Szyfrator protokołów internetowych o wysokiej pewności
High Assurance Internet Protocol Encryptor ( HAIPE ) to urządzenie szyfrujące typu 1 , które jest zgodne z HAIPE IS agencji bezpieczeństwa narodowego (dawniej HAIPIS, specyfikacja interoperacyjności protokołów internetowych o wysokim poziomie gwarancji). Zastosowana kryptografia to Pakiet A i Zestaw B , również określone przez NSA w ramach Programu Modernizacji Kryptografii . HAIPE IS jest oparty na IPsec z dodatkowymi ograniczeniami i ulepszeniami. Jedno z tych ulepszeń obejmuje możliwość szyfrowania multiemisji przy użyciu „klucza wstępnie umieszczonego” (patrz definicja w Lista typów kluczy kryptograficznych ). Wymaga to załadowania tego samego klucza na wszystkich urządzeniach HAIPE, które będą uczestniczyć w sesji multiemisji przed transmisją danych. HAIPE to zazwyczaj bezpieczna brama, która umożliwia dwóm enklawom wymianę danych przez niezaufaną lub sieć o niższej klasyfikacji.
Przykłady urządzeń HAIPE obejmują:
-
Produkty szyfrujące L3Harris Technologies
- KG-245X 10Gbit/s (HAIPE IS v3.1.2 i obcy interoperacyjny),
- KG-245A w pełni taktyczny 1 Gbit/s (HAIPE IS v3.1.2 i Foreign Interoperable)
- Czerwony orzeł
-
Produkty AltaSec firmy ViaSat
- KG-250 i
- KG-255 [1 Gb/s]
-
General Dynamics Mission Systems TACLANE
- FLEX (KG-175F)
- 10G (KG-175X)
- Nano (KG-175N)
- Airbus Defence & Space ECTOCRYP Przezroczysta kryptografia
Trzy z tych urządzeń są zgodne ze specyfikacją HAIPE IS v3.0.2, podczas gdy pozostałe korzystają ze specyfikacji HAIPE IS w wersji 1.3.5, która ma kilka znaczących ograniczeń: ograniczoną obsługę protokołów routingu lub otwarte zarządzanie siecią .
HAIPE to urządzenie szyfrujące IP, które wyszukuje docelowy adres IP pakietu w swojej wewnętrznej bazie danych Security Association Database (SAD) i wybiera zaszyfrowany tunel na podstawie odpowiedniego wpisu. W przypadku nowej komunikacji HAIPE używają wewnętrznej bazy danych zasad bezpieczeństwa (SPD) w celu skonfigurowania nowych tuneli z odpowiednimi algorytmami i ustawieniami. Ze względu na brak obsługi nowoczesnych komercyjnych protokołów routingu, HAIPE często muszą być wstępnie zaprogramowane z trasami statycznymi i nie mogą dostosowywać się do zmieniającej się topologii sieci.
Po zatwierdzeniu HAIPE IS w wersji 3.0 kilka nowych urządzeń HAIPE będzie łączyć funkcjonalność routera i szyfratora. Firma General Dynamics zakończyła pracę nad wersją TACLANE (KG-175R), która zawiera zarówno czerwony, jak i czarny router Cisco, a zarówno ViaSat, jak i L-3 Communications wychodzą z linią szyfratorów sieciowych w wersji 3.0 i nowszych. Cisco współpracuje z Harris Corporation , aby zaproponować rozwiązanie o nazwie SWAT1
Istnieje brytyjski wariant HAIPE, który implementuje algorytmy UKEO zamiast US Suite A. Cassidian wszedł na rynek HAIPE w Wielkiej Brytanii ze swoją gamą Ectokryp. Ectokryp Blue jest zgodny z HAIPE w wersji 3.0 i zapewnia szereg rozszerzeń HAIPE, a także obsługę jakości usług sieciowych (QoS). Harris wszedł również na brytyjski rynek HAIPE z BID/2370 End Cryptographic Unit (ECU).
Oprócz szyfratorów witryn HAIPE jest również instalowany w urządzeniach klienckich, które zapewniają zarówno przewodowe, jak i bezprzewodowe możliwości. Przykłady obejmują KOV-26 Talon i KOV-26B Talon2 firmy L3Harris Technologies oraz radiotelefony KIV-54 i PRC-117G firmy Harris Corporation.
Menedżerowie HAIPE
Viasat i General Dynamics Mission Systems opracowują własne oprogramowanie do zarządzania urządzeniami HAIPE, odpowiednio VINE i GEM One. Specyfikacje GEM One obsługują Viasat HAIPE, KG-250X i KG-250XS, podczas gdy arkusz danych dla VINE zawiera tylko obsługiwane Viasat Network Encryptors.
Zarówno zarządzanie HAIPE IS v3, jak i implementacje urządzeń HAIPE muszą być zgodne ze wspólnymi bazami MIB HAIPE IS w wersji 3.0. Zapewnienie interoperacyjności różnych dostawców może wymagać dodatkowego wysiłku. Przykładem aplikacji zarządzającej obsługującej HAIPE IS v3 jest L3Harris Common HAIPE Manager (który działa tylko z produktami L3Harris). [ potrzebne źródło ]