключей (OTAR)
CF обменивается данными с другими элементами EKMS через различные носители, устройства связи и сети, либо через прямой дистанционный набор с использованием STU-III (режим данных), либо через выделенный доступ к каналу с использованием KG-84 . При переходе на полностью электронный ключ также поддерживаются 3,5-дюймовые гибкие диски и 9-дорожечная магнитная лента. Обычный пользовательский интерфейс, служба сообщений на основе TCP / IP , является основным методом связи с CF. Служба сообщений позволяет элементам EKMS хранить сообщения EKMS, которые включают электронный ключ, для последующего извлечения другим элементом EKMS.
1-го уровня
В рамках CMCS каждая служба поддерживала центральный офис записи (COR), который выполнял основные функции управления ключами и COMSEC, такие как заказ ключей, распределение, управление запасами и т. Д. В EKMS каждая служба использует свою собственную систему управления ключами с использованием EKMS Tier 1 программное обеспечение, которое поддерживает распределение физических и электронных ключей, традиционную генерацию электронных ключей, управление распределением материалов, заказами и другие связанные функции бухгалтерского учета и COR. Common Tier 1 основан на программном обеспечении системы распределения ключей (NKDS) ВМС США, разработанном Военно-морской исследовательской лабораторией и доработанном SAIC в Сан-Диего.
2 уровень
EKMS Tier 2 , локальное устройство управления (LMD), состоит из коммерческого готового (COTS) персонального компьютера (ПК), на котором работает операционная система SCO UNIX компании Santa Cruz Operation , и ключевого процессора NSA KOK-22A. (КП) . КП - это доверенный компонент EKMS. Он выполняет криптографические функции, включая функции шифрования и дешифрования учетной записи, а также операции генерации ключей и электронной подписи. КП может безопасно генерировать традиционные ключи в полевых условиях. Локально сгенерированные ключи могут использоваться в криптосетевых коммуникациях, приложениях безопасности передачи (TRANSEC), в двухточечных схемах и практически везде, где использовались бумажные ключи. Электронные ключи могут быть загружены непосредственно в устройство заполнения , такое как KYK-13 , KYX-15 или более современное устройство передачи данных AN / CYZ-10 (DTD) для дальнейшей передачи (или заполнения ) в конечный криптографический блок.
Уровень 3
Самый нижний уровень или уровень архитектуры EKMS, который включает AN / CYZ-10 (устройство передачи данных (DTD)), SKL (простой загрузчик ключей) AN / PYQ-10 и все другие средства, используемые для заполнения ключей для завершения криптографии. Единицы (ЭБУ); только бумажные копии материалов; и материалы STU-III / STE с использованием только ключевых управляющих объектов (KME) (т. е. локальных элементов (LE)). В отличие от учетных записей уровня 2 LMD / KP, объекты уровня 3 никогда не получают электронный ключ напрямую от COR или уровня 0.
Рекомендации
- ^ См. ОТАР
- ^ "Материальная система безопасности связи" (PDF) . Проверено 17 августа 2013 .
Внешние ссылки
- Веб-сайт Центрального объекта
- Ссылка 16 Совместный план управления ключами, CJCSM 6520.01A, 2011
- Приказ Корпуса морской пехоты 2201.1 относительно UMSC COMSEC