SlingSecure Convergencia de Red Segura

Problema ✓ Los operadores no dan conexión de IP directa entre los dispositivos de las distintas redes ✓ Las limitantes principales son

•  Dirección IP Privada •  Dirección IP “Rotativa” para las terminales

móviles •  NAT •  Cortafuegos, etc.

✓ El registro de usuario e identidad no pueden ser ocultados (ejemplo, para Grupo de Usuarios Cerrado VIP) ✓ Protocolo SIP Estándar no diseñado para redes móviles ✓ Necesidad de interconectar sistemas/dispositivos con distintos protocolos de legado (ejemplo, sistemas de propiedad)

VoIP  Server  

Enfoque de resolución de problemas para una convergencia

de red segura

Terminal  Móvil  2  Terminal  Móvil  

1  

VoIP  Server  

VoIP  Server  

Solución ✓ Interconexión para comunicación de voz y datos segura entre

•  Dispositivos de IP •  Móvil 3G - 4G & LTE •  PSTN •  Móvil 2G

✓ Comunicación de Punto a Punto ✓ La Red de SlingSecure permite

•  Administración independiente de comunicación y señal

•  Grupo de usuarios cerrado mezclado entre ambiente móvil y fijo

•  Señal de llamadas encriptada •  Conversión y adaptación de protocolo cuando sea

requerido Señal Segura

Completamente Duplex De Punto a Punto

Módulo  de  XServ  

Módulo  de  XServ  

Módulo  de  XServ  

Administración  de  Claves  y  Auten=cación  

Enfoque en solución de problemas para una

convergencia de red segura

BD  de  Usuarios  

PSTN    to  IP  

Disposi=vo  IP  Disposi=vo  PSTN  

X Serv Interconexión para comunicación de voz y datos segura entre dos dispositivos IP

Módulo  XServ  

Módulo  XServ  

Módulo  XServ  

Administración  de  Claves  y  Auten=cación  

Disposi=vo  IP  

BD  de  Usuarios  

Disposi=vo  PSTN  

PSTN    a  IP  

SlingSecure La Red de SlingSecure permite conversión y adaptación de protocolos cuando sea necesario (ejemplo, de PSTN a IP)

Terminales • Dispositivos conectados a X Serv • Móvil 2G/3G/4G/LTE/WiFi • Dispositivos PSTN

✓ Comunicación Segura de Punto a Punto ✓ Señal para llamadas encriptada ✓ Autenticación por HW ✓ Administración de Claves ✓ Canales de datos de paso ✓ Seguidor de IP Móvil ✓ Elusión de Cortafuegos del Proveedor (No se requiere servidor STUN) ✓ Arquitectura escalable basada en clusters User  DB  

XServ  Module  

Authen=ca=on  and    Key  Management  

User  B  

User  A  

Servidor  de  Comunicación  Cruzada  

XServ  Module  

XServ  Module  

Red SlingSecure

Canales Seguros Duplex de Punto a Punto

XServ  

•  Interfaz Basada en Web(HTTPS) •  Acceso Local

–  Solida Autenticación Basada en •  Credencial de Seguridad USB •  Tarjeta Inteligente

•  Remoto –  Solida Autenticación Basada en

•  PKI •  Claves Simétricas (OTP)

XServ  

Dispositivo USEpro

Administración  de  XServ  

XServ  (A)   XServ  (B)  

Organización  (A)   Organización(B)  

Usuario1  Usuario  2  

BD  de  usuarios  (A)  

BD  de  usuarios  (B)  

Usuario  3  Usuario4  

Usuario  N  

Administración  de  Claves  y  Auten=cación  (A)  

Administración  de  Claves  y  Auten=cación(B)  

Clave  Inter-­‐  Fuerza  

Usuario  1  

Usuario  2  

Usuario  3  Usuario  4  

Usuario  N  

Cuenta(A)  

Cuenta  (B)  

Clave  Inter-­‐  Fuerza  

XServ  en  Mul7ples  Organizaciones  

Interfaces de comunicación múltiples incrustadas en una plataforma flexible diseñada para ofrecer interconexión y seguridad

Completamente  Personalizable  

Almacenamiento  SD  

Host  USB  Disposi=vo  USB  

Ethernet  

Teléfono,  Línea    y  Modems  

UMTS  EDGE  

GSM  

✓  Conexión física entre canales heterogéneos (ejemplo, PSTN a IP)

