[go: up one dir, main page]

ES2952067T3 - Un sistema y un método para la transferencia segura de datos usando el protocolo de hardware de air gapping - Google Patents

Un sistema y un método para la transferencia segura de datos usando el protocolo de hardware de air gapping Download PDF

Info

Publication number
ES2952067T3
ES2952067T3 ES20461503T ES20461503T ES2952067T3 ES 2952067 T3 ES2952067 T3 ES 2952067T3 ES 20461503 T ES20461503 T ES 20461503T ES 20461503 T ES20461503 T ES 20461503T ES 2952067 T3 ES2952067 T3 ES 2952067T3
Authority
ES
Spain
Prior art keywords
module
data
secure
bridge
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES20461503T
Other languages
English (en)
Inventor
Kamil Rafal Gancarz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bitfold Ag
Original Assignee
Bitfold Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bitfold Ag filed Critical Bitfold Ag
Application granted granted Critical
Publication of ES2952067T3 publication Critical patent/ES2952067T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/40Bus structure
    • G06F13/4004Coupling between buses
    • G06F13/4022Coupling between buses using switching circuits, e.g. switching matrix, connection or expansion network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/544Buffers; Shared memory; Pipes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B1/00Details of transmission systems, not covered by a single one of groups H04B3/00 - H04B13/00; Details of transmission systems not characterised by the medium used for transmission
    • H04B1/38Transceivers, i.e. devices in which transmitter and receiver form a structural unit and in which at least one part is used for functions of transmitting and receiving
    • H04B1/40Circuits
    • H04B1/44Transmit/receive switching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Small-Scale Networks (AREA)
  • Communication Control (AREA)
  • Electric Cable Installation (AREA)

