Documentação de Conformidade de Interceptação ANSSI R226

Objetivo do Documento: Este documento fornece especificações técnicas necessárias para a autorização ANSSI R226 sob os Artigos R226-3 e R226-7 do Código Penal Francês para o Servidor de Aplicação OmniTAS IMS.

Classificação: Documentação de Conformidade Regulatória

Autoridade Alvo: Agence nationale de la sécurité des systèmes d'information (ANSSI)

Regulamentação: R226 - Proteção da Privacidade da Correspondência e Interceptação Legal

1. ESPECIFICAÇÕES TÉCNICAS DETALHADAS

1.1 Ficha Técnica Comercial

Nome do Produto: Servidor de Aplicação OmniTAS IMS
Tipo de Produto: Servidor de Aplicação de Telecomunicações (TAS)
Função Principal: Processamento de chamadas IMS (IP Multimedia Subsystem) e gerenciamento de sessões
Protocolos de Rede: SIP, Diameter, HTTP/HTTPS, SS7/MAP
Modelo de Implantação: Aplicação de servidor local

Capacidades Principais

Processamento de Chamadas:

Funcionalidade de proxy SIP e B2BUA
Processamento de Critérios de Filtro Inicial IMS (iFC)
Roteamento de sessões e controle de chamadas
Manipulação de chamadas de emergência (roteamento PSAP E.164)
Geração de Registro de Detalhes de Chamadas (CDR)

Interfaces de Rede:

Northbound: Interface IMS S-CSCF (SIP sobre TCP/UDP)
Southbound: Interface SBC/Gateway (trunking SIP)
Diameter: Sh (dados do assinante), Ro (cobrança online)
SS7: Interface de gateway MAP para interconexão HLR/MSC
HTTP/HTTPS: Integração de serviços externos (SMS, TTS, gateway MAP)

Armazenamento e Processamento:

Gerenciamento do estado da sessão em tempo real
Armazenamento e recuperação de CDR
Banco de dados de registro de assinantes (Sofia SIP)
Banco de dados de configuração (SQLite)

1.2 Capacidades de Interceptação

1.2.1 Aquisição de Sinal

Captura de Sinalização SIP:

O OmniTAS processa todas as mensagens de sinalização SIP entre assinantes IMS e redes externas
Acesso total aos cabeçalhos SIP, incluindo:
- Identificação da parte chamadora (From, P-Asserted-Identity)
- Identificação da parte chamada (To, Request-URI)
- URIs de contato e localização da rede
- Informações de roteamento de chamadas
- Descrição da sessão (SDP) incluindo codecs de mídia e pontos finais

Aquisição de Metadados de Chamadas:

Registros de Detalhes de Chamadas (CDR) completos armazenados no banco de dados com:
- Timestamp (tempos de início, resposta, fim)
- Identificadores do chamador e do chamado (MSISDN, IMSI, SIP URI)
- Direção da chamada (origem/terminação móvel)
- Resultado da chamada (respondida, ocupada, falhou, etc.)
- Informações de duração e cobrança
- Dados de localização da rede (informações da torre de celular quando disponíveis)

Interface de Gravação de Sessão (SIPREC):

Suporte ao protocolo SIPREC para interceptação legal
Capacidade de replicar a sinalização SIP para servidores de gravação externos
Políticas de gravação de sessão configuráveis
Controle de Licenciamento: A funcionalidade SIPREC requer autorização de licenciamento explícita
Controle de Acesso: A configuração SIPREC é restrita a administradores autorizados

1.2.2 Capacidades de Processamento de Mídia

Plano de Mídia:

B2BUA com capacidades de retransmissão de mídia RTP
Fluxos RTP passam pelo servidor
Acesso aos fluxos de mídia para fins de interceptação
Análise SDP para informações de ponto final e codec de mídia

Plano de Sinalização:

Análise e decodificação de mensagens SIP
Codificação/decodificação de mensagens Diameter (interfaces Sh, Ro)
Processamento de requisições/respostas HTTP/HTTPS

1.2.3 Capacidades de Análise

Monitoramento de Chamadas em Tempo Real:

Painel da interface web mostrando chamadas ativas com:
- Estado da chamada (tentando, tocando, ativa, encerrada)
- Informações do chamador/chamado
- Duração da chamada
- Informações do codec de mídia
- Pontos finais da rede

Análise Histórica:

Banco de dados CDR consultável por:
- Intervalo de tempo
- Número da parte chamadora/chamada
- Tipo de chamada (voz, emergência, etc.)
- Resultado/disposição da chamada
- Limites de duração

Rastreamento de Assinantes:

Monitoramento de registro ativo
Rastreamento de localização de assinantes via:
- URI de contato de registro IMS
- Cabeçalho P-Access-Network-Info (identificação da torre de celular)
- Informações de endereço IP e porta
Registros de registro históricos

Análise de Rede:

Métricas de volume de chamadas (integração Prometheus)
Status e conectividade do gateway
Conectividade de pares Diameter
Métricas de desempenho do sistema

Para documentação abrangente de métricas: Consulte metrics.md para configuração detalhada de monitoramento, alertas e observabilidade.

