Краткий исторический экскурс

Для затравки коснемся темы становления GSM-стандарта. По этому вопросу было написано и опубликовано масса материала, в связи с чем будем максимально кратки.
В начале 80-х годов в Европе существовало несколько конкурирующих стандартов аналоговой сотовой связи: AMPS (1983) в основном США; NMT450 (1981) Швеция, Норвегия, Дания, Финляндия; C-Netz (1981, 1988) Германия, Австрия, Португалия и еще несколько локальных национальных сетей. Основные их недостатки – недостаточная ёмкость, высокая стоимость, незащищённость информации (собственно звонков) и возможность клонирования аппаратов, т.е. создания их нелегальных двойников.
В 1982 этом году была создана Groupe Speciale Mobile, организация по изучению и прогнозированию будущего европейской системы сотовой связи. В 1985 году Франция и Германия подписывают в Ницце соглашение о поддержке GSM, т.е. общеевропейского цифрового стандарта, год спустя к ним присоединяются Великобритания и Италия, а в Париже создаётся постоянная группа экспертов, ответственная за разработку стандарта - GSM Permanent Nucleus. Совет министров Европы издал директиву с указанием странам-участникам отвести полосу частот в диапазоне 900 МГц под новую систему связи, императивно закрепляя GSM Фазу 1.
В 1987 году были проведены полевые испытания нескольких систем на соответствие некоторым из этих условий, так, они включили в себя проверки спектральной эффективности, качества речи и радиоинтерфейса (т.е. модуляции радиосигнала и системы множественного доступа). В том же году на совещании в Мадейре было подписано соглашение о том, что новая система будет узкополосной цифровой с временным разделением каналов. Операторам связи было указано на необходимость подписания протокола о намерениях (Memorandum of Understanding, MoU). Этот протокол был разработан чиновником британского департамента торговли и промышленности. Аббревиатура GSM стала читаться как Global System for Mobile Communications.
В январе 1992 была запущена первая сеть GSM в Финляндии. К концу года в Европе функционировало уже 14 сетей.
В 1993 году к Ассоциации присоединилась первая неевропейская компания. В 1995 произведено закрепление спецификации GSM Фазы 2, включающей диапазон 1800 МГц. 26 октября 1999 года Ассоциация GSM и ETSI заново подписали соглашение о сотрудничестве. С июня 2002-го года ответственность за поддержку стандарта взяла на себя 3GPP (3rd Generation Partnership Project).

Защита GSM и ее создание

В принципе, по своему замыслу, цифровая система мобильной связи GSM вполне могла бы быть чрезвычайно защищенной. В основе ее лежит свод документов под названием "Меморандум о понимании стандарта GSM" или MoU Groupe Special Mobile standard. Этот Меморандум был подготовлен на излете Холодной войны по инициативе ведущих телекоммуникационных компаний Западной Европы. Разрабатывал техническую документацию GSM Европейский институт стандартов по телекоммуникациям (ETSI), а в создании схемы безопасности, в целом призванной защитить новую систему от перехвата, прослушивания и мошенничества, активное участие приняли спецслужбы стран НАТО.
Основу системы безопасности GSM составляют три секретных алгоритма (официально не раскрытые и поныне, сообщаемые лишь тем, кому это требуется по необходимости - поставщикам оборудования, операторам связи и т.д.):
А3 - алгоритм аутентификации, защищающий телефон от клонирования;
А8 - алгоритм генерации криптоключа, по сути дела однонаправленная функция, которая берет фрагмент выхода от A3 и превращает его в сеансовый ключ для A5;
A5 - собственно алгоритм шифрования оцифрованной речи для обеспечения конфиденциальности переговоров. В GSM используются две основные разновидности алгоритма: A5/1 - "сильная" версия шифра для избранных стран и A5/2 - ослабленная для всех остальных.
Мобильные станции (телефоны) снабжены смарт-картой, содержащей A3 и A8, а в самом телефоне имеется ASIC-чип с алгоритмом A5. Базовые станции также снабжены ASIC- чипом с A5 и "центром аутенитификации", использующим алгоритмы A3-A8 для идентификации мобильного абонента и генерации сеансового ключа.
Вся эта архитектура при надлежащем исполнении и качественных алгоритмах призвана гарантировать надежную аутентификацию пользователя, обеспечивая защиту мобильных станций от клонирования и прочих методов мошенничества, а также качественное шифрование конфиденциальных переговоров. Именно это и декларируется компаниями, успешно занимающимися разворачиванием GSM по всему миру и уже охватившими услугами связи около 1 миллиарда населения планеты. Но реальность такова, что спецслужбы, занятые защитой правительственных коммуникаций, одновременно вовлечены и в деятельность противоположного рода: перехват и дешифрование коммуникаций в разведывательных целях. По этой причине, как свидетельствуют очевидцы, вокруг степени защиты GSM бушевали немалые страсти, поскольку спецслужбы стран НАТО имели довольно разные точки зрения на этот счет. Германия настаивала на сильных алгоритмах, поскольку имела самую длинную границу с коммунистическим блоком, другие же страны склонялись к ослабленному варианту. В конце концов в качестве основы криптосхемы для A5 была избрана французская, не самая защищенная разработка.