Abstract

Un sistema para la transferencia segura de datos mediante espacios de aire. Un primer módulo (100) comprende: una interfaz de comunicación (102) con una red pública; un controlador (105) y una interfaz de datos (106) configurados para enviar y/o recibir datos desde la red pública. Un segundo módulo (200) comprende: una memoria ROM (202) que almacena un sistema operativo; una memoria ROM (203) que almacena conjuntos de claves privadas del segundo módulo (200) y al menos una clave pública de otra entidad remota; una interfaz de comunicación (208) configurada para comunicarse con una máquina segura o una red segura para transmitir datos desde y hacia el segundo módulo; un microcontrolador (205) y una interfaz de datos (206, 207) para comunicarse con un módulo puente (300). Un módulo puente (300) comprende: un controlador (305); una interfaz de datos (309) para comunicarse con el controlador (305); memoria (303) para almacenar datos; y un conmutador (310) configurado para conectar selectivamente la interfaz de datos (309) del módulo puente (300) a la interfaz de datos (106) del primer módulo (100) o a la interfaz de datos (206, 207) del segundo. módulo (200) de manera que la interfaz de datos (106) del primer módulo (100) nunca esté conectada con la interfaz de datos (206, 207) del segundo módulo (200). El controlador (305) está configurado para recibir datos del segundo módulo (200), almacenar los datos en la memoria (303) y enviar los datos al primer módulo (100) y/o recibir datos del primer módulo (100), almacenar los datos en la memoria (303) y enviar los datos al segundo módulo (200). (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Un sistema y un método para la transferencia segura de datos usando el protocolo de hardware de air gapping Campo técnico
La presente divulgación se refiere a un sistema y un método para la transferencia segura de datos entre una máquina o red segura (tal como una Intranet, etc.) y una red pública, tal como Internet, usando el protocolo de hardware de air gapping (espacio de aire).
Antecedentes
"Air Gapping" es un procedimiento conocido relacionado con mantener una máquina informática fuera de cualquier conectividad de red o al menos fuera de una red pública tal como Internet. En otras palabras, un air gap, una pared de aire o un air gapping es una medida de seguridad de red empleada en uno o más ordenadores para garantizar que una red informática segura esté físicamente aislada de las redes no seguras, tal como la Internet pública o una red de área local no segura.
Como resultado, la máquina informática con air gapping es un sistema cerrado (en términos de información, señales, etc.), que es inaccesible para entidades remotas y solo puede operarse manualmente por un usuario (operario). Una desventaja del air gapping es que la transferencia de información entre la máquina informática con air gapping y una entidad remota requiere mucha mano de obra, lo que a menudo implica el análisis de seguridad humana de aplicaciones de software prospectivas o datos a introducir en la máquina con air gapping y posiblemente incluso la reintroducción manual humana de los datos que sigue al análisis de seguridad.
Además, una máquina con air gapping es normalmente un sistema de hardware completamente separado, que requiere operar y mantener dos sistemas, lo que es un inconveniente.
Una patente de Estados Unidos US8984275B2 titulada "Virtual air gap-VAG system" divulga un sistema que comprende un air gapping virtual, un componente de seguridad interior, un componente de seguridad exterior, un mecanismo de transferencia de mensajes de los componentes del sistema colocados entre los componentes de seguridad interiores y exteriores y una memoria compartida. El sistema interior consiste en el componente de seguridad interior y otros componentes contenidos en el sistema que conectan el mismo a la red interior. El sistema exterior consiste en el componente de seguridad exterior y otros componentes contenidos en el sistema que conectan el mismo a la red exterior.
Una solicitud de patente de Estados Unidos US2019372779 divulga métodos y sistemas para el almacenamiento y la recuperación seguros de información, tal como claves privadas, que pueden usarse para controlar el acceso a una cadena de bloques, que incluyen: recibir una solicitud para realizar una acción con respecto a una cámara de múltiples cámaras diferentes en un sistema de custodia de criptoactivos, y cada una de las múltiples cámaras diferentes tiene un mapa de políticas asociado que define las reglas de control de la cámara; autenticar, mediante un módulo de seguridad de hardware, un mapa de políticas para la cámara en la que se solicita la acción basándose en una clave criptográfica controlada por el módulo de seguridad de hardware; verificar la acción contra el mapa de políticas para la cámara cuando el mapa de políticas para la cámara se autentica basándose en la clave criptográfica controlada por el módulo de seguridad de hardware; y efectuar la acción cuando se confirme que la acción está de acuerdo con el mapa de políticas para la cámara.
Una solicitud de patente europea EP3506587 divulga un circuito integrado que comprende un primer y segundo procesador de interfaz de red que son procesadores separados y que están conectados por una primera interconexión unidireccional.
Una publicación "Handbook of Information Security, Threats, Vulnerabilities, Prevention, Detection, and Management - Volume 3" (por Hosein Bidgoli, ISBN 978-0-471-64832-1) divulga una visión de conjunto general de la arquitectura de air gapping de la técnica anterior.
Una patente de Estados Unidos US8984275 divulga un sistema de air gapping virtual para proporcionar seguridad informática y de Internet.
En vista de lo anterior, existe la necesidad de diseñar un sistema para una transferencia segura de datos más conveniente usando air gapping.
Sumario
La invención se refiere a un sistema y un método para la transferencia segura de datos usando air gapping, de acuerdo con las reivindicaciones adjuntas.
Breve descripción de los dibujos