Inteligência de Localização:

Integração de banco de dados de torres de celular
Mapeamento de número E.164 para localização geográfica (Plano de Numeração da América do Norte)
Roteamento de serviços de emergência (mapeamento PSAP)

1.3 Capacidades de Contramedidas

1.3.1 Mecanismos de Proteção à Privacidade

Confidencialidade da Comunicação:

Segurança de transporte TLS Diameter
HTTPS para interfaces web e APIs
Criptografia de banco de dados em repouso (configurável)

Controle de Acesso:

Controle de acesso baseado em função (RBAC) para interface web
Hashing de senhas com SHA-512 e salt (65.532 iterações)

Registro de Auditoria:

Rastro de auditoria completo de ações administrativas
Registro de alterações de configuração
Registro de eventos de autenticação
Armazenamento de logs à prova de violação

1.3.2 Recursos Anti-Interceptação

Comunicações Seguras:

TLS obrigatório para interfaces externas (configurável)
Autenticação baseada em certificado
Conjuntos de cifras de Perfeita Segurança em Avanço (PFS)

Proteção de Dados:

Políticas automáticas de retenção de CDR
Capacidades seguras de exclusão de dados
Controles de acesso ao banco de dados
Suporte à segmentação de rede (redes de gerenciamento/sinalização/mídia separadas)

Fortalecimento do Sistema:

Proteção de parâmetros de inicialização
Mecanismos de verificação de integridade
Superfície de ataque mínima (apenas serviços necessários habilitados)

1.4 Arquitetura Técnica para Interceptação Legal

Pontos de Integração de Interceptação Legal

1. Interface SIPREC (Protocolo de Gravação de Sessão - RFC 7866):

2. Interface de Exportação de CDR:

Exportação de CDR para sistemas externos
Formatos padrão (CSV, JSON)
Transferência segura (HTTPS)

3. Acesso Direto ao Banco de Dados:

Credenciais de banco de dados somente leitura para sistemas autorizados
Acesso a consultas SQL às tabelas CDR
Acesso a dados de registro de assinantes
Acesso a logs de auditoria

4. Integração de API:

API RESTful para monitoramento de chamadas
Consultas de chamadas ativas em tempo real
Recuperação histórica de CDR
Status de registro de assinantes

Mecanismos de Gatilho de Interceptação

Interceptação Baseada em Alvo:

Correspondência de identificador de assinante (MSISDN, IMSI, SIP URI)
Regras de interceptação configuráveis na lógica da aplicação
Divisão de sessão SIPREC com base na identidade do chamador/chamado

Interceptação Baseada em Evento:

Detecção e gravação de chamadas de emergência
Monitoramento de número de destino específico
Gatilho baseado em área geográfica (localização da torre de celular)

Interceptação Baseada em Tempo:

Janelas de gravação programadas
Aplicação de períodos de retenção
Expiração automática de mandados de interceptação

2. CAPACIDADES DE CRIPTOGRAFIA E CRIPTOANÁLISE

2.1 Visão Geral das Capacidades Criptográficas

O Servidor de Aplicação OmniTAS IMS implementa mecanismos criptográficos para proteger comunicações e dados sensíveis. Esta seção documenta todas as capacidades criptográficas de acordo com os requisitos da ANSSI.

2.2 Criptografia da Camada de Transporte

2.2.1 Implementação de TLS/SSL

Protocolos Suportados:

TLS 1.2 (RFC 5246)
TLS 1.3 (RFC 8446)
SSL 2.0/3.0: DESABILITADO (vulnerabilidades conhecidas)
TLS 1.0/1.1: DEPRECATED (configurável, desabilitado por padrão)

Conjuntos de Cifras (Lista de Prioridade Configurável):

Preferido - TLS 1.3:

TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256

Suportado - TLS 1.2:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Recursos de Segurança:

Perfeita Segurança em Avanço (PFS) obrigatória
Grupos de Diffie-Hellman fortes (mínimo de 2048 bits)
Criptografia de Curva Elíptica: NIST P-256, P-384, P-521
Suporte a Indicação de Nome do Servidor (SNI)
OCSP stapling para validação de certificados

Gerenciamento de Certificados:

Suporte a certificados X.509
Tamanhos de chave RSA: mínimo de 2048 bits, recomendado 4096 bits
Suporte a ECDSA (P-256, P-384)
Validação de cadeia de certificados
Verificação de revogação CRL e OCSP
Certificados autoassinados (apenas para desenvolvimento)
Integração com CA externa

Aplicações:

HTTPS para acesso à interface web e API
Diameter sobre TLS

2.3 Criptografia de Dados em Repouso

2.3.1 Criptografia de Banco de Dados

Criptografia SQLite:

Suporte à integração SQLCipher
Criptografia AES-256
Armazenamento criptografado para dados sensíveis (CDR, dados de assinantes)

2.3.2 Criptografia do Sistema de Arquivos

Armazenamento de Dados Sensíveis:

Arquivos CDR: criptografia AES-256 (opcional)
Arquivos de configuração: Armazenamento criptografado para credenciais
Chaves privadas: Armazenamentos criptografados (PKCS#12, PEM com senha)
Arquivos de log: Suporte à criptografia para logs arquivados

Armazenamento de Chaves:

Armazenamentos baseados em arquivos com proteção por senha
Mecanismos seguros de rotação de chaves

2.4 Autenticação e Criptografia de Senhas

2.4.1 Hashing de Senhas

Algoritmo: SHA-512 com salt
Configuração:

Salt gerado aleatoriamente (mínimo de 128 bits)
65.532 rodadas de iteração (configurável)
Salt armazenado junto ao hash
Resistente a ataques de tabela arco-íris

Formato de Armazenamento:

$6$rounds=65532$<salt>$<hash>

Aplicações:

Autenticação de usuários da interface web
Geração de tokens de API
Armazenamento de senhas de administradores
Credenciais de usuários do banco de dados

2.4.2 Autenticação por Chave SSH

Tipos de Chave Suportados:

RSA: 1024-4096 bits (mínimo recomendado de 2048 bits)
DSA: 1024-4096 bits (deprecado, RSA preferido)
ECDSA: curvas P-256, P-384, P-521
Ed25519: 256 bits (preferido para novas implantações)

Gerenciamento de Chaves:

Suporte à geração de chaves externas
Importação de chave pública para autenticação de clientes
Gerenciamento de chave de host do servidor
Revogação de chaves individuais
Procedimentos de rotação de chaves

Protocolo SSH:

Somente protocolo SSH-2 (SSH-1 desabilitado)
Algoritmos MAC fortes (HMAC-SHA2-256, HMAC-SHA2-512)
Troca de chaves: curve25519-sha256, ecdh-sha2-nistp256, diffie-hellman-group14-sha256

2.5 Segurança do Protocolo Diameter

2.5.1 Mecanismos de Segurança Diameter

Segurança de Transporte:

TLS sobre TCP para conexões de pares Diameter
Autenticação mútua de certificados

Segurança em Nível de Aplicação:

Autenticação de pares via validação de Origin-Host/Origin-Realm
Configuração de segredo compartilhado (legado, deprecado)
Criptografia AVP (Attribute-Value Pair) para dados sensíveis
Segurança de ponta a ponta com CMS (Cryptographic Message Syntax)

2.6 Mecanismos de Identidade SIP

P-Asserted-Identity:

Aserção de rede confiável
Validação e tradução de identidade
Suporte a cabeçalhos de privacidade

Nota: A autenticação de assinantes é realizada pelo núcleo IMS (P-CSCF/S-CSCF), não pelo TAS.

2.7 Capacidades de Criptoanálise e Avaliação de Segurança

2.7.1 Ferramentas de Análise de Protocolo

Capacidades de Depuração Integradas:

Rastreamento de mensagens SIP com captura completa de cabeçalho/corpo
Registro de mensagens Diameter (decodificação AVP)
Depuração de handshake TLS
Registro de validação de cadeia de certificados

Integração Externa:

Suporte à captura de pacotes Wireshark/tcpdump
Exportação SSLKEYLOGFILE para descriptografia TLS (apenas para desenvolvimento)
Exportação PCAP para análise offline

2.7.2 Considerações de Avaliação de Vulnerabilidades

Fraquezas Criptográficas Conhecidas:

Suporte legado a MD5 em Digest SIP (mantido para compatibilidade)
Conjuntos de cifras fracas configuráveis (desabilitados por padrão)
Suporte a certificados autoassinados (apenas para desenvolvimento/testes)

Testes de Segurança:

Auditorias de segurança regulares recomendadas
Suporte a testes de penetração
Validação da força do conjunto de cifras
Monitoramento de expiração de certificados

2.8 Infraestrutura de Gerenciamento de Chaves

2.8.1 Geração de Chaves

Geração Interna de Chaves:

Geração de chaves RSA: biblioteca OpenSSL (algoritmos compatíveis com FIPS 140-2)
Geração de números aleatórios: /dev/urandom (CSPRNG do kernel Linux)
Fontes de entropia: RNG de hardware, pool de entropia do sistema

2.8.2 Armazenamento e Proteção de Chaves

Armazenamento de Chaves Privadas:

Sistema de arquivos com permissões restritas (0600)
Formato PEM criptografado com senha
Exclusão segura na rotação de chaves