Утечка информации

Как бы строго ни контролировались коммерческие секреты, понятно, что широкое распространение продукции рано или поздно приводит к утечкам информации. В GSM они стали появляться уже в начале 90-х годов. К 1994 году основные детали алгоритма A5 уже были известны. Во-первых, British Telecom передала всю техническую документацию Брэдфордскому университету, забыв заключить соглашение о неразглашении информации. Во-вторых, описание A5 появилось в материалах одной из конференций в Китае. Короче говоря, детали о конструкции алгоритма понемногу стали просачиваться в печать, и в конце концов кембриджские ученые М.Роэ (M.Roe) и Р.Андерсон (P.Andersson) опубликовали восстановленную по этим деталям примерную криптосхему в Интернете .
A5 реализует поточный шифр на основе трех линейных регистров сдвига с неравномерным движением. Такого рода схемы на языке специалистов именуются "криптографией военного уровня" и при верном выборе параметров способны обеспечивать очень высокую стойкость шифра. Однако, в А5 длины регистров выбраны очень короткими - 19, 22 и 23 бита, что в сумме и дает 64-битный сеансовый ключ шифрования в GSM. Уже одни эти укороченные длины регистров дают теоретическую возможность для хорошо известной лобовой атаки, когда перебирают заполнение двух первых регистров (сложность порядка 240), восстанавливая содержимое третьего регистра по выходной шифрующей последовательности (с общей сложностью порядка 245).
Регистры сдвига в схеме A5 имеют не только короткую длину, но и слабые прореженные полиномы обратной связи. Это дает шансы на успех еще одной атаке - корреляционному анализу, позволяющему вскрывать ключ по просачивающейся в выход информации о заполнении регистров. В июне 1994 года доктора Саймон Шеферд (S.Sheffild) из Брэдфордского университета должен был представить на коллоквиуме IEE в Лондоне свой корреляционный способ вскрытия A5. Однако, в последний момент его выступление было запрещено Штаб-квартирой правительственной связи, британским аналогом американского АНБ. Доклад был сделан лишь на закрытой секции и опубликован в засекреченном сборнике.
Прошла еще пара лет, и до анализа A5 дошли руки у сербского криптографа доктора Йована Голича (J.Golich), наиболее, вероятно, авторитетного в академических кругах специалиста по поточным шифрам. С чисто теоретических позиций он описал атаку, позволяющую вскрывать начальные заполнения регистров всего по 64 битам шифрпоследовательности с трудозатратами около 240. Однако, в той же работе Голича был описан и еще один метод, известный в криптоанализе под общим названием "балансировка время-память", позволяющий существенно сокращать время вскрытия за счет интенсивных предвычислений и хранения предварительных данных в памяти. Так, к примеру, можно было сократить количество опробований вариантов ключа всего до 222 , но для этого требовались 64 терабайта дисковой памяти (64000 Гбайт!!!). Невозможно огромная цифра, но сама идея атаки четко продемонстрировала метод постепенного выхода на реальное соотношение параметров.

