sotaСтарый, верный, надежный, добрый, проверенный временем GSM. Эта аббревиатура уже не режет славянское ухо иностранным происхождением. Однако так ли он надежен, как заверяют средства массовой информации, навязчивая реклама операторов сотовой связи и без труда программируемое общественное мнение? Попробуем разобраться с секретами безопасности GSM.

Исторический экскурс

Для начала остановимся на стадиях становления GSM-стандарта. По этому вопросу было написано и опубликовано масса материала, в связи с чем будем в максимальной степени кратки.
В начале 80-х гг. в Европе существовало несколько конкурирующих стандартов аналоговой сотовой связи: AMPS (1983) в основном США; NMT450 (1981) Швеция, Норвегия, Дания, Финляндия; C-Netz (1981, 1988) Германия, Австрия, Португалия и еще несколько локальных национальных сетей. Главные их недочеты — недостаточная ёмкость, высокая цена, незащищённость информации (собственно звонков) и возможность клонирования аппаратов, т.е. создания их нелегальных двойников.
В 1982 этом г. была создана Groupe Speciale Mobile, организация по изучению и прогнозированию будущего европейской системы сотовой связи. В 1985 г. Франция и Германия подписывают в Ницце соглашение о поддержке GSM, т.е. общеевропейского цифрового стандарта, г. через к ним присоединяются Великобритания и Италия, а в Париже создаётся постоянная группа экспертов, ответственная за разработку стандарта — GSM Permanent Nucleus. Совет министров Европы издал директиву с указанием странам-участникам отвести полосу частот в диапазоне 900 МГЦ под новую систему связи, императивно закрепляя GSM Фазу 1.
В 1987 г. были проведены полевые испытания некоторого количества систем на соответствие некоторым из таких условий, так, они включили в себя проверки спектральной эффективности, качества речи и радиоинтерфейса (т.е. модуляции радиосигнала и системы множественного доступа). В том же г. во время совещания в Мадейре было подписано соглашение о том, что новая система будет узкополосной цифровой с временным разделением каналов. Операторам связи было указано на потребность подписания протокола о намерениях (Memorandum of Understanding, MOU). Этот протокол был разработан чиновником британского департамента торговли и промышленности. Аббревиатура GSM стала читаться как Global System for Mobile Communications.
В январе 1992 была запущена I-я сеть GSM в Финляндии. К концу г. в Европе функционировало уже 14 сетей.
В 1993 г. к Ассоциации присоединилась I-я неевропейская компания. В 1995 произведено закрепление спецификации GSM Фазы 2, включающей диапазон 1800 МГЦ. 26 окт. 1999 г. Ассоциация GSM и ETSI снова подписали соглашение о партнерстве. С июня 2002-го г. ответственность за поддержку стандарта взяла на себя 3GPP (3rd Generation Partnership Project).