✓  Adaptación lógica entre protocolos diferentes

✓  Procesamiento de señal de núcleo múltiple en tiempo real

✓  Encriptado de Hardware a solicitud

Pasarela  SlingSecure  

Pasarela  SlingSecure  

Pasarela  de  Comunicación    

La Red de SlingSecure permite que dispositivos móviles y fijos se interconecten y realicen comunicaciones de voz y datos seguras

✓  Móvil 3G/4G/LTE ✓  Móvil 2G ✓  Terminales con WiFi ✓  Dispositivos PSTN •  Teléfono •  Fax •  Modems

2G/3G/WiFi

Teléfono

Fax

2.75G/3G WiFi

2G

Disposi7vos  conectados  a  Xserv  

Plataformas disponibles ✓ Completamente personalizada ✓ Semi-personalizada ✓ COTS (ejemplo. Motorola, Nokia, HTC HW)

Marcador    Limpio  

Crypto  Dialer  

Contactos   Crypto  Contacts  

SMS   Crypto  SMS  

Librerías  

Listado  de    Llamadas  

Crypto  Call  List  

API  de  Telefonía   Crypto  Protocols    

Crypto  Engine  (xSE  based)  

 Empacador  Independiente  del  SO  (Audio,  teclado,  PM,  Modem,  etc.  )  

 

Librerías    Gráficas  (QT,...)  

Capa  de  Aplicación    

Completamente  Personalizable  

Aplicaciones y Librerías para Comunicación

Móvil Segura

microSE  

Auten=cación  y    Encriptado  

Hardware  

So]ware  

Secure  Phone  Stack  (SPS)  

mSE  

SPS  SlingSecure  

ASIC  

NAND  Flash  

SPI  o  BUS  

Todas las funciones de xSE en una MicroSD ✓ Motor de encriptado en HW ✓ Algorítmos estándar y personalizados ✓ Interfaz de tarjeta SD (hasta 450Mb/s) ✓ Memoria Integrada (hasta 4 GB) ✓ Base de datos de claves interna ✓ Adecuado para Aplicaciones Móviles

mSE  

m  S  E  Ambiente  Micro  Seguro  

El rango de SlingSecure consiste de 4 tipos de plataformas móviles según el nivel de seguridad requerido

Aplicación  de  So]ware  Segura  

Secure  Phone  Stack  de  So]ware  

Terminales  COTS  

microSD    en  Terminal  COTS  

Seguridad  De  Hardware  

Seguridad  de  So]ware  

C  D  

B  A  

Aplicaciones  de  so]ware  seguras  en  terminales  COTS  con  MicroSD  (ej.,  Nokia,  Windows  Mobile,  etc.)  

Aplicaciones  de  so]ware  seguras  en  terminales  COTS  con  MicroSD  (ej.,  Nokia,  Windows  Mobile,  

Android,  etc.)  

SPS  (SO  y  aplicaciones)  en  terminales  COTS  (ej.,  

Motorola)  

SPS  en  terminales  COTS  con  MicroSD  (ej.,  

Android)  

Plataformas  Móviles  SlingSecure  

Para lanzar la aplicación y tener acceso al marcador seguro se debe ingresar la contraseña de autenticación

Acceso  al  Marcador  Seguro  

Llamada  de  Voz  Entrante/Saliente  Segura  

Negociación  

Llamada  de  Voz  Segura  

La clave de comunicación simétrica es negociada entre el usuario que llama y quien recibe la llamada cuando se establece la llamada de voz segura o cuando se responde una llamada segura Antes de iniciar la llamada segura también se negocian los siguientes elementos entre los dispositivos • Algoritmo de encriptado/decodificado (diversa selección de algoritmos disponibles) • Tipo de Vocoder, modo y tasa • Claves secundarias (ej., usadas para SMS)

La llamada de voz segura incia después que se completa exitosamente la fase de negociación

Auten7cación  

Negociación  

Voz  

Flujo  de  Llamadas  Seguro  

Autenticación del Usuario •  Se le solicita al usuario que ingrese una contraseña cuando se lanza la Aplicación de Voz

Segura •  La contraseña puede ser solicitada una sola vez o varias veces según la preferencia del usuario •  La contraseña puede ser cambiada por el usuario en cualquier momento •  La contraseña se utiliza para tener acceso a la aplicación y al repositorio de claves

Repositorio  de  Claves  

Contraseña  del  Usuario  

Contraseña  con  Hash  

Sha  256  

Almacenado  en  el  Teléfono  Móvil  

Comparado

r  

Inicio  del  Marcador  Seguro  

Las  claves  con  encriptadas  por  medio  de  una  clave  derivada  de    

la  Contraseña  del  Usuario  OK  

Auten7cación  

Dos repositorios de claves seguros son almacenados en la terminal móvil (o en la microSD) •  Repositorio de Claves Manuales •  Repositorio de Claves de KMS (Servidor de Administración de Claves)

Los repositorios de claves seguros contienen claves simétricas pre-compartidas para ser utilizados por si solos o en combinación con otros secretos para encriptar/decodificar las comunicaciones (llamadas de voz, sms, mensajería, etc).