Estos y otros objetos presentados en el presente documento se logran proporcionando un sistema y un método para la transferencia segura de datos usando el protocolo de hardware de air gapping. Más detalles y características de la presente divulgación, su naturaleza y diversas ventajas se harán más evidentes a partir de la siguiente descripción detallada de las realizaciones preferentes mostradas en un dibujo, en el que:
la figura 1 muestra un diagrama de un primer módulo del sistema presentado en el presente documento, conectado a una red no segura;
la figura 2 muestra un diagrama de un segundo módulo del sistema presentado en el presente documento, conectado a una máquina segura o a una red segura;
la figura 3 muestra un módulo puente que opera entre el primer módulo y el segundo módulo;
la figura 4 muestra una visión de conjunto del sistema que comprende el primer módulo, el segundo módulo y el puente;
la figura 5 muestra un método de transferencia segura de datos para enviar datos desde un entorno seguro. La figura 6 muestra un método de transferencia segura de datos para recibir datos en el entorno seguro.
NOTACIÓN Y NOMENCLATURA
Algunas partes de la descripción detallada que sigue se presentan en términos de procedimientos de procesamiento de datos, etapas u otras representaciones simbólicas de operaciones en bits de datos que pueden realizarse en la memoria del ordenador. Por lo tanto, un ordenador ejecuta dichas etapas lógicas, lo que requiere manipulaciones físicas de cantidades físicas.
Por lo general, estas cantidades toman la forma de señales eléctricas o magnéticas que pueden almacenarse, transferirse, combinarse, compararse y manipularse de otro modo en un sistema informático. Por razones de uso común, estas señales se denominan bits, paquetes, mensajes, valores, elementos, símbolos, caracteres, términos, números o similares.
Además, todos estos términos y otros similares deben asociarse con las cantidades físicas apropiadas y son simplemente etiquetas convenientes que se aplican a estas cantidades. Términos como "procesar" o "crear" o "transferir" o "ejecutar" o "determinar" o "detectar" u "obtener" o "seleccionar" o "calcular" o "generar" o similares, se refieren a la acción y procesos de un sistema informático que manipula y transforma datos representados como cantidades físicas (electrónicas) dentro de los registros y memorias del ordenador en otros datos representados de manera similar como cantidades físicas dentro de las memorias o registros u otro tipo de almacenamiento de información.
Un medio (almacenamiento) legible por ordenador, tal como se hace referencia en el presente documento, normalmente puede ser no transitorio y/o comprender un dispositivo no transitorio. En este contexto, un medio de almacenamiento no transitorio puede incluir un dispositivo que puede ser tangible, lo que significa que el dispositivo tiene una forma física concreta, aunque el dispositivo puede cambiar su estado físico. Por lo tanto, por ejemplo, no transitorio se refiere a un dispositivo que permanece tangible a pesar de un cambio de estado.
Tal como se usa en el presente documento, el término "ejemplo" significa que sirve como ejemplo, caso o ilustración no limitante. Como se usa en el presente documento, las expresiones "por ejemplo" y "p. ej." introducen una lista de uno o más ejemplos, instancias o ilustraciones no limitantes.
Descripción detallada
El sistema presentado en el presente documento, que tiene una estructura general como se muestra en la figura 4, puede configurarse, en particular, para proporcionar una transferencia segura de datos, eficiente, conveniente y rápida entre una máquina segura o una red segura (a la que está conectado el segundo módulo 200) y un destinatario designado conectado a través de una red pública, como Internet (a la que está conectado el primer módulo 100), a través de tarjetas LAN o módulos de comunicación similares.
El sistema es particularmente útil para la transferencia de datos confidenciales a través de una red pública que conecta las instalaciones que procesan los datos confidenciales. Por ejemplo, una corporación manufacturera puede tener una pluralidad de fábricas que fabrican productos específicos y una instalación central que recopila datos confidenciales relacionados con los procesos de fabricación en cada fábrica. En ese caso, los datos de fabricación pueden transmitirse a través del sistema 400, en donde la máquina que genera los datos confidenciales está conectada al segundo módulo 200 que está aislado de la red pública y conectado a la red pública de manera segura solo en el caso de que exista la necesidad de enviar datos al concentrador central y/o recibir datos de la instalación central. Además, en la mayoría de los casos, las empresas manufactureras no pueden arriesgarse a conectar sus instalaciones a Internet u otra red disponible públicamente, debido al riesgo de piratear el entorno de TI seguro de esas instalaciones. El dispositivo, tal como se ha descrito en el presente documento, evita que entidades no autorizadas (por ejemplo, piratas informáticos) se conecten a la red segura o a la máquina segura por medio del air gapping. El sistema descrito en el presente documento solo permite la transferencia de comunicaciones seguras firmadas con clave criptográfica digital de una entidad autorizada. Además, el sistema que se describe en el presente documento puede usarse para la comunicación segura a través de dos máquinas descritas anteriormente, que se encuentran en ubicaciones separadas, conectadas en pareja a través de Internet.
0tro uso del dispositivo es para la comunicación segura con entidades especializadas, tales como satélites espaciales, en donde es de suma importancia evitar el acceso de entidades no autorizadas.
El sistema puede realizarse usando componentes dedicados o circuitos FPGA (matriz de puertas programables en campo) o ASIC (circuito integrado de aplicación específica) fabricados a medida.
