A figura 20 resume a estrutura de roteamento entre as entidades da ATN. De acordo com essa estrutura, as aplicações da ATN podem ser divididas em duas categorias prin- cipais: aplicações ar/solo (A/S) e aplicações solo/solo (S/S).
Companhia Aérea Controle de tráfego aéreo
Sistema Final Aeronave (AES)
Aplicação Operacional
Aeronave/Aviônica
Airbone – Roteador ATN
Roteador ATN ar/solo Roteador ATN solo/solo Sistema Final (CPDLC, etc.) Console Gerenciamento de contexto ar/solo sub-rede Roteador ATN solo/solo
Console Sistema Final solo/solo
Sub-rede
ICP ATN
Uma das aplicações A/S relevantes para a segurança de comunições na ATN é co- nhecida como Aplicação de Gerenciamento de Contexto (Context Management Appli- cation, CMA). Esta aplicação fornece um mecanismo para o Sistema Final da Aeronave (Airbone End System, AES) se registrar na rede ATN no intuito de se comunicar e utilizar aplicações A/S requeridas ou fornecidos pelo AES.
A implementação de segurança para aplicações S/S empregam soluções similares àquelas encontradas nas comunicações via cabeamento. Como é discutido em detalhes na seção 5.3, as aplicações do tipo A/S, devido a características de seus canais de dados, introduzem novas ameaças na operação segura de uma aeronave.
Os requisitos de segurança apresentados na seção 5.2.1 estabelecem como priori- dade o tratamento de ameaças relacionadas a autenticação dos canais de dados. Con- tudo, a utilização de uma arquitetura baseada em uma ICP, tal como foi proposta, per- mite adicionalmente o serviço de proteção do conteúdo da mensagem trafegada (este serviço decorre trivialmente da manutenção de uma ICP, como foi discutido na seção 2.3). Essa característica adicional se mostrará bastante útil em diversos casos, quando por exemplo, a informação de controle trafegada tem caráter estratégico.
A comunicação entre um AES e uma aplicação A/S em uma Estação de Solo (Ground Station, GS) ocorrerá mediante a execução de um cenário básico apresentado a seguir. Uma aplicação típica deste gênero seria a aplicação de Canal de Comunicação Controlador-Piloto (Controller-Pillot Data Link Communications, CPDLC).
Passo 1 Um AES cria uma Requisição de Entrada de Registro de CPDLC no CM e envia esta ao CMA;
Passo 2 O CMA envia uma Resposta de Registro de Entrada de CPDLC de volta ao AES; Passo 3 O AES e a aplicação CPDLC estabelecem uma chave de sessão secreta;
Passo 4 O AES e a aplicação CPDLC protegem sua troca de mensagens por meio da utilização da chave de sessão secreta.
No cenário proposto, o AES deve manter duas chaves de sessão secreta, uma chave de sessão para o CMA e uma outra para o CPDLC. A primeira delas mantém a comu-
5.3 Considerações finais do capítulo 119
nicação segura com a aplicação de Gerenciamento de Contexto (CM) e a outra é usada para manter segura a comunicação com a aplicação CPDLC.
Atualmente, o gerenciamento de chaves de sessão para as diversas aplicações é realizado pela ICP da ATN, que utiliza os seguintes esquemas criptográficos (ICAO,
2002):
(i) Esquema de encriptação: encriptação assimétrica ou simétrica;
(ii) Esquema de assinatura digital: encriptação assimétrica e função de Hash; (iii) Esquema de código autenticador de mensagem: função de Hash.
5.3 Considerações finais do capítulo
Tradicionalmente a análise de segurança - utilizando aqui o sentido expresso pelo termo internacionalmente reconhecido como safety - está associada ao tratamento de estados que levem a acidentes onde ocorra perdas de ordem humana ou material. Dessa forma, a análise de segurança está mais envolvida com a mitigação dos riscos associados à falhas no âmbito de desenvolvimento e implementação de um projeto. Em contrapar- tida, a segurança - utilizando aqui o sentido do termo reconhecido como security - esta tradicionalmente relacionada ao tratamento de aspectos de acesso a informação, tendo como objetivo principal mitigar os casos em que há risco de acesso indevido dentre outros aspectos. A atual tendência de maior utilização de comunição digital entre ae- ronaves e estações de solo e aeronaves entre si, com consequente migração para ATN, constitui um exemplo nítido de sistema em que os dois conceitos estão fortemente re- lacionados. Nesse caso, falhas no âmbito da informação, representadas aqui por acesso indevido, corrompimento de informação e outras vulnerabilidades discutidas ao longo deste capítulo, podem levar a acidentes. Com isso, os requisitos de safety do sistema devem considerar requisitos de security na implementação de um rede unificada de co- municação aeronáutica.
A forma atual de se alcançar os requisitos de security em telecomunicações aero- náuticas, evitando estados de falha de safety, é a utilização de algoritmos criptográficos clássicos, como discutido nas seções anteriores. Especialmente, a utilização de algorit-
mos criptográficos assimétricos é fundamental para a implementação da Rede de Tele- comunicações Aeronáuticas, ATN, como proposta nas referências discutidas na seção 5.2.2.
Uma questão, entretanto, que se torna extremamente relevante são os resultados apresentados em detalhes no capítulo 3, que apontam para o enfraquecimento dos mé- todos de criptografia atuais em um cenário de disponibilidade de computação quântica. Em contrapartida, a manutenção da segurança do canal de comunicação no ambiente aeronáutico se torna cada vez mais crítica a medida que mais funções de uma aeronave passam a ter dependência de informação digital.
Os resultados obtidos na implementação de protocolos de criptografia quântica apresentados na seção 4.2 permitem considerar a utilização destes como um mecanismo alternativo para se estabelecer comunicação segura entre elementos da ATN. Adicio- nalmente, esta possibilidade apresenta algumas novas propriedades bastante úteis em redes aeronáuticas. A característica de detecção de tentativa de espionagem proporcio- nada pelos protocolos criptográficos quânticos, decorrente do teorema da não clonagem, permitem, ao contrário do que ocorre frequentemente na transmissão clássica de infor- mação, na qual um sinal pode ser interceptado sem detecção, a obtenção de novos meios de tratar as ameaças à segurança da ATN levantadas anteriormente.
No capítulo 6 é apresentada uma proposta de cenários de como as técnicas desen- volvidas na seção 4.1 podem ser utilizadas como mecanismo de segurança no tráfego de informação de redes aeronáuticas, discutindo as principais dificuldades que podem ser encontradas e os desenvolvimentos necessários.
121