Клонирование

В апреле 1998 г. группа компьютерных экспертов из Калифорнии широко объявила и продемонстрировала, что ей удалось клонировать мобильный телефон стандарта GSM. Ранее всеми по умолчанию предполагалось, что цифровые сети GSM гораздо надежнее защищены от этой напасти, приносящей миллионные убытки сетям аналоговой сотовой телефонии.
Возглавлял группу Марк Брисено (M.Briseno), директор "Ассоциации разработчиков смарт-карт" или SDA (Smartcard Developer Association), представляющей интересы разработчиков программного обеспечения для смарт-карт. Избрав своей целью стойкость GSM к попыткам клонирования, исследователи занялись обратной разработкой модуля SIM. Это та самая смарт-карта, что вставляется в сотовый телефон, содержит алгоритмы A3-A8 и однозначно идентифицирует абонента. В процессе подготовки к работам по вскрытию содержимого чипа, в руки к исследователям неисповедимыми путями попало описание "алгоритма COMP128" - наиболее широко распространенной практической реализации A3-A8 в SIM-модулях. Эта документация помогла быстрее и полностью восстановить всю необходимую информацию о схеме. После этого Брисено пригласил для ее анализа двух молодых, но уже известных криптоаналитиков, аспирантов Калифорнийского университета в Беркли Дэвида Вагнера (D.Vagner) и Иэна Голдберга (J. Goldberg). Тем понадобилось всего несколько часов, чтобы отыскать в схеме фатальные прорехи и разработать метод извлечения из карты секретного содержимого с помощью всего 219 опросов чипа смарт-карты.
Представители консорциума GSM, естественно, сразу же объявили полученные результаты "лабораторными" и не несущими реальной угрозы пользователям сотовой связи, поскольку в США обладание оборудованием для клонирования и публичная практическая демонстрация разработанной атаки являются противозаконными. Но уже очень скоро стали появляться сообщения о демонстрации клонирования телефонов GSM в странах с иным законодательством, в частности, в Германии, Италии и Греции. В России тоже времени даром не теряют, наши Кулибины за пояс заткнули заокеанские НИИ в полном составе. В подтверждение процитируем объявление одной российской веб-страницы:
"Если Вас интересует, я могу за небольшую плату в $100 сделать работающую копию Вашей или чужой SIM карточки. Копия практически ничем не отличается от оригинала. Никаких печатных плат, никаких проводов! Карточка маленькая, аккуратная, красивая. Утечка данных исключена. Однако, Вам необходимо привезти или прислать Вашу карточку в Москву или Самару. Наши филиалы работают круглосуточно. Процесс займет 15 часов. Вы получите то преимущество, что не будете платить за вторую карточку никакую ежемесячную абонементную плату. Вы можете сделать копию для своих друзей или родственников. Если Вы договоритесь с человеком, который не платит из собственного кармана за каждую минуту разговора, то можете сделать и для себя! Это новейшая технология клонирования SIM карточек ..."
Но "новейшая технология клонирования" - это еще далеко не все в арсенале умельцев.

Перехват

Об имеющихся на рынке средствах перехвата и мониторинга GSM (сама возможность этого отрицается официальными представителями MoU) наиболее красноречиво рассказывают реальные объявления в Интернете. В доказательство снова обратимся к Рунету.
"Система профессионального тестирования и мониторинга GSM
Данное устройство является нашей новейшей разработкой, в которой использованы наиболее передовые технологии вскрытия криптографических алгоритмов A8, A3, A5 и т.д., применяемых в сетях GSM. Используя наше уникальное аппаратное и программное обеспечение, "Система ..." будет отслеживать звонки в границах выделенной области, оставаясь подключенной к соединению. Она будет выводить на дисплей управляющие команды, идущие на телефон и от телефона, отслеживать речевой канал (голос) и резервный канал (где проходят: SIM - номер модуля идентификации абонента, IMSI - международный идентификатор абонента мобильной связи, TMSI - временный идентификатор абонента, SAK- ключ аутентификации абонента, PIN - номер персональной идентификации и другая информация). Процесс декодирования и выполнения всех калькуляций занимает около 2,5 минут, так что длительность телефонного соединения, которое вы отслеживаете, должна быть по крайней мере такого же порядка, чтобы устройство мониторинга могло обработать и проверить всю информацию, включая соответствующие значения для программирования нового SIM (т.е. для клонирования GSM-телефона). Программное и аппаратное обеспечение позволяют отслеживать конкретные номера телефонов. Можно создавать "файлы регистрации данных" (data log files) для последующего анализа, а аудио-информацию можно записывать для контроля с помощью звукозаписывающего оборудования (в поставку не входит). В комплект поставки входит подробное Руководство и программное обеспечение для Windows или DOS. Данная система разработана для 900 Мгц GSM-сетей. Цена - 4500 долларов. Все заказы оплачиваются через Western Union или трансфером банк-банк."

Вскрытие A5/2

В начале 1999 года в ассоциации SDA были полностью восстановлены и проверены на реальных тестовых векторах криптосхемы алгоритмов A5/1 и A5/2. Обратное восстановление A5/2 подтвердило уже имевшуюся информацию, что в этой схеме добавлен еще один короткий регистр длиной 17 бит, управляющий движением бит в остальных трех регистрах. Вагнеру и Голдбергу очень быстро удалось продемонстрировать, что в этих условиях для вскрытия системы достаточно лобовым перебором (сложность 216) отыскать заполнение управляющего регистра. Делается это всего по двум фреймам сеанса связи длиной по 114 бит (в системе GSM первые два фрейма шифрпоследовательности известны, поскольку шифруются одни нули). Другими словами, вскрытие такого шифра осуществляется что называется "на лету", за 15 миллисекунд работы персонального компьютера.