La figura 1 muestra un esquema de un primer módulo 100 del sistema, que está conectado a Internet (o en general, a cualquier red pública y no segura), mediante un protocolo típico como TCP/IP o similares, a través de una red típica (LAN) o similar. El primer módulo 100 es responsable de la comunicación con cualquier parte exterior autorizada relacionada con recibir datos del sistema seguro o enviar datos al sistema seguro. En otras palabras, es un módulo de comunicación.
El primer módulo 100 comprende un bus de datos 101 acoplado comunicativamente a otros componentes del sistema, para que puedan gestionarse de manera efectiva por un controlador 105.
La memoria Flash 104 puede almacenar un programa o programas informáticos ejecutados por el controlador 105 con el fin de ejecutar las etapas del método como se describe a continuación. Además, la memoria Flash 104 puede almacenar parámetros de configuración del primer módulo 100.
Un módulo de interfaz o interfaces de comunicación 102 puede ser una tarjeta LAN que usa el protocolo TCP/IP u otra interfaz de comunicación (por ejemplo, WiFi, GSM, 3G, LTE, 5G o similar) y está configurada para gestionar la comunicación con la red pública exterior. La interfaz de comunicación 102 puede tener un interruptor de encendido/apagado dedicado de tal manera que el usuario pueda controlar personalmente su operación.
El controlador 105 puede ser un sistema en chip que comprenda: una memoria de acceso aleatorio (RAM) 105A, una unidad de procesamiento central (CPU) 105B que es un circuito electrónico dentro de un ordenador que lleva a cabo las instrucciones de un programa informático realizando las operaciones básicas aritméticas, lógicas, de control y de entrada/salida (E/S) especificadas por las instrucciones almacenadas en una memoria Flash 105C; y una interfaz de datos 105D responsable de recibir y/o transmitir datos hacia/desde otros componentes del primer módulo 100.
Normalmente, el primer módulo 100 está configurado para establecer, a través de la interfaz de comunicación 102, una comunicación con un servidor remoto o un cliente, por ejemplo, una instalación central de una empresa manufacturera que recopila los datos confidenciales de las fábricas o envía instrucciones a las instalaciones de fabricación.
Los datos pueden transmitirse de forma encriptada entre los módulos 100 y 300 a través de una interfaz de datos 106 que permite el acceso al bus de datos 101, por ejemplo usando tecnología TCP/IP sobre Ethernet.
La figura 2 muestra un diagrama de un segundo módulo 200 del sistema presentado en el presente documento. El segundo módulo 200 es responsable de comunicarse con la máquina segura o con una red segura (tal como una Intranet), usando un protocolo TCP/IP o similar, a través de una tarjeta LAN u otra conectividad de red, que genera o recibe datos sensibles y nunca está conectado a una red pública (como Internet) o incluso no conectado a ninguna red que esté conectada al primer módulo 100. Sin embargo, está conectado a una red segura o una máquina segura que está acoplada al segundo módulo 200).
El segundo módulo comprende un bus de datos 201 que acopla comunicativamente los elementos del módulo. Una primera memoria R0M 202 almacena el sistema operativo del segundo módulo 200 (que, por estar almacenado en R0M, no está sujeto a modificaciones).
Los componentes del sistema están acoplados comunicativamente al bus de datos 201 de tal manera que puedan gestionarse por un microcontrolador 205.
Una segunda memoria R0M 203 almacena las claves de autorización para validar los mensajes e instrucciones recibidos de una red no segura, p. ej., Internet, tal como para evitar intentos de piratería basados en el envío de archivos, virus, etc. o sondeo del segundo módulo sobre el air gapping. En particular, almacena una clave privada asociada al segundo módulo 200 para firmar y descifrar los datos recibidos y una clave pública de un destinatario o remitente de datos (o una pluralidad de claves si los datos pueden enviarse a diferentes destinatarios o remitentes) para cifrar los datos de tal manera que solo pueda leerlo el destinatario o validar la confiabilidad del paquete de datos recibido (protección contra piratas informáticos).
Ambas memorias R0M 202 y 203 pueden configurarse para un fácil reemplazo con el fin de facilitar la actualización física periódica de las claves y/o el sistema operativo con el fin de aumentar la seguridad.
Una memoria Flash 204 está configurada para almacenar los datos confidenciales para el cifrado (cuando se van a enviar los datos) o el descifrado (cuando se reciben los datos).
Se usa un microcontrolador 205 para controlar la funcionalidad del dispositivo, en particular para supervisar los métodos de transferencia segura de datos como se ha descrito en las figuras 5 y 6. El microcontrolador 205 puede usarse además para proporcionar funcionalidad adicional a los componentes del segundo módulo 200. El microcontrolador 205 puede comprender un procesador 205A, una memoria RAM de operación 205B y una memoria Flash interior 205C.
Se usa una interfaz de comunicación 208 para comunicarse con el sistema seguro que genera o recibe los datos seguros. Por ejemplo, puede ser una interfaz Ethernet configurada para comunicarse con un controlador PLC del sistema seguro o una red segura como Intranet (puede usar un protocolo TCP/IP).
Se usa una unidad criptográfica 209 para cifrar y/o descifrar los datos confidenciales usando las claves almacenadas en la segunda R0M 203. Preferentemente, la unidad criptográfica 209 tiene la forma de un circuito FPGA que es capaz de realizar rápidamente los algoritmos de cifrado/descifrado.