Защита GSM и ее создание

В принципе, по собственному замыслу, цифровая система мобильной связи GSM весьма могла бы быть очень защищенной. В основе ее лежит свод документов под названием «Меморандум о понимании стандарта GSM» или MOU Groupe Special Mobile standard. Этот Меморандум был подготовлен на излете Прохладной войны по инициативе ведущих телекоммуникационных организаций Западной Европы. Разрабатывал техническую документацию GSM Европ. институт стандартов по телекоммуникациям (ETSI), а в создании схемы безопасности, в целом призванной защитить новую систему от перехвата, прослушивания и мошенничества, активное участие приняли спецслужбы стран НАТО.
Основу системы безопасности GSM составляют 3 секретных алгоритма (официально не раскрытые и поныне, сообщаемые только тем, кому это требуется по потребности — поставщикам оснащения, операторам связи и т.д.):
А3 — алгоритм аутентификации, защищающий телефон от клонирования;
А8 — алгоритм создании криптоключа, по сути дела однонаправленная функция, которая берет фрагмент выхода от A3 и превращает его в сеансовый ключ для A5;
A5 — собственно алгоритм шифровки оцифрованной речи для обеспечения конфиденциальности переговоров. В GSM применяются 2 главные разновидности алгоритма: A5/1 — «мощная» версия шифра для избранных стран и A5/2 — ослабленная для всех прочих.
Сотовые станции (телефоны) оснащены смарт-картой, содержащей A3 и A8, а в самом телефоне есть ASIC-чип с алгоритмом A5. Базовые станции тоже оснащены ASIC- чипом с A5 и «центром аутенитификации», использующим алгоритмы A3-A8 для идентификации сотового абонента и создании сеансового ключа.
Вся эта архитектура при надлежащем исполнении и качественных алгоритмах призвана гарантировать надежную аутентификацию пользователя, обеспечивая защиту сотовых станций от клонирования и остальных методов мошенничества, и качественное шифрование конфиденциальных переговоров. Это и декларируется компаниями, успешно занимающимися разворачиванием GSM по всему миру и уже охватившими услугами связи около 1 млрд. населения планеты. Однако действительность такова, что спецслужбы, занятые защитой правительственных коммуникаций, одновременно вовлечены и в деятельность противоположного рода: перехват и дешифрование коммуникаций в разведывательных целях. Поэтому, как свидетельствуют свидетели, кругом степени защиты GSM бушевали немалые страсти, т.к. спецслужбы стран НАТО имели достаточно разнообразные точки зрения на этот счет. Германия настаивала на сильных алгоритмах, т.к. имела максимально длинную границу с коммунистическим блоком, иные же страны склонялись к ослабленному варианту. В конечном счете в качестве основы криптосхемы для A5 была избрана французская, не наиболее защищенная разработка.

Утечка информации

Как бы строго ни контролировались коммерческие секреты, ясно, что широкое распространение продукции рано или поздно приводит к утечкам информации. В GSM они оказались появляться уже в начале 90-х гг.. К 1994 г. главные детали алгоритма A5 уже были известны. В первую очередь, British Telecom передала всю техническую документацию Брэдфордскому университету, забыв заключить соглашение о неразглашении информации. Во-вторых, описание A5 возникло в материалах одной из конференций в Китае. Одним словом, детали о конструкции алгоритма понемногу оказались просачиваться в печать, и в конечном счете кембриджские исследователи М.Роэ (M.Roe) и Р.Андерсон (P.Andersson) обнародовали восстановленную по этим деталям примерную криптосхему в Интернете .
A5 реализует поточный шифр на основе 3-х линейных регистров сдвига с неравномерным движением. Подобного рода схемы на языке специалистов именуются «криптографией военного уровня» и при верном выборе параметров способны обеспечивать весьма высокую устойчивость шифра. Однако, в А5 длины регистров выбраны весьма короткими — 19, 22 и 23 бита, что в сумме и дает 64-битный сеансовый ключ шифровки в GSM. Уже одни эти укороченные длины регистров дают теоретическую возможность для неплохо известной лобовой атаки, когда перебирают заполнение 2-х I-х регистров (сложность порядка 240), восстанавливая содержимое 3-го регистра по выходной шифрующей последовательности (с общей сложностью порядка 245).
Регистры сдвига в схеме A5 имеют не только лишь короткую длину, однако и слабые прореженные полиномы обратной связи. Это дает шансы на удача еще одной атаке — корреляционному анализу, позволяющему вскрывать ключ по просачивающейся в выход информации о заполнении регистров. В июне 1994 г. доктора Саймон Шеферд (S.Sheffild) из Брэдфордского университета должен был представить на коллоквиуме IEE в Лондоне собственный корреляционный метод вскрытия A5. Однако, в последний миг его выступление было запрещено Штаб-квартирой правительственной связи, английским аналогом американского АНБ. Доклад был сделан только на закрытой секции и опубликован в засекреченном сборнике.
Прошла еще парочка лет, и до анализа A5 дошли руки у сербского криптографа доктора Йована Голича (J.Golich), наиболее, возможно, авторитетного в академических кругах профессионала по поточным шифрам. С чисто теоретических позиций он описал атаку, позволяющую вскрывать стратовые заполнения регистров всего по 64 битам шифрпоследовательности с трудозатратами около 240. Однако, в той же работе Голича был описан и еще 1 способ, небезызвестный в криптоанализе под общим названием «балансировка время-память», позволяющий значительно сокращать время вскрытия за счет интенсивных предвычислений и хранения предварительных данных в памяти. Так, например, возможно было сократить число опробований вариантов ключа всего до 222 , однако для этого требовались 64 терабайта дисковой памяти (64000 Гбайт!!!). Нереально огромная цифра, однако сама идея атаки четко показала способ постепенного выхода на настоящее соотношение параметров.

