Средство криптографической защиты информации «Dcrypt XG» (далее СКЗИ «Dcrypt XG») - это современное решение для защиты высокопроизводительных каналов передачи данных на скорости до 100 Гбит/с в режиме full-duplex.
Ключевая функция безопасности:
Устройство СКЗИ «Dcrypt XG» можно использовать для построения защищенных соединений через открытые каналы передачи данных.
Защищенное соединение может быть установлено между устройствами, которые связаны между собой L1 связностью (темная оптика), L2 связностью (собственные каналы передачи данных или каналы сервис провайдеров) или L3/L4 связностью (каналы передачи данных сервис провайдеров или сеть Интернет). Среда передачи данных может быть построена на базе витой пары, волоконно-оптической кабельной инфраструктуры или беспроводной инфраструктуры.
Шифрование данных осуществляется с использованием отечественного алгоритма ГОСТ 34.12-2015. При шифровании обеспечивается контроль целостности, шифрование данных и защита от воспроизведения сетевого трафика.
Для установления соединения между устройствами используется проприетарный протокол. Защищенное соединение устанавливается на четвертом уровне стандартной сетевой модели по протоколу UDP. Данная реализация позволяет беспрепятственно строить защищенные соединения через устройства, которые осуществляют трансляцию ip-адресов (NAT/PAT/SNAT/DNAT), без дополнительных настроек как на МКСЗ «Diamond Next», так и на стороне стороннего сетевого оборудования.
Для построения защищенного канала используется модель клиент-сервер. Устройство, которое работает в режиме сервера, ожидает подключения. Устройство, которое работает в режиме клиента, инициализирует подключение. Дополнительные временные параметры, которые можно задать при настройке защищенного соединения, позволяют строить защищенные соединения в том числе и в плохой среде передачи данных, такой как спутниковые каналы, каналы 3G и 4G.
При настройке соединения можно задать один из вариантов инкапсуляции, которая будет использоваться при шифровании L2/L3 или L4. В зависимости от варианта инкапсуляции к сетевому трафику будут добавляться заголовки разного размера, что в итоге может влиять как на оптимизацию обработки сетевого трафика, так и на пропускную способность. При шифровании защищается сетевой пакет со всеми исходными полями и заголовками.
При настройке защищенного соединения можно использовать два подхода. Первый подход позволяет выделить каналообразующий трафик от полезной нагрузки. При этом каналообразующий трафик может передаваться между устройствами по независимому каналу передачи данных. Второй подход позволяет передавать как каналообразующий трафик, так и полезную нагрузку по одному каналу передачи данных.
Вносимые задержки, которые появляются при передачи данных через защищенное соединение, составляют не более 0,75 мс.