Los datos pueden transmitirse entre los módulos 200 y 300 a través de la interfaz de datos, preferentemente en forma de búferes de datos 206, 207 que están configurados para comunicarse con la interfaz 309 del módulo puente 300 a través del interruptor SPDT 310. El búfer de entrada 206 es accesible por el segundo módulo para leer datos del mismo y por el módulo puente para almacenar datos en el mismo. El búfer de salida 207 es accesible por el segundo módulo para almacenar datos en el mismo y accesible por el módulo puente para leer datos del mismo. Cada uno de los búferes de datos 206, 207 puede comprender su propia unidad de procesamiento interior, memoria Flash e interfaces de datos para manejar la comunicación con el bus de datos 201, así como con la interfaz de datos 309 del módulo puente 300 a través del interruptor SPDT 310. Además, es posible que el búfer de entrada 206 no pase un paquete de datos dentro del segundo módulo 200, si esos datos no están firmados con una clave privada adecuada que está emparejada con la clave pública almacenada en la R0M 203, por lo tanto, protege el entorno seguro del segundo módulo 200 y, en consecuencia, también la red o máquina segura que está conectada a ese módulo, contra la violación por parte de entidades no autorizadas (por ejemplo, piratas informáticos).
El segundo módulo 200 puede realizarse usando componentes dedicados o circuitos FPGA o ASIC fabricados a medida.
El segundo módulo 200 junto con el módulo puente 300 se pueden integrar en una carcasa común para formar un dispositivo dedicado que puede conectarse al primer módulo (únicamente a través del módulo puente) a través de una interfaz exterior, tal como una interfaz Ethernet. Preferentemente, todos los módulos 100, 200, 300 pueden integrarse en una carcasa común para formar un dispositivo completamente funcional.
La figura 3 muestra un módulo puente 300 que opera entre el primer módulo 100 y el segundo módulo 200. El fin del módulo puente 300 es pasar datos seguros de manera segura desde el segundo módulo 200 al primer módulo 100 y/o desde el primer módulo 100 al segundo módulo 200.
El módulo puente 300 puede realizarse usando componentes dedicados o circuitos FPGA o ASIC fabricados a medida.
El módulo puente 300 comprende un bus de datos 301 acoplado comunicativamente a una memoria 303, tal como una memoria Flash, para almacenar los datos transmitidos a través del interruptor. Además, otros componentes del sistema se acoplan comunicativamente al bus de datos 301 para que puedan gestionarse por un controlador 305. Los datos pueden transmitirse en un momento dado entre el primer módulo 100 y el puente 300 o entre el segundo módulo 200 y el puente 300. Para máxima seguridad, el sistema se configura de tal manera que en ningún momento es posible que los tres módulos 100, 200, 300 estén activos al mismo tiempo, mediante el uso del interruptor SPDT 310 que controla la transmisión de datos.
El controlador 305 puede ser un microcontrolador o un módulo de sistema en chip que comprende los mismos o similares subcomponentes que el controlador 105 y puede tener una unidad de procesamiento de gráficas para controlar la visualización de información en una pantalla 306, sin embargo, no es necesaria.
Un interruptor de encendido/apagado 304 está configurado para encender o apagar el dispositivo cuando lo opera un usuario. 0tros componentes típicos incluyen una pantalla 306, una interfaz de entrada 311 (como un teclado simple o solo unas pocas teclas) y pueden tener un altavoz 302 que forman los componentes para la comunicación con un usuario.
El módulo puente 300 está alimentado por el módulo 307 que puede ser una fuente de alimentación conectada a una fuente de energía o puede ser una fuente de alimentación que usa tecnología alimentación sobre Ethernet.
El módulo puente 300 puede comprender además un puerto de programación 312 (como USB, Ethernet, RS232 o similar) para permitir la programación (o configuración) del puente o el primer módulo.
El módulo puente 300 comprende la interfaz de datos 309 que está configurada para comunicarse con la interfaz 106 del primer módulo 100 o con los búferes de datos 206, 207 del segundo módulo 200, ambos a través del interruptor SPDt 310. La interfaz de datos 309 puede conectarse al interruptor SPDT a través del bus de datos 301 o directamente a través de una línea de conexión dedicada.
El módulo de interruptor SPDT (un polo, doble tiro) 310 está configurado para capacidades de transmisión de datos a solo uno de los módulos a la vez: ya sea al primer módulo 100 o al segundo módulo 200.
Pueden usarse otros tipos de módulos de conmutación en lugar del interruptor SPDT, siempre que proporcionen la funcionalidad de que la interfaz de datos 106 del primer módulo 100 nunca esté conectada con los búferes de datos 206, 207 del segundo módulo 200.
La figura 4 muestra una visión de conjunto del sistema que comprende el primer módulo 100, el segundo módulo 200 y el módulo puente 300, en donde el módulo puente 300 está conectado selectivamente en cualquier momento al primer módulo 100 o al segundo módulo 200 a través del interruptor SPDT 310. El interruptor SPDT 310 controla la transmisión de datos.
Por lo tanto, el sistema 400 es capaz de resolver el problema de seguridad al dividirse en al menos tres módulos: el primer módulo 100, el segundo módulo 200 y el módulo puente 300 que permite pasar datos entre los módulos 100 y 200, y les permite operar independientemente uno de otro. El segundo módulo 200 está configurado para cifrar datos seguros usando sus claves privadas o claves públicas del destinatario, sin estar nunca conectado a una red pública (como Internet) y para recibir mensajes e instrucciones seguros (y también cifrados) de una red no segura con un método para validarlos (y descifrarlos), para proteger las máquinas o la red seguras contra virus y ataques de piratas informáticos.
En particular, el segundo módulo 200 nunca se conecta a una red pública o no segura, debido a que el módulo puente 300 en cualquier caso puede conectarse al primer módulo 100 o al segundo módulo 200. Por lo tanto, es imposible que una entidad remota (un pirata informático o una máquina que opera un software de espionaje) intente acceder directamente al segundo módulo 200. El primer módulo 100 tampoco tiene ninguna forma de acceso a los datos y el contenido del segundo módulo 200 o red conectada a ese segundo módulo 200.
La funcionalidad del dispositivo se describe haciendo referencia a los métodos de transferencia segura de datos de las figura 5 y 6. Estos métodos pueden supervisarse por el microcontrolador 205.