Backup de Chaves:

Procedimentos de backup criptografados
Mecanismos de recuperação de chave dividida
Escrow de chave segura (se exigido pela regulamentação)

2.8.3 Distribuição de Chaves

Distribuição de Certificados:

Importação manual via interface web
Provisionamento automatizado via API
Suporte ao protocolo ACME (Let's Encrypt, aprimoramento futuro)

Distribuição de Chaves Simétricas:

Troca de chaves fora de banda para pares Diameter
Acordo de chaves Diffie-Hellman em TLS
Nenhuma transmissão de chave em texto claro

2.9 Conformidade e Padrões

Conformidade com Padrões Criptográficos:

NIST SP 800-52: diretrizes TLS
NIST SP 800-131A: transições de algoritmos criptográficos
RFC 7525: recomendações TLS
ETSI TS 133 310: segurança da rede IMS
3GPP TS 33.203: segurança de acesso IMS

Regulamentações de Criptografia Francesas:

Declaração de meios criptográficos (se aplicável)
Certificação de produto criptográfico ANSSI (se exigido)
Nenhuma criptografia restrita à exportação (todos os algoritmos padrão)

2.10 Resistência à Criptoanálise

2.10.1 Princípios de Design

Defesa Contra Criptoanálise:

Nenhum algoritmo criptográfico personalizado/proprietário
Apenas algoritmos padrão da indústria, revisados por pares
Atualizações regulares de segurança para bibliotecas criptográficas
Descontinuação de algoritmos fracos

2.10.2 Segurança Operacional

Rotação de Chaves:

Renovação de certificado TLS (anualmente recomendada)
Rotação de chaves de sessão (por sessão para TLS)
Políticas de expiração de senhas (configuráveis)

Monitoramento e Detecção:

Registro de tentativas de autenticação falhadas
Alertas de expiração de certificados
Registro de negociação de conjuntos de cifras
Detecção de anomalias para falhas de criptografia

3. CONTROLE E AUTORIZAÇÃO DE INTERCEPTAÇÃO

3.1 Controle de Acesso para Interceptação Legal

Autorização Administrativa:

Recursos de interceptação legal requerem privilégios de nível administrativo
Acesso à configuração SIPREC: apenas função superadministrador
Acesso a CDR: permissões baseadas em função configuráveis
Registro de auditoria de todas as ações relacionadas à interceptação

Integração com Estrutura Legal:

Rastreamento de mandados de interceptação (integração com sistema externo)
Listas de autorização de identificadores de alvo
Ativação de interceptação com limite de tempo
Desativação automática na expiração do mandado

3.2 Retenção de Dados e Privacidade

Políticas de Retenção:

Retenção de CDR: configurável (padrão de 90 dias, exigência regulatória de 1 ano)
Logs de registro: retenção configurável
Logs de auditoria: retenção mínima de 1 ano
Exclusão automática de dados expirados

Proteções de Privacidade:

Princípio de coleta mínima de dados
Limitação de propósito (prestação de serviços de telecomunicações)
Registro e monitoramento de acesso

3.3 Interfaces de Transferência para Aplicação da Lei

Interfaces Padrão de Interceptação Legal:

Suporte à interface ETSI LI (Interceptação Legal) (via dispositivo de mediação externo)
Integração de gateway SIPREC para LI
Suporte a interfaces X1, X2, X3 (sistema externo)

Formatos de Entrega:

IRI (Informações Relacionadas à Interceptação): metadados CDR
CC (Conteúdo da Comunicação): sinalização SIP + mídia (via MRF)
Relatórios estruturados: formatos XML, JSON

4. SEGURANÇA E INTEGRIDADE DO SISTEMA

4.1 Segurança de Inicialização

Mecanismos de Inicialização Segura:

Proteção de parâmetros de inicialização (requisito ANSSI R226)
Verificação de integridade da configuração
Detecção de violação na inicialização
Carregamento seguro de configuração

4.2 Segurança de Rede

Segurança de Rede:

Portas expostas mínimas (apenas SIP, Diameter, HTTPS)
Controle de acesso baseado em porta
Lista de permissões/bloqueios de IP

4.3 Detecção de Intrusão

Capacidades de Monitoramento:

Monitoramento de autenticações falhadas
Detecção de padrões de chamadas incomuns
Detecção de tráfego Diameter anômalo
Alertas de eventos de segurança (integração SIEM)

5. REFERÊNCIAS DE DOCUMENTAÇÃO

5.1 Manuais Técnicos

Documentação disponível no repositório do projeto:

README.md: Visão geral do sistema, arquitetura e recursos operacionais
doc/deployment_guide.md: Instruções de implantação (se disponível)
doc/configuration.md: Referência de configuração (se disponível)