• Claves manuales •  Pueden ser agregadas, eliminadas o modificadas directamente por el Usuario utilizando el menu de la

Aplicación de Voz Segura •  Pueden ser habilitadas según las preferencias del usuario y/o las políticas del KMS, si aplica

• Claves del KMS - Servidor de Administración de Claves •  Solamente pueden ser generadas por el KMS •  Pueden ser agregadas de manera remota (ej., por SMS) por el KMS •  No pueden ser canceladas o modificadas por el usuario

Repositorio  de  Claves  

Campos  principales  

•  ID  de  Clave  (limpio)  

•  Valor  de  clave  (encriptado)  

Campos  secundarios  •  Fecha  de  vencimiento  (encriptada)  •  Uso  (Encriptado)  

•  E=queta  (limpia)  

• La  clave  de  RND  es  generada  en  el  momento  de  creación  del  repositorio  de  claves  

• La  clave  de  RND  es  encriptada  y  almacenada  en  el  teléfono  móvil  

• La  clave  de  RND  encriptada  es  u=lizada  en  combinación  con  la  Contraseña  del  Usuario  para  extraer  un  valor  de  la  clave  del  repositorio  de  claves  encriptadas  

• Cuando  la  tarjeta  microSD  criptográfica  está  presente.  Las  claves  son  enviadas  encriptadas  a  la  tarjeta  microSD  

• La  clave  RND  encriptada  es  almacenada  en  la  microSD  

• Las  claves  son  decodificadas  y  u=lizadas  dentro  de  la  microSD  

Las  claves  son  encriptadas  por  medio    de  una  clave  derivada  de  la    Contraseña  del  Usuario  

Clave  RND  Encriptada   AES  256  

ID  de  Clave  (4  bytes)  

Entrada  

Valor  Encriptado  de  la  Clave(16  Bytes)  

Salida  

Valor  de  Clave  (16  Bytes)  

AES  256  

SHA  256  

Salida  Entrada  Clave  

Contraseña  del  Usuario  

Clave  

Todas  las  operaciones  en  el  área  verde  son  realizadas  en  la  microSD,  si  está  

presente  

microSD  

Seguridad  de  Claves  

Las claves simétricas para encriptar/decodificar las comunicaciones se pueden crear de tres maneras diferentes

1) Claves pre-compartidas • Se encuentran disponibles dos listados

•  manuales •  generadas por el KMS

• Una de las claves pre-compartidas que la persona que llama y quien recibe la llamada tengan en común , se selecciona al momento de la negociación para encriptar/decodificar la llamada de voz 2) DH Diffie Hellman - Basado en Curvas Estándar o Elípticas • Una clave de sesión simétrica es negociada al momento de la llamada • Versión DH Estándar basada en claves de 4096 bit • Las Versión DH de Curvas Elípticas se basa en claves de 571 bit, configuración Koblitz GF(2m) • La clave de sesión final es el hash del resultante de DH

3) Una combinación de los primeros dos modos • La clave de sesión final es una combinación de las dos claves anteriores: SHA256(DH | SK)

Nota: Una clave de grupo se puede agregar a todos los mecanismos previos para crear subgrupos

Negociación  de  Clave  de  Llamada  de  Voz  

Para detectar un ataque potencial de intermediario se generan dos códigos numericos de autenticación desde el SHA256 de la clave de encriptado negociada Los códigos aparecen en la pantalla del dispositivo durante la llamada Al inicio de la comunicación los usuarios deben revisar dichos codigos entre si por voz

Códigos Iguales = Sin intruso en la llamada Códigos desiguales = Ataque de intermediario.