La figura 5 muestra un método de transferencia segura de datos para enviar datos desde el segundo módulo al destinatario designado a través de la red pública. En primer lugar, en la etapa 501, el segundo módulo se enciende y el interruptor SPDT del puente se establece en el búfer de salida directa del segundo módulo 207.
En general, durante la operación del dispositivo, pueden encenderse tanto el primer módulo 100 como el segundo módulo 200 o puede encenderse solo uno de los módulos 100, 200 (para una seguridad potencialmente mayor). Como alternativa, el interruptor SPDT puede conectarse al primer módulo 100 cuando el segundo módulo 200 está recibiendo datos de la red segura o de la máquina segura conectada al segundo módulo 200 y, a continuación, encriptarlos, pero para transferir datos ya encriptados al módulo puente 300 con el fin de continuar con la transferencia de datos, se requiere conectar el interruptor SPDT al segundo módulo 200.
Seguidamente, en la etapa 502, el segundo módulo recibe datos seguros. A continuación, los datos seguros se cifran y firman en la etapa 503 (cifrados usando la clave pública del destinatario al que se van a transmitir los datos y firmados por la clave privada del segundo módulo). Seguidamente, en la etapa 504, los datos cifrados se envían desde el segundo módulo al módulo puente. Después de recibir y almacenar los datos en la memoria del módulo puente, en la etapa 505 el interruptor SPDT se establece en el primer módulo y los datos se envían desde el módulo puente al primer módulo en la etapa 506. Posteriormente, se envían desde el primer módulo al destinatario designado a través de la red pública en la etapa 507.
La figura 6 muestra un método de transferencia segura de datos para recibir datos por parte del segundo módulo desde la red pública. En primer lugar, en la etapa 601, se enciende el primer módulo y el interruptor SPDT del puente se establece en el primer módulo.
Como alternativa, el interruptor SPDT puede conectarse al segundo módulo 200 cuando se reciben datos de la red pública, pero para transferirlos al módulo puente 300, con el fin de continuar con la transferencia de datos, se requiere conectar el interruptor SPDT al primer módulo 100.
En general, durante la operación del dispositivo, pueden encenderse tanto el primer módulo 100 como el segundo módulo 200 o puede encenderse solo uno de los módulos 100, 200 (para una seguridad potencialmente mayor). Seguidamente, en la etapa 602, el primer módulo recibe los datos. A continuación, los datos se envían en la etapa 603 desde el primer módulo al módulo puente. Después de que los datos se reciban y almacenen en la memoria del módulo puente, en la etapa 604, el interruptor SPDT se establece en el segundo búfer de entrada directa del módulo 206 y los datos se verifican si están firmados por una parte autorizada y si pueden entrar en segundo módulo, usando un conjunto de claves criptográficas almacenadas en la ROM 203 y la unidad informática del búfer de entrada directa 206, si es así, los datos se transfieren desde el módulo puente al segundo módulo en la etapa 605. Posteriormente, en la etapa 606, los datos se descifran en el segundo módulo. Solo a continuación los datos desempaquetados y descifrados se envían en la etapa 607 desde el segundo módulo a una máquina segura o a una red segura.
El método y el sistema presentados permiten mejorar la seguridad de la transmisión electrónica de datos sin comprometer la facilidad de uso. Por lo tanto, proporcionan un resultado útil, concreto y tangible. La prueba de máquina o transformación se cumple y la idea no es abstracta.
Al menos partes de los métodos divulgados en el presente documento pueden implementarse por ordenador. En consecuencia, el sistema puede adoptar la forma de una realización completamente de hardware, una realización completamente de software (que incluye firmware, software residente, microcódigo, etc.) o una realización que combina aspectos de software y hardware que, en general, pueden denominarse en el presente documento como un "circuito", "módulo" o "sistema".
Además, el presente sistema puede adoptar la forma de un producto de programa informático incorporado en cualquier medio tangible de expresión que tenga un código de programa utilizable por ordenador (incluido el software de informatización cuántica) incorporado en el medio.
Un experto en la materia puede reconocer fácilmente que el método mencionado anteriormente para la transferencia segura de datos a través de un air gapping puede realizarse y/o controlarse mediante uno o más programas informáticos. Dichos programas informáticos normalmente se ejecutan usando los recursos informáticos en un dispositivo informático. Las solicitudes se almacenan en un medio no transitorio. Un ejemplo de un medio no transitorio es una memoria no volátil, por ejemplo, una memoria flash, mientras que un ejemplo de memoria volátil es la RAM. Las instrucciones informáticas son ejecutadas por un procesador. Estas memorias son medios de grabación a modo de ejemplo para almacenar programas informáticos que comprenden instrucciones ejecutables por ordenador que realizan todas las etapas del método implementado por ordenador de acuerdo con el concepto técnico presentado en el presente documento.
Si bien el sistema y el método presentados en el presente documento se han representado, descrito y definido haciendo referencia a realizaciones preferentes particulares, tales referencias y ejemplos de implementación en la memoria descriptiva anterior no implican ninguna limitación en el método o sistema. Sin embargo, será evidente que pueden realizarse diversas modificaciones y cambios sin alejarse del alcance más amplio del concepto técnico. Las realizaciones preferentes presentadas son solo ejemplos y no son exhaustivas del alcance del concepto técnico presentado en el presente documento.
En consecuencia, el alcance de la protección no se limita a las realizaciones preferentes descritas en la memoria descriptiva, sino que solo se limita por las reivindicaciones que siguen.