5.2 Certificações de Segurança

Relatórios de Teste de Penetração: [A serem fornecidos mediante solicitação]
Relatórios de Auditoria de Segurança: [A serem fornecidos mediante solicitação]
Validação de Módulo Criptográfico: Conformidade com OpenSSL FIPS 140-2

5.3 Documentação de Conformidade

Solicitação de Autorização ANSSI R226: Este documento
Conformidade de Interceptação Legal: Conforme exigido pelas regulamentações de telecomunicações francesas

6. INFORMAÇÕES DE CONTATO

Informações do Fornecedor/Operador:

Nome da Empresa: Omnitouch Network Services Pty Ltd
Endereço: PO BOX 296, QUINNS ROCKS WA 6030, AUSTRÁLIA
Pessoa de Contato: Equipe de Conformidade
E-mail: compliance@omnitouch.com.au

Contato de Segurança Técnica:

Nome: Equipe de Conformidade
E-mail: compliance@omnitouch.com.au

Contato Legal/Conformidade:

Nome: Equipe de Conformidade
E-mail: compliance@omnitouch.com.au

APÊNDICES

Apêndice A: Exemplos de Fluxo de Mensagens SIP

A.1 Fluxo de Chamada Móvel Originando com Pontos de Interceptação

Legenda: [INTERCEPTAÇÃO] = Pontos onde dados de interceptação legal são capturados

A.2 Chamada de Emergência com Rastreamento de Localização

A.3 Estabelecimento de Sessão de Gravação SIPREC

Apêndice B: Esquema CDR

O sistema OmniTAS armazena Registros de Detalhes de Chamadas em um banco de dados SQLite (formato CDR do FreeSWITCH) localizado em /etc/freeswitch/db/cdr.db.

B.1 Campos Chave CDR para Interceptação Legal

Nome do Campo	Tipo	Descrição	Relevância para Interceptação
`uuid`	TEXT	Identificador único da chamada	Correlação de sessão
`caller_id_number`	TEXT	Número da parte chamadora (MSISDN)	Identificador primário para rastreamento de alvo
`caller_id_name`	TEXT	Nome de exibição da parte chamadora	Verificação de identidade
`destination_number`	TEXT	Número da parte chamada	Rastreamento de destino alvo
`start_stamp`	DATETIME	Timestamp de início da chamada	Linha do tempo do evento
`answer_stamp`	DATETIME	Timestamp de resposta da chamada	Tempo de estabelecimento da chamada
`end_stamp`	DATETIME	Timestamp de término da chamada	Cálculo da duração da sessão
`duration`	INTEGER	Duração total da chamada (segundos)	Comprimento da sessão
`billsec`	INTEGER	Segundos faturáveis (tempo respondido)	Duração real da conversa
`hangup_cause`	TEXT	Motivo de término da chamada	Análise do resultado da chamada
`sip_hangup_disposition`	TEXT	Detalhes de término SIP	Término em nível de protocolo
`network_addr`	TEXT	Endereço IP da rede	Rastreamento de localização de origem
`sip_from_user`	TEXT	Parte do cabeçalho SIP From	Identidade SIP original
`sip_to_user`	TEXT	Parte do cabeçalho SIP To	Destino SIP
`sip_call_id`	TEXT	Cabeçalho SIP Call-ID	Correlação de sessão SIP

B.2 Exemplos de Consulta CDR para Interceptação Legal

Consultar chamadas por número alvo:

SELECT * FROM cdr
WHERE caller_id_number = '+33612345678'
   OR destination_number = '+33612345678'
ORDER BY start_stamp DESC;

Consultar chamadas dentro de um intervalo de tempo:

SELECT * FROM cdr
WHERE start_stamp BETWEEN '2025-11-01 00:00:00' AND '2025-11-30 23:59:59'
  AND (caller_id_number = '+33612345678' OR destination_number = '+33612345678')
ORDER BY start_stamp DESC;

Exportar para CSV para aplicação da lei:

.mode csv
.output /tmp/interception_report.csv
SELECT caller_id_number, destination_number, start_stamp, end_stamp, duration, hangup_cause
FROM cdr
WHERE caller_id_number = '+33612345678'
ORDER BY start_stamp DESC;
.output stdout

B.3 Acesso à API CDR

O TAS fornece acesso programático via o módulo Tas.Cdr:

# Obter todas as chamadas para um número específico
Tas.Cdr.get_records_by(:caller_id_number, "+33612345678")

# Obter chamadas em intervalo de datas
Tas.Cdr.get_records_by_date_range("2025-11-01 00:00:00", "2025-11-30 23:59:59")

# Pesquisar com filtragem avançada
Tas.Cdr.get_filtered_records(search: "33612345678", limit: 1000)

# Obter estatísticas
Tas.Cdr.get_statistics()

B.4 Retenção de CDR

Retenção padrão: Configurável (tipicamente de 90 dias a 1 ano)
Exclusão automática: Suportada
Exportação manual: Via interface web em /cdr ou API
Formato: Banco de dados SQLite, exportável para CSV/JSON

Apêndice C: Exemplos de Configuração SIPREC

SIPREC (Protocolo de Gravação de Sessão) permite que o OmniTAS envie tanto a sinalização de chamadas quanto a mídia para Servidores de Gravação de Sessão externos para interceptação legal.