Клонирование

В апреле 1998 г. группа компьютерных экспертов из Калифорнии широко объявила и показала, что ей удалось клонировать сотовый телефон стандарта GSM. Раньше всеми изначально ожидалось, что цифровые сети GSM намного надежнее защищены от этой напасти, приносящей миллионные потери сетям аналоговой сотовой телефонии.
Возглавлял группу Марк Брисено (M.Briseno), директор «Ассоциации разработчиков смарт-карт» или SDA (Smartcard Developer Association), представляющей интересы разработчиков программного обеспечения для смарт-карт. Избрав собственной целью устойчивость GSM к попыткам клонирования, ученые занялись обратной разработкой модуля SIM. Это именно та смарт-карта, что вставляется в мобильный телефон, содержит алгоритмы A3-A8 и однозначно идентифицирует абонента. В ходе подготовки к работам по вскрытию содержимого чипа, в руки к исследователям неисповедимыми путями попало описание «алгоритма COMP128» — наиболее широко распространенной практической реализации A3-A8 в SIM-модулях. Эта документация помогла более быстро и целиком восстановить всю необходимую информацию о схеме. После этого Брисено пригласил для ее анализа 2-х молодых, однако уже известных криптоаналитиков, аспирантов Калифорнийского университета в Беркли Дэвида Вагнера (D.Vagner) и Иэна Голдберга (J. Goldberg). Тем понадобилось всего несколько часов, чтоб найти в схеме фатальные дыры и разработать способ извлечения из карты тайного содержимого при помощи всего 219 опросов чипа смарт-карты.
Представители консорциума GSM, конечно, тут же же объявили полученные результаты «лабораторными» и не несущими реальной угрозы пользователям сотовой связи, т.к. в США обладание оборудованием для клонирования и публичная практическая демонстрация разработанной атаки являются противозаконными. Однако уже совсем скоро оказались появляться сообщения о демонстрации клонирования телефонов GSM в странах с другим законодательством, в т.ч., в Германии, Италии и Греции. В РФ также времени даром не теряют, наши Кулибины за пояс заткнули заокеанские НИИ в полном составе. В подтверждение процитируем объявление одной отечественной веб-страницы:
«Если Вас интересует, я могу за малую плату в $100 сделать работающую копию Вашей или чужой SIM карточки. Копия почти ничем не отличается от оригинала. Никаких печатных плат, никаких проводов! Карточка маленькая, аккуратная, красивая. Утечка данных исключена. Однако, Вам требуется привезти или прислать Вашу карточку в Москву или Самару. Наши филиалы работают круглосуточно. Процесс займет 15 часов. Вы получите то преимущество, что не будете платить за вторую карточку никакую ежемесячную абонементную плату. Вы можете сделать копию для собственных друзей или родственников. Если Вы договоритесь с человеком, который не платит из своего кармана за каждую мин. диалога, то можете сделать и для себя! Это новейшая технология клонирования SIM карточек …»
Однако «новейшая технология клонирования» — это еще отнюдь не все в арсенале умельцев.