Тотально ослабленная защита

Один из членов Smartcard Developer Association, использующий псевдоним "Lucki Green" , недавно подвел промежуточный итог своим изысканиям в области соотношения декларируемой и истинной безопасности системы GSM . Формулировки его звучат весьма задиристо, но нельзя не согласиться, что у них имеется солидное обоснование.
Lucki Green пишет: "Мой опыт работы с GSM показывает, что разведывательные службы, стоящие как известно, за всеми криптоалгоритмами GSM, используют в своей работе весьма специфический подход. Разведслужбы компрометируют любой и каждый компонент криптосистемы, какой только можно скомпрометировать. Разведслужбы, имея такую возможность, ослабляют компонент просто потому, что могут это сделать, а не потому, что им это нужно. Это как бы извращенное воплощение в целом правильного принципа многократной избыточности".
Затем, в конкретном применении к GSM, Lucki Green перечисляет следующие компрометирующие систему слабости, обнаруженные исследователями SDA:
- Скомпрометирована эффективная длина сеансового ключа. В 64-битном ключе, который A8 генерирует для A5, последние 10 бит обнулены. Это совершенно умышленное ослабление системы примерно в 1000 раз.
- Скомпрометирована система аутентификации и алгоритм генерации секретного ключа. Известно, что о слабостях в COMP128, обнаруженных нами в 1998 году, участники GSM MoU были официально уведомлены еще в 1989 году. То есть задолго до широкого распространения GSM. Имеющаяся в MoU "группа экспертов по алгоритмам безопасности" (SAGE), состоящая из людей, фамилии которых неизвестны по сию пору, сохранила в тайне это открытие и не стала информировать о нем даже собственно членов MoU. В результате всего этого разведслужбы имеют возможность клонировать телефоны и вычислять секретные ключи абонентов непосредственно в ходе сеанса связи.
- Скомпрометирован сильный алгоритм шифрования A5/1. В этом шифре с 64-битным ключом имеются многочисленные конструктивные дефекты, приводящие к стойкости, не превышающей стойкость шифра с 40-битным ключом (другими словами, стойкость понижена на 6 порядков или в миллион раз). Непостижимо, каким образом столь очевидный дефект мог быть упущен французскими военными разработчиками.
- Скомпрометирован более слабый алгоритм шифрования A5/2. Хотя в MoU признают, что вскрываемость шифра и была целью разработки A5/2, тем не менее в официальных результатах анализа SAGE сказано, что им неизвестно ни о каких криптографических дефектах в A5/2.
Чтобы обеспечить перехват и дешифрование GSM-трафика, было бы достаточно скомпрометировать эффективную длину ключа. Было бы достаточно скомпрометировать алгоритм генерации ключа. Было бы достаточно скомпрометировать алгоритм шифрования. Но спецслужбы сделали все три эти вещи. Такое можно назвать лишь "хорошо продуманной гарантированно избыточной компрометацией".

И, наконец, еще один очень существенный нюанс. Все это шифрование в системе GSM осуществляется только на канале между мобильным телефоном и базовой станцией, то есть в "эфирной" части передачи. При наличии санкции суда на прослушивание звонков правоохранительные органы всегда имеют возможность подключиться непосредственно к базовым станциям, где уже нет никакого шифрования. Так что единственной причиной для тотального ослабления криптозащиты оказывается "нелегальный доступ" без каких бы то ни было ордеров и санкций.