Claims (6)

REIVINDICACIONES
1. Un sistema para la transferencia segura de datos que usa air gapping, comprendiendo el sistema:
- un primer módulo (100) que comprende:
- una interfaz de comunicación (102) a una red pública;
- un controlador (105) y una interfaz de datos (106) configurados para enviar y/o recibir datos de la red pública;
- un segundo módulo (200) que comprende:
- una memoria ROM (202) que almacena un sistema operativo;
- una memoria ROM (203);
- una interfaz de comunicación (208) configurada para comunicarse con una máquina segura o una red segura para transmitir datos desde y hacia el segundo módulo;
- un microcontrolador (205) y una interfaz de datos (206, 207) para comunicarse con un módulo puente (300); - un módulo puente (300) que comprende:
- un controlador (305);
- una interfaz de datos (309) para comunicarse con el controlador (305);
- memoria (303) para almacenar datos; y
- un interruptor (310) configurado para conectar selectivamente la interfaz de datos (309) del módulo puente (300) a la interfaz de datos (106) del primer módulo (100) o a la interfaz de datos (206, 207) del segundo módulo (200) de tal manera que la interfaz de datos (106) del primer módulo (100) nunca esté conectada con la interfaz de datos (206, 207) del segundo módulo (200);
- en donde el controlador (305) está configurado para recibir datos del segundo módulo (200), almacenar los datos en la memoria (303) y enviar los datos al primer módulo (100) y/o recibir datos del primer módulo (100), almacenar los datos en la memoria (303), y enviar los datos al segundo módulo (200);
caracterizado por que
- la memoria ROM (203) del segundo módulo (200) almacena conjuntos de claves privadas del segundo módulo (200) y al menos una clave pública de otra entidad remota;
- y el segundo módulo (200) comprende además una unidad criptográfica (209) configurada para cifrar y/o descifrar datos usando las claves almacenadas en la memoria ROM (203).
2. El sistema de acuerdo con la reivindicación 1, en donde el interruptor (310) es un interruptor unipolar de dos vías (SPDT).
3. El sistema de acuerdo con cualquiera de las reivindicaciones anteriores, en donde el primer módulo (100) y el segundo módulo (200) están integrados con el módulo puente (300) en una carcasa común.
4. El sistema de acuerdo con cualquiera de las reivindicaciones anteriores, en donde la interfaz de datos (206, 207) del segundo módulo (200) comprende un búfer de datos de entrada (206) y un búfer de datos de salida (207).
5. Un método, para la transferencia segura de datos que usa air gapping, que usa un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, en donde el método comprende las etapas de:
- recibir (502) datos seguros en el segundo módulo (200);
- cifrar (503) y firmar los datos seguros en el segundo módulo;
- cambiar el interruptor del módulo puente al segundo módulo y enviar (504) los datos seguros desde el segundo módulo (200) al módulo puente (300);
- conmutar (505) el interruptor del módulo puente (300) al primer módulo (100) y enviar (506) datos desde el módulo puente (300) al primer módulo (100);
- enviar (507) datos desde el primer módulo (100) a un destinatario designado a través de una red pública.
6. Un método, para la transferencia segura de datos que usa air gapping, que usa un sistema de acuerdo con cualquiera de las reivindicaciones 1-4, en donde el método comprende las etapas de:
- recibir (602) datos seguros en el primer módulo (100);
- conmutar el interruptor del módulo puente al primer módulo y enviar (603) los datos seguros desde el primer módulo (100) al módulo puente (300);
- conmutar (604) el interruptor del módulo puente (300) al segundo módulo (200) y verificar si el paquete de datos está firmado por la parte autorizada y enviar (605) datos desde el módulo puente (300) al segundo módulo (200); - comprobar y descifrar (606) datos en el segundo módulo (200);
- enviar (607) datos desde el segundo módulo (200) a la máquina segura o a la red segura.
ES20461503T 2020-01-20 2020-01-20 Un sistema y un método para la transferencia segura de datos usando el protocolo de hardware de air gapping Active ES2952067T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP20461503.3A EP3852334B1 (en) 2020-01-20 2020-01-20 A system and a method for secure data transfer using air gapping hardware protocol