Перехват

Об имеющихся на рынке средствах перехвата и мониторинга GSM (сама возможность этого отрицается официальными представителями MOU) наиболее красноречиво рассказывают реальные объявления в Интернете. В доказательство вновь обратимся к Рунету.
«Система профессионального тестирования и мониторинга GSM
Данное устройство является нашей новейшей разработкой, в которой использованы наиболее передовые технологии вскрытия криптографических алгоритмов A8, A3, A5 и т.д., применяемых в сетях GSM. Используя наше уникальное программное и аппаратное обеспечение, «Система …» будет отслеживать звонки в границах выделенной области, оставаясь подключенной к соединению. Она будет выводить на экран управляющие команды, идущие на телефон и от аппарата, отслеживать речевой канал (голос) и резервный канал (где проходят: SIM — номер модуля идентификации абонента, IMSI — м/н идентификатор абонента мобильной связи, TMSI — непродолжительный идентификатор абонента, SAK- ключ аутентификации абонента, PIN — номер персональной идентификации и иная информация). Процесс декодирования и исполнения всех калькуляций занимает около 2,5 мин., так что длительность телефонного соединения, которое вы отслеживаете, обязана быть по крайней мере подобного же порядка, чтоб устройство мониторинга могло обработать и проверить всю информацию, включая соответствующие значения для программирования нового SIM (т.е. для клонирования GSM-аппарата). Аппаратное и программное обеспечение позволяют отслеживать конкретные номера телефонов. Возможно создавать «файлы регистрации данных» (data log files) для последующего анализа, а аудио-информацию возможно записывать для контроля при помощи звукозаписывающего оснащения (в поставку не входит). В набор поставки входит подробное Руководство и программное обеспечение для Windows или DOS. Эта система разработана для 900 Мгц GSM-сетей. Стоимость — 4500 $. Все заказы оплачиваются ч/з Western Union или трансфером банк-банк.»

Вскрытие A5/2

В начале 1999 г. в ассоциации SDA были целиком восстановлены и проверены на настоящих тестовых векторах криптосхемы алгоритмов A5/1 и A5/2. Обратное восстановление A5/2 подтвердило уже имевшуюся информацию, что в этой схеме добавлен еще 1 короткий регистр длиной 17 бит, управляющий движением бит в прочих 3-х регистрах. Вагнеру и Голдбергу весьма с высокой скоростью удалось показать, что в таких условиях для вскрытия системы довольно лобовым перебором (сложность 216) найти заполнение управляющего регистра. Делается это всего по 2-м фреймам сеанса связи длиной по 114 бит (в системе GSM I-е 2 фрейма шифрпоследовательности известны, т.к. шифруются одни нули). Иначе говоря, вскрытие подобного шифра производится что называется «на лету», за 15 миллисекунд работы персонального компьютера.
Тотально ослабленная защита