Вскрытие A5/1. Пока только теоретическое, но впечатляющее

Наконец, в декабре 1999 года пришло еще одно известие. Израильские криптографы Ади Шамир (A.Shamir) и Алекс Бирюков (A.Biruckov) опубликовали статью, в которой описан разработанный ими весьма нетривиальный, но по теоретическим расчетам очень эффективный метод вскрытия алгоритма A5/1.
Ади Шамира называют "патриархом израильской криптографии". Еще в 1977 году совместно с американцами Райвестом и Адлеманом Шамир разработал знаменитую криптосхему с открытым ключом RSA (здесь "S" - это Shamir). В 80-е годы, помимо сильных криптоаналитических работ, им разработано несколько криптографических протоколов и криптосхем. В начале 90-х совместно с Эли Бихамом Шамиром разработан метод дифференциального криптоанализа, ставший основой практически всех современных методов исследования и вскрытия блочных шифров. Его новая совместная с Бирюковым работа - это, возможно, первое обращение Шамира к анализу поточных шифров на основе регистров сдвига. Сам он говорит о разработанном методе вскрытия А5 следующее: "Это весьма сложная идея, реализуя которую мы наступаем на многих фронтах, чтобы накопить несколько небольших преимуществ, но сложенные все вместе они дают большой выигрыш. Но статью нашу было нелегко написать. Нелегко ее и читать".
Изложим суть работы в нескольких фразах. Новый метод атаки использует тонкие слабости в структуре регистров сдвига, необратимый механизм их движения, а также частые перезагрузки регистров, применяемые в GSM. В итоге такая атака позволяет отыскивать ключ менее чем за секунду на персональном компьютере, имеющем 128 Мб RAM и два жестких диска по 73 Гб, путем анализа выхода алгоритма в течение первых двух минут телефонного разговора (это весьма щедрое теоретическое допущение, поскольку две минуты открытого текста в реальных условиях получить не так просто). Для успеха атаки требуется предварительная и поддающаяся распараллеливанию подготовка данных, сложность которой может варьироваться от 238 до 248 шагов. Для подтверждения теоретических расчетов авторы действительно менее чем за секунду нашли 64-битный ключ шифрпоследовательности, порожденной алгоритмом A5/1 в версии SDA (отметим, что факт реальной длины ключа в 54 бита ими не использовался).
Сейчас полученные израильскими математиками результаты тщательно изучаются криптографами, но выводы из всей этой истории очевидны.

"Теперь мы будем делать по-другому"

Итак, ныне уже почти все эксперты в области защиты информации сходятся во мнении, что разработка мер безопасности для широко используемых систем в тайне от общественности - это в корне порочный путь. Единственный способ гарантировать надежную безопасность - это дать возможность проанализировать систему всему сообществу специалистов.
Наиболее отрадно то, что данную истину, похоже, признали и в консорциуме GSM. Джеймс Моран (D.Moran), ведающий сейчас алгоритмами безопасности GSM, говорит следующее: "Когда эти шифры разрабатывались в 1989 году, широкая публикация алгоритмов не была распространенным подходом. Однако, создаваемые ныне алгоритмы будут опубликованы для предварительного их изучения".

Последние курьезы

Ошибка при разработке роумингово протокола, используемого в сотовых телефонах стандарта GSM, позволяет перехватывать телефонный разговор. Маленькая хитрость - просто заставьте телефон думать, что он где-то в другом месте.
Стандарт GSM самый популярный стандарт сотовой связи в Европе и Азии. В Америке этот стандарт использует всего около 6.5 млн человек, но их число начинает увеличиваться, поскольку стандарт обеспечивает достаточно простой роуминг в азиатских и европейских странах. Роуминг и «многоязычность» GSM –ахиллесова пята стандарта. Производители не могут экспортировать системы кодирования в некоторые страны, например, подвергшиеся санкциям ООН, поэтому обычная версия протокола GSM не использует кодирование. "Само по себе это не проблема, -- считает Дэвид Вагнер (David Wagner), профессор компьютерных наук Калифорнийского Университета, -- но GSM также не удостоверяет подлинность базовых станций -- устройств, обеспечивающих связь с трубками, а это уже потенциально опасно."
По мнению экспертов, можно сделать фальшивую базовую станцию, эмитирующую сигнал настоящей станции и заставляющей сотовые телефоны подключаться к нему. После чего подделка, условно говоря, сообщает телефону -- "ты в Ираке, не используй кодирование" -- и незащищенный сигнал будет проходить между фальшивой станцией к настоящей станции и трубке. Поддельная станция находится посередине между настоящей и собственно телефоном, перехватывая их связь, но при этом, ни станция, ни телефон не знают о ее присутствии. Многие исследователи опасались подобной ошибки в системе безопасности еще несколько лет назад, но это, по словам Вагнера, было "хорошо хранящимся секретом". "Мы знали об этом, как о технической проблеме, но не видели причин ее демонстрировать," -- сказал Джеймс Моран (James Moran), директор по безопасности GSM Association. Он добавил, что создание перехватывающего устройства потребует серьезных технических навыков. Моран сказал, что в следующем стандарте GSM эта проблема будет устранена.
Взлом различных криптографических частей, защищающих GSM-телефоны от прослушивания долгое время был любимым развлечением исследователей компьютерной безопасности. Однако использование фальшивой станции избавляет от необходимости вообще взламывать кодирование.

Вместо заключения

Данный материал не является руководством к действию. Мы решили рассказать вам этот захватывающий детектив лишь с одной только целью – будьте бдительны.

Источник: http://mcby.cphost.ru