Zabezpečení hlasové komunikace

Systém zabezpečené hlasové komunikace (ZHK) byl navržen a realizován za účelem přenosu informací v režimech utajení důvěrné a tajné. Parametry použitých šifrovacích algoritmů dle specifikací FIPS a NIST odpovídají parametrům vyžadovaným pro přenos informací v režimu zabezpečení Secret. Cílem tohoto systému je zajistit efektivní a bezpečnou hlasovou komunikaci za použití mobilní datové sítě, resp. odpovídajícím způsobem nastavených WiFi sítí, odolnou vůči odposlechům.

Použité technologie:

Systém ZHK je postaven na moderních protokolech a metodách end-to-end šifrování prověřených širokou kryptologickou komunitou. Klientské aplikace pro Android, iOS, Windows, Mac OSX a Linux jsou open-source s výjimkou iOS (z důvodu obchodní politiky společnosti Apple a z ní vyplývající požadavky na umístění v AppStoru).

Použité šifrovací algoritmy dle specifikací FIPS Pub 197 a NIST SP 800-56A – úroveň SECRET – viz příloha.

Zabezpečení SIP protokolu:
TLS v1.0, SIP protokol zabezpečen algoritmem Topology Hiding.

Zabezpečení hlasové komunikace:
SRTP AES-256, resp. Twofish-256 – symetrický klíč.
Počáteční výměna unikátního klíče pro danou relaci algoritmem Diffieho-Hellmana (DH).Použitý DH standard odpovídá NIST ECDH-256 (algoritmus využívající eliptických křivek P-256, resp. algoritmus DH3k – Finite Field Diffie-Hellman s 2072-bitovým Prime klíčem). Zabezpečení této fáze – SAS, kontinuita klíčů.

Servery:
HW DELL, Supermicro
SW Debian Linux instalace LUKS encrypted AES-256
Ochrana proti skenování a SIP DoS

Pro provoz serverů s více síťovými kartami je využíván Load Balancing prostřednictvím DNS SRV recordů.

V současnosti systém využívá dva servery (provozní/záložní) umístěné v Holandsku a ČR. Jednotlivé uzavřené skupiny uživatelů využívají vlastní systémy přidělování uživatelských identifikátorů a jsou odlišeny přidělenou doménou, resp. subdoménou, kdy obecně není umožněno volání mezi doménami, resp. subdoménami. Servery je možno realizovat jako samostatné, vyhrazené pro potřeby uzavřené skupiny uživatelů, v lokalitách s odpovídajícími propustností a latencí síťové konektivity – vyžadováno přímé připojení na uzel NIX.

Administrace serverů:
Prostřednictvím webového rozhraní na transportní vrstvě TLS v1.2, pro přístup dále vyžadován klientský osobní certifikát + kombinace uživatelského jména a hesla pro povolenou úroveň administrace.

V rámci poslední aktualizace serverů byl zprovozněn AES-256 zabezpečený přenos videa mezi koncovými zařízeními s instalovanými open source klientskými aplikacemi (Windows, Mac OSX, Linux).