Publications (1)

Publication Number Publication Date
ES2952067T3 true ES2952067T3 (es) 2023-10-26

Family

ID=69185556

Family Applications (1)

Application Number Title Priority Date Filing Date
ES20461503T Active ES2952067T3 (es) 2020-01-20 2020-01-20 Un sistema y un método para la transferencia segura de datos usando el protocolo de hardware de air gapping

Country Status (9)

Country Link
US (1) US11687478B2 (es)
EP (1) EP3852334B1 (es)
JP (1) JP7568206B2 (es)
KR (1) KR20220149659A (es)
CN (1) CN115336230B (es)
ES (1) ES2952067T3 (es)
IL (1) IL294727A (es)
PL (1) PL3852334T3 (es)
WO (1) WO2021148461A1 (es)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3852334B1 (en) * 2020-01-20 2023-06-07 Bitfold AG A system and a method for secure data transfer using air gapping hardware protocol
US11954211B2 (en) 2021-04-14 2024-04-09 Servicenow, Inc. Secure data collection from an air-gapped network
US12003709B1 (en) 2022-11-16 2024-06-04 International Business Machines Corporation Visual data transmission by an air-gapped system

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10053390A1 (de) * 2000-10-27 2002-05-08 Scm Microsystems Gmbh Modul zur sicheren Übertragung von Daten
JP3804670B2 (ja) 2004-04-21 2006-08-02 セイコーエプソン株式会社 半導体装置、電子機器及び半導体装置のアクセス制御方法
US20070098175A1 (en) * 2005-10-31 2007-05-03 Systech Corporation Security enabler device and method for securing data communications
US7583169B1 (en) * 2007-03-22 2009-09-01 The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration MEMS switches having non-metallic crossbeams
TR200708644A1 (tr) 2007-12-13 2009-07-21 Atti̇la Özgi̇t Dr. Sanal hava yastığı sistemi.
US8274240B2 (en) * 2010-02-01 2012-09-25 Lutron Electronics Co., Inc. Switching circuit having delay for inrush current protection
US9961550B2 (en) 2010-11-04 2018-05-01 Itron Networked Solutions, Inc. Physically secured authorization for utility applications
EP2461534A1 (en) * 2010-12-01 2012-06-06 Irdeto B.V. Control word protection
US10929572B2 (en) * 2017-04-10 2021-02-23 Nyquist Semiconductor Limited Secure data storage device with security function implemented in a data security bridge
EP3506587A1 (en) * 2017-12-29 2019-07-03 Nagravision S.A. Integrated circuit
US11095446B2 (en) * 2018-02-27 2021-08-17 Anchor Labs, Inc. Cryptoasset custodial system with different rules governing access to logically separated cryptoassets and proof-of-stake blockchain support
US20190354970A1 (en) * 2018-05-15 2019-11-21 Decentral Inc. Cryptographic transaction signing devices and methods therefor
US11212084B2 (en) 2018-07-21 2021-12-28 Fundacja “Blockchain Development Foundation” System and a method for signing transactions using air-gapped private keys
US11316832B1 (en) * 2019-01-26 2022-04-26 Analytical Wizards Inc. Computer network data center with reverse firewall and encryption enabled gateway for security against privacy attacks over a multiplexed communication channel
EP3852334B1 (en) * 2020-01-20 2023-06-07 Bitfold AG A system and a method for secure data transfer using air gapping hardware protocol

Also Published As

Publication number Publication date
PL3852334T3 (pl) 2023-08-14
US11687478B2 (en) 2023-06-27
JP2023510002A (ja) 2023-03-10
US20210224212A1 (en) 2021-07-22
WO2021148461A1 (en) 2021-07-29
CN115336230A (zh) 2022-11-11
KR20220149659A (ko) 2022-11-08
IL294727A (en) 2022-09-01
EP3852334A1 (en) 2021-07-21
EP3852334B1 (en) 2023-06-07
CN115336230B (zh) 2024-10-18
EP3852334C0 (en) 2023-06-07
JP7568206B2 (ja) 2024-10-16

Similar Documents

Publication Publication Date Title
US8484486B2 (en) Integrated cryptographic security module for a network node
ES2773950T3 (es) Sistema informático asegurado con autenticación asíncrona
JP6138333B2 (ja) 鍵回復攻撃を妨害する対抗手段としての送信機および受信機のペアリングのためのマスタ鍵暗号化関数
US10873465B2 (en) Control mechanisms for data processing devices
ES2952067T3 (es) Un sistema y un método para la transferencia segura de datos usando el protocolo de hardware de air gapping
US20160119291A1 (en) Secure communication channel with token renewal mechanism
US9208355B1 (en) Apparatus, system and method for providing cryptographic key information with physically unclonable function circuitry
ES2880693T3 (es) Métodos y sistemas para transferir datos de forma segura
US9515823B2 (en) Cryptographic device with detachable data planes
BR102018015221B1 (pt) método para compartilhamento seguro de informações e sistema relacionado
US11985112B2 (en) Securing data in motion by zero knowledge protocol
BR112019013584A2 (pt) Endereçamento de um ambiente de execução confiável usando a chave de assinatura
TWI549020B (zh) 運算裝置、方法與系統
Anderson Securing embedded linux
Shanmugam Securing inter-processor communication in automotive ECUs
US11991147B2 (en) Method and system for securely controlling a remote measurement device
KR102789238B1 (ko) 저전력 모드 동안 IoT 장치의 메모리에 저장된 데이터의 보안
de Boer Secure communication channels for the mTask system
CN119316118A (zh) Fpga位流加密处理方法及装置、电子设备、存储介质
Eshwarappa Dandur et al. Networked Embedded System Security: Technologies, Analysis and Implementation
EX6000 et al. Non-Proprietary Security Policy