El  intermediario  

MIC  

ADC   Voc   Mod  

DAC   Voc   Dem  

ANT  

SPK  

Enc  

Dec  

MIC  

ADC  Voc  Mod  

DAC  Voc  Dem  

ANT  

SPK  

Enc  

Dec  

DESP   DESP   CRYPTO   CRYPTO   CRYPTO   CRYPTO   CRYPTO   CRYPTO   DESP   DESP  

CANAL  SEGURO  

Clave  de  Comunicación  Simetrica  

Dominio  Base  Dominio  de  Aplicación   Dominio  de  Aplicación  

Trayecto  de  Llamada  de  Voz  Segura  

•  Acceso a micrófono y altavoz utilizando las APIs del SO •  Captura de Muestras de Audio de 8KHz/16bit (128Kbit/s) del Micrófono •  Ingreso de Muestras de Audio de 8KHz/16bit (128Kbit/s) a los Altavoces

•  Compresión de Muestras de audio a una tasa adecuada de GSM/UMTS utilizando Vocoders estándar o personalizados •  Codificación de muestras de audio de micrófono (de 128Kbit/s a ~5Kbit/s) •  Decodificación de muestras de audio de altavoces (de~5Kbit/s a128Kbit/s) •  El vocoder puede ser expuesto por el sistema operativo o escrito en lenguaje nativo

•  Encriptado/Decodificación de Voz •  Encriptado de muestras de audio codificadas del micrófono •  Decodificación de las muestras de audio de los altavoces •  Las operaciones de criptografía son realizadas por un módulo de HW o SW dedicado

Procesamiento  de  Voz  

Captura  de  Muestras  de  

Audio  Aplicación  

Librerías  

Drivers  

Hardware  

Codificación  de  las  Muestras  de  Audio  

Encriptado  de  las  Muestras  de  Audio  

Codificadas  

Librerías  de  audio  

Drivers  de  Audio  

Codec  de  Audio  y  Microfono  

Provisto  por  SlingSecure  

Sistema  Opera=vo  (ejemplo,  del  fabricante  del  teléfono)    

Vocoders  estándar  o  personalizados  

Librería  de  CriptograOa  

MicroSD  Criptográfica  

Drivers  de  MicroSD/

Almacenamiento  Masivo  

Solamente  para  el  Motor  de  Encripción  de  HW  (ej.,  microSD)  

Envío  de  Información  

API  de  Telefonía  

COM  de  Banda  

Procesador  de  Banda  

*  Este  diagrama  describe  solamente  el  rastro  de  voz  desde  el  microfono  hasta  la  transmición  por  radio  

Componentes  de  Procesamiento  de  Voz*  

Pasarela SlingSecure

XServ

Red IP

Pasarela de SlingSecure

FAX G3

Teléfono

Móvil 3G

Móvil con WiFi

WiFi Pipe

Red SlingSecure

IP

IP

IP

IP

Voz Segura en IP (2.5G, 2.75G, 3G, 3.5G, 4G, LTE, WiFi)

• Señal encriptada administrada por el Servidor Xserv Pipecom

• Paquetes de voz encriptados de punto a punto administrados por las Terminales IP (Encriptado por HW)

X  Serv   VoIP  Disposi=vo  2  

Los  paquetes  de  voz  encriptados  de  punto  a  punto  pasan  por  el  

Canal  

VoIP  Disposi=vo  1   Señal  

Encriptada  Señal  Encriptada  

Convergencia  de  Red  Segura  -­‐  Caso  1  

Servicios de Comunicación de BlackBerry •  Voz Segura en IP

•  Correo Electrónico Seguro •  Mensajería Segura

Sistema completamente escalable permitiendo que los operadores e integradores ofrezcan servicios de voz, mensajería y correo electrónico seguros en la plataforma BlackBerry ofreciendo Encriptado de punto a punto por HW.

Segurid

ad  Cer=ficado  de  HW  para  garan=zar  alta  

velocidad  y  seguridad  (Clave  de  2048  bit)    

Servidor  de  servicios  de  propiedad  Arquitectura  Independiente  Segura  

X  Serv  

Señal  Encriptada  

Señal  Encriptada  

Encriptado  de  Punto  a  Punto  por  

HW  

Disponible  4T  del  2010  

XServ  

Señal    Encriptada  

Señal    Encriptada  

Teléfono  

Encriptado  Punto  a  Punto  por  HW  

Elementos del Sistema: •  Teléfono Análogo •  Pasarela SlingSecure para Convertir PSTN a

IP •  Teléfono móvil 2.5G/3G/4G/LTE (con mSE)

Llamada de Voz Segura entre teléfonos estándar PSTN y Teléfonos Móviles

Encriptado por Hardware realizado por • Pasarela SlingSecure en el PSTN • mSE en el Teléfono Móvil • Algoritmo de encriptado personalizado (opcional)

Móvil  

Pasarela  SlingSecure  

Línea  Fija  a  Móvil  

Elementos del Sistema: •  Fax G3 Estándar •  Plataforma SlingSecure para convertir de