C.1 Arquitetura SIPREC

C.2 Gatilho de Gravação SIPREC

A gravação pode ser acionada com base em:

Baseada em alvo:

Número de telefone do chamador (caller_id_number)
Número de telefone chamado (destination_number)
Correspondência de URI SIP

Baseada em evento:

Todas as chamadas de emergência (911, 112, etc.)
Chamadas para/de destinos específicos
Gravação baseada em janela de tempo

Geográfica:

Localização da torre de celular (via cabeçalho P-Access-Network-Info)
Faixas de endereços IP

C.3 Conteúdo da Sessão SIPREC

A sessão SIPREC envia para o SRS:

Metadados de Sinalização:

Cabeçalhos SIP completos (From, To, P-Asserted-Identity)
Call-ID e identificadores de sessão
Timestamps (início, resposta, fim)
Informações do chamador/chamado

Fluxos de Mídia:

Fluxo RTP do participante 1 (áudio do chamador)
Fluxo RTP do participante 2 (áudio do chamado)
Informações do codec
Tons DTMF

C.4 Integração com a Aplicação da Lei

O Servidor de Gravação de Sessão fornece:

Interface X1: Função administrativa (gerenciamento de mandados)
Interface X2: Informações Relacionadas à Interceptação (IRI) - metadados de chamada
Interface X3: Conteúdo da Comunicação (CC) - mídia real

O OmniTAS atua como Cliente de Gravação de Sessão (SRC) e entrega tanto IRI quanto CC ao SRS para transferência à aplicação da lei via interfaces padronizadas.

Apêndice D: Guia de Configuração de Criptografia

D.1 Geração de Certificado

Gerar Certificado TLS:

# Gerar chave privada
openssl genrsa -out server.key 4096

# Gerar solicitação de assinatura de certificado
openssl req -new -key server.key -out server.csr

# Certificado autoassinado (para testes)
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

# Produção: Obter certificado de CA confiável

Nota: A sinalização SIP para/de IMS não utiliza TLS. A comunicação SIP é TCP/UDP não criptografada.

D.2 Configuração HTTPS para Interface Web

API/Servidor Web TLS (config/runtime.exs):

config :api_ex,
  api: %{
    enable_tls: true,
    tls_cert_path: "priv/cert/server.crt",
    tls_key_path: "priv/cert/server.key",
    tls_versions: [:"tlsv1.2", :"tlsv1.3"],
    ciphers: [
      "ECDHE-RSA-AES256-GCM-SHA384",
      "ECDHE-RSA-AES128-GCM-SHA256",
      "TLS_AES_256_GCM_SHA384",
      "TLS_AES_128_GCM_SHA256"
    ]
  }

D.3 Configuração SIP

As interfaces SIP utilizam transporte TCP/UDP não criptografado. Nenhuma configuração TLS é necessária.

Perfil SIP do FreeSWITCH:

<!-- O perfil SIP usa apenas TCP/UDP -->
<profile name="external">
  <settings>
    <param name="sip-port" value="5060"/>
    <param name="context" value="public"/>
  </settings>
</profile>

D.4 Configuração TLS Diameter

TLS para Pares Diameter:

# Habilitar TLS para conexões Diameter
config :diameter_ex,
  peers: [
    %{
      host: "dra.example.com",
      port: 3868,
      transport: :tls,
      tls_opts: [
        certfile: "priv/cert/diameter.crt",
        keyfile: "priv/cert/diameter.key",
        cacertfile: "priv/cert/ca.crt",
        verify: :verify_peer
      ]
    }
  ]

D.5 Criptografia de Banco de Dados

Criptografia SQLite com SQLCipher:

# config/runtime.exs
config :exqlite,
  encryption: true,
  encryption_key: System.get_env("DB_ENCRYPTION_KEY")

Nota: A criptografia do banco de dados é opcional. Para fins de interceptação legal, controles de acesso físico e registro de acesso ao banco de dados podem ser suficientes.

D.6 Configuração de Segurança de Senhas

O hashing de senhas é configurado automaticamente com SHA-512 e salt:

# Configuração padrão de hashing de senhas
config :pbkdf2_elixir,
  rounds: 65_532,
  salt_len: 16

Nenhuma configuração adicional necessária - seguro por padrão.