PSTN a IP

Llamada de Datos segura entre Fax PSTN estándar

Encriptado por Hardware realizado por la plataforma SlingSecure

•  Algoritmo de Encriptado Personalizado

Dos modos de Fax: •  Línea Directa •  Almacenar y Reenviar

XServ  

Señal Encriptada

Señal Encriptada

Encriptado por HW de Punto a

Punto

Pasarela SlingSecure

Fax Estandar G3

Plataforma SlingSecure

Fax Estandar G3

Fax  Seguro  por  IP  

Internet  

Sistema  Portatil  

Sistema  de  Vehículo  

Satelite  

WiFi  

WiFi  

Enlace  Sat  

Servidor  VoIP  

IP  sob

re  Sat  

Estación  en  Tierra  

Sistema  Marino  

Conexión  por  Satelite  Mundial  

Servidor VoIP

Red IP Área GSM - CSD (Sin UMTS, Sin IP)

Pasarela  Segura  

GSM  -­‐  CSD  

IP  

ZONA 1

ZONA 2

Conversión de CSD a IP

Proxy  CSD  

Proxy    CSD  

Pasarela SlingSecure

XServ

Red IP

Teléfono

Móvil 3G Móvil WiFi

3G Pipe

Red SlingSecure

IP

IP IP

Conferencia de Medio Segura

IP

Claves Temporales Número de Conferencia Único

Llamada  de  Conferencia  Segura  

El nivel y el criterio de personalización son elegidos según la plataforma móvil La personalización deberá ser realizada independientemente por el cliente y sin ningún conocimiento o interferencia de SlingSecure

Terminales móviles sin microSD criptográfica • Dado que la librería criptográfica es un módulo externo escrito en C/C++, el cliente puede modificar o agregar métodos desde una plantilla funcional provista por SlingSecure • El cliente puede compilar y sobrecargar la librería criptográfica independientemente • Se proporciona un ambiente de simulación junto a las herramientas de WH y SW necesarias

Empacador  C++  

Funciones  ANSI  C  

AES   DH   EC  

RNG  Adm  Clave  

Personalizado  

Personalizado  

Compilación

 

Simulación  

Sobrecarga  

Función  Ansi  C    

Compilación  Cruzada  

Vuelta    De  Prueba  

Personalización  

Personalizaciones  (I)  

Opciones de personalización Para nuestras plataformas de móvil basadas en microSD

1) Basadas en microSD (solución estándar) • Se puede implementar una combinación personalizada de algoritmos estándar • Las funciones criptográficas son exportadas como librerías java • SlingSecure puede proporcionar la applet y el soporte básicos para agregar/sobrecargar las funciones internas personalizables en la microSD “abierta” provista por el Cliente

2) MicroSD personalizada (disponible a solicitud) • Tarjeta microSD basada en micro-controlador para una personalización de algoritmo más profunda – provista por SlingSecure • Mismo enfoque que en las librerías de software con código ANSI C ejecutado dentro de la microSD

3) Librería de Software • Los algoritmos personalizados son implementados como una librería de software • Las operaciones criptográficas básicas se mantienen dentro de una microSD basada en tarjeta inteligente o en micro-controlador

Personalizaciones  (I)  

✓  Autenticación de usuario para tener acceso al Servidor de archivos Dmz ✓  Radius-Tacacs + Ldap verifica la cuenta del usuario y las políticas del controlador del dominio ✓  El servidor de dominio otorga la autenticación para que las estaciones de trabajo tengan acceso al

Servidor de Archivos Dmz

Auten7cación  de  Servidor  de  Archivos  

✓ Grupos de usuarios en distintas VLANs son administrados por switches dedicados

✓ Las políticas de tráfico son administradas por la pasarela de seguridad ✓ Acceso administrado por medio de •  Certificados de seguridad(basado en tarjeta inteligente EAL5+) o •  Clave Simétrica basada en Servicio OTP o •  Certificados

Disposi=vo  USEpro  

Cer=ficados  

Claves  y  Cer7ficados  (I)  

Claves  y  Cer7ficados(II)  

✓ VPN administrada con productos Clavister •  SG 3000 •  SG 4000 ✓ Administración de QoS y Banda Ancha

Administración  Remota  por  VPN  

Escaneo  IDP/IPS  

Los productos de SlingSecure están respaldado por el soporte de los equipos de ingeniería y diseño para ü  Efectividad de Costos ü  Integración de sistemas ü  Entrega de soluciones a tiempo

El alto nivel de servicio y soporte para todos los productos de SlingSecure permiten al cliente alcanzar el resultado deseado con la mejor relación costo-desempeño.

SlingSecure  Interna=onal  

info@SlingSecure.com  

30' Kenilworth/1 Sir Augustus Bartolo Street

Ta' Xbiex, Malta