Apêndice E: Glossário

Órgãos Reguladores e Normativos

ANSSI: Agence nationale de la sécurité des systèmes d'information - Agência Nacional de Cibersegurança da França
ETSI: Instituto Europeu de Normas de Telecomunicações
3GPP: Projeto de Parceria da 3ª Geração - Organização de normas de telecomunicações móveis
IETF: Força-Tarefa de Engenharia da Internet - Órgão de normas da Internet

Componentes da Rede IMS

IMS: IP Multimedia Subsystem - Arquitetura de rede All-IP para serviços multimídia
CSCF: Função de Controle de Sessão de Chamada - Servidor SIP no núcleo IMS
- P-CSCF: Proxy-CSCF - Primeiro ponto de contato para UE, proxy SIP
- I-CSCF: Interrogating-CSCF - Ponto de entrada para a rede do operador
- S-CSCF: Serving-CSCF - Controle de sessão e disparo de serviços
HSS: Home Subscriber Server - Banco de dados de assinantes
TAS: Servidor de Aplicação de Telefonia/Telecomunicações - Execução da lógica de serviço

Protocolos e Sinalização

SIP: Protocolo de Iniciação de Sessão (RFC 3261) - Protocolo de sinalização para chamadas de voz/vídeo
SDP: Protocolo de Descrição de Sessão (RFC 4566) - Parâmetros da sessão de mídia
RTP: Protocolo de Transporte em Tempo Real (RFC 3550) - Transporte de fluxo de mídia
RTCP: Protocolo de Controle RTP - Monitoramento de qualidade para RTP
SRTP: RTP Seguro (RFC 3711) - Fluxos de mídia criptografados
Diameter: Protocolo AAA usado em IMS (autenticação, autorização, contabilidade)
- Sh: Interface Diameter para acesso a dados de assinante
- Ro: Interface Diameter para cobrança online
SIPREC: Protocolo de Gravação de Sessão de Iniciação de Sessão (RFC 7866) - Protocolo de gravação de chamadas

Equipamentos de Telecomunicações

SBC: Controlador de Fronteira de Sessão - Segurança de rede e gateway de mídia
MRF: Função de Recurso de Mídia - Processamento de mídia (transcodificação, mixagem, gravação)
UE: Equipamento do Usuário - Dispositivo ou celular móvel
PSAP: Ponto de Atendimento de Segurança Pública - Central de chamadas de serviços de emergência
DRA: Agente de Roteamento Diameter - Roteamento de mensagens Diameter

Intercepta��ão Legal

LI: Interceptação Legal - Monitoramento legal de telecomunicações
IRI: Informações Relacionadas à Interceptação - Metadados de chamada para aplicação da lei
CC: Conteúdo da Comunicação - Conteúdo de voz/mídia real
SRC: Cliente de Gravação de Sessão - Cliente SIPREC (papel do OmniTAS)
SRS: Servidor de Gravação de Sessão - Servidor SIPREC para armazenamento de gravação
Interface X1: Interface administrativa de LI (provisionamento de mandados)
Interface X2: Interface de LI para entrega de IRI
Interface X3: Interface de LI para entrega de CC
R226: Artigos R226-3 e R226-7 do Código Penal Francês que regulamentam equipamentos de interceptação

Processamento de Chamadas

CDR: Registro de Detalhes de Chamadas - Registro de cobrança e log para cada chamada
B2BUA: Agente de Usuário de Volta a Volta - Elemento SIP que atua como cliente e servidor
DTMF: Multi-Frequência de Duplo Tom - Sinais de toque
MSISDN: Número de Diretório Internacional de Assinante de Estação Móvel - Número de telefone
IMSI: Identidade Internacional de Assinante Móvel - Identificador único de assinante
E.164: Plano de numeração internacional para números de telefone

Segurança e Criptografia

TLS: Seguran��a da Camada de Transporte (RFC 5246, RFC 8446) - Protocolo de criptografia
PFS: Perfeita Segurança em Avanço - Propriedade criptográfica que garante a segurança da chave de sessão
SHA-512: Algoritmo de Hash Seguro com saída de 512 bits
AES: Padrão de Criptografia Avançada
RSA: Rivest-Shamir-Adleman - Algoritmo de criptografia de chave pública
ECDSA: Algoritmo de Assinatura Digital de Curva Elíptica
PKI: Infraestrutura de Chave Pública - Sistema de gerenciamento de certificados
CA: Autoridade Certificadora - Emite certificados digitais
CRL: Lista de Revogação de Certificados
OCSP: Protocolo de Status de Certificado Online

Rede e Localização

MAP: Parte de Aplicação Móvel - Protocolo SS7 para redes móveis
HLR: Registro de Localização do Usuário - Banco de dados de localização de assinantes (legado)
SS7: Sistema de Sinalização Número 7 - Sinalização telefônica legada
NANP: Plano de Numeração da América do Norte
Torre de Celular/ID da Célula: Identificador da estação base da rede móvel para rastreamento de localização

Formatos de Dados e Armazenamento

SQLite: Banco de dados relacional embutido
SQLCipher: Extensão SQLite com suporte à criptografia
CSV: Valores Separados por Vírgula - Formato de exportação
JSON: Notação de Objetos JavaScript - Formato de intercâmbio de dados
XML: Linguagem de Marcação Extensível - Formato de dados estruturados

Componentes de Aplicação

API: Interface de Programação de Aplicações - Acesso programático
UI: Interface do Usuário - Painel de controle baseado na web
RBAC: Controle de Acesso Baseado em Função - Sistema de permissões
UUID: Identificador Único Universal - Rastreamento de sessão

Versão do Documento: 1.0
Data: 2025-11-29
Preparado para: Solicitação de Autorização ANSSI R226
Classificação do Documento: Conformidade Regulatória - Confidencial

1. ESPECIFICAÇÕES TÉCNICAS DETALHADAS​

1.1 Ficha Técnica Comercial​

Capacidades Principais​

1.2 Capacidades de Interceptação​

1.2.1 Aquisição de Sinal​

1.2.2 Capacidades de Processamento de Mídia​

1.2.3 Capacidades de Análise​

1.3 Capacidades de Contramedidas​

1.3.1 Mecanismos de Proteção à Privacidade​

1.3.2 Recursos Anti-Interceptação​

1.4 Arquitetura Técnica para Interceptação Legal​

Pontos de Integração de Interceptação Legal​

Mecanismos de Gatilho de Interceptação​

2. CAPACIDADES DE CRIPTOGRAFIA E CRIPTOANÁLISE​

2.1 Visão Geral das Capacidades Criptográficas​

2.2 Criptografia da Camada de Transporte​

2.2.1 Implementação de TLS/SSL​

2.3 Criptografia de Dados em Repouso​

2.3.1 Criptografia de Banco de Dados​

2.3.2 Criptografia do Sistema de Arquivos​

2.4 Autenticação e Criptografia de Senhas​

2.4.1 Hashing de Senhas​

2.4.2 Autenticação por Chave SSH​

2.5 Segurança do Protocolo Diameter​

2.5.1 Mecanismos de Segurança Diameter​

2.6 Mecanismos de Identidade SIP​

2.7 Capacidades de Criptoanálise e Avaliação de Segurança​

2.7.1 Ferramentas de Análise de Protocolo​

2.7.2 Considerações de Avaliação de Vulnerabilidades​

2.8 Infraestrutura de Gerenciamento de Chaves​

2.8.1 Geração de Chaves​

2.8.2 Armazenamento e Proteção de Chaves​

2.8.3 Distribuição de Chaves​

2.9 Conformidade e Padrões​

2.10 Resistência à Criptoanálise​

2.10.1 Princípios de Design​

2.10.2 Segurança Operacional​

3. CONTROLE E AUTORIZAÇÃO DE INTERCEPTAÇÃO​

3.1 Controle de Acesso para Interceptação Legal​

3.2 Retenção de Dados e Privacidade​

3.3 Interfaces de Transferência para Aplicação da Lei​

4. SEGURANÇA E INTEGRIDADE DO SISTEMA​

4.1 Segurança de Inicialização​

4.2 Segurança de Rede​

4.3 Detecção de Intrusão​

5. REFERÊNCIAS DE DOCUMENTAÇÃO​

5.1 Manuais Técnicos​

5.2 Certificações de Segurança​

5.3 Documentação de Conformidade​

6. INFORMAÇÕES DE CONTATO​

APÊNDICES​

Apêndice A: Exemplos de Fluxo de Mensagens SIP​

A.1 Fluxo de Chamada Móvel Originando com Pontos de Interceptação​

A.2 Chamada de Emergência com Rastreamento de Localização​

A.3 Estabelecimento de Sessão de Gravação SIPREC​

Apêndice B: Esquema CDR​

B.1 Campos Chave CDR para Interceptação Legal​

B.2 Exemplos de Consulta CDR para Interceptação Legal​

B.3 Acesso à API CDR​

B.4 Retenção de CDR​

Apêndice C: Exemplos de Configuração SIPREC​

C.1 Arquitetura SIPREC​

C.2 Gatilho de Gravação SIPREC​

C.3 Conteúdo da Sessão SIPREC​

C.4 Integração com a Aplicação da Lei​

Apêndice D: Guia de Configuração de Criptografia​

D.1 Geração de Certificado​

D.2 Configuração HTTPS para Interface Web​

D.3 Configuração SIP​

D.4 Configuração TLS Diameter​

D.5 Criptografia de Banco de Dados​

D.6 Configuração de Segurança de Senhas​

Apêndice E: Glossário​

Órgãos Reguladores e Normativos​

Componentes da Rede IMS​

Protocolos e Sinalização​

Equipamentos de Telecomunicações​

Intercepta��ão Legal​

Processamento de Chamadas​

Segurança e Criptografia​