1 из членов Smartcard Developer Association, использующий псевдоним «Lucki Green» , не очень давно подвел промежуточный конец собственным изысканиям в области соотношения истинной и декларируемой безопасности системы GSM . Формулировки его звучат вполне задиристо, однако нельзя не согласиться, что у них есть солидное обоснование.
Lucki Green пишет: «Мой опыт работы с GSM показывает, что разведывательные службы, стоящие как видно, за всеми криптоалгоритмами GSM, применяют в собственной работе очень специфический подход. Разведслужбы компрометируют каждой и любой компонент криптосистемы, какой лишь возможно скомпрометировать. Разведслужбы, имея такую возможность, ослабляют компонент просто посему, что могут это сделать, а не поэтому, что им это требуется. Это как бы извращенное воплощение в целом правильного принципа многократной избыточности».
После, в конкретном применении к GSM, Lucki Green перечисляет следующие компрометирующие систему слабости, обнаруженные исследователями SDA:
— Скомпрометирована эффективная длина сеансового ключа. В 64-битном ключе, который A8 генерирует для A5, последние 10 бит обнулены. Это абсолютно умышленное ослабление системы приблизительно в 1000 раз.
— Скомпрометирована система аутентификации и алгоритм создании тайного ключа. Известно, что о слабостях в COMP128, обнаруженных нами в 1998 г., участники GSM MOU были официально уведомлены еще в 1989 г.. Т.е. задолго до широкого распространения GSM. Имеющаяся в MOU «группа экспертов по алгоритмам безопасности» (SAGE), состоящая из людей, фамилии которых неизвестны по сию пору, сохранила в тайне это открытие и не стала информировать о нем даже собственно членов MOU. В итоге всего этого разведслужбы имеют возможность клонировать телефоны и вычислять секретные ключи абонентов именно в процессе сеанса связи.
— Скомпрометирован сильный алгоритм шифровки A5/1. В этом шифре с 64-битным ключом имеются многочисленные конструктивные дефекты, приводящие к стойкости, не превышающей устойчивость шифра с 40-битным ключом (иными словами, устойчивость понижена на 6 порядков или в миллион раз). Непостижимо, как настолько очевидный дефект мог быть упущен французскими военными разработчиками.
— Скомпрометирован более слабый алгоритм шифровки A5/2. Впрочем в MOU признают, что вскрываемость шифра и была целью разработки A5/2, так или иначе в официальных результатах анализа SAGE сказано, что им неизвестно ни о каких криптографических дефектах в A5/2.
Чтоб обеспечить перехват и дешифрование GSM-трафика, было бы довольно скомпрометировать эффективную длину ключа. Было бы довольно скомпрометировать алгоритм создании ключа. Было бы довольно скомпрометировать алгоритм шифровки. Однако спецслужбы сделали все 3 эти вещи. Такое возможно назвать только «неплохо продуманной гарантированно излишней компрометацией».

И, наконец, еще 1 весьма значительный нюанс. Все это шифрование в системе GSM производится лишь на канале м/у мобильным телефоном и основной станцией, т.е. в «эфирной» части передачи. При наличии меры пресечения суда на прослушивание звонков правоохранительные органы постоянно имеют возможность подключиться именно к базовым станциям, где уже нет никакого шифровки. Так что единственной причиной для тотального ослабления криптозащиты оказывается «нелегальный доступ» без каких бы то ни было ордеров и санкций.

Вскрытие A5/1. Пока лишь теоретическое, однако впечатляющее

Наконец, в дек. 1999 г. пришло еще одно известие. Израильские криптографы Ади Шамир (A.Shamir) и Алекс Бирюков (A.Biruckov) разместили статью, в которой описан разработанный ими вполне нетривиальный, однако по теоретическим расчетам весьма эффективный способ вскрытия алгоритма A5/1.
Ади Шамира называют «патриархом израильской криптографии». Еще в 1977 г. совместно с американцами Райвестом и Адлеманом Шамир разработал знаменитую криптосхему с открытым ключом RSA (тут «S» — это Shamir). В 80-е годы, кроме сильных криптоаналитических работ, им разработано несколько криптографических протоколов и криптосхем. В начале 90-х совместно с Эли Бихамом Шамиром разработан способ дифференциального криптоанализа, ставший основой почти всех нынешних методов исследования и вскрытия блочных шифров. Его новая совместная с Бирюковым работа — , вероятно, I-е обращение Шамира к анализу поточных шифров на основе регистров сдвига. Сам он заявляет о разработанном методе вскрытия А5 следующее: «Это очень сложная идея, реализуя которую мы наступаем на массы фронтах, чтоб накопить несколько некрупных достоинств, однако сложенные все вместе они дают огромный выигрыш. Однако статью нашу было нелегко написать. Нелегко ее и читать».
Изложим суть работы в некоторого количества фразах. Новый способ атаки использует тонкие слабости в структуре регистров сдвига, необратимый механизм их движенья, и нередкие перезагрузки регистров, применяемые в GSM. В результате такая атака позволяет отыскивать ключ наименее чем за сек. на персональном компьютере, имеющем 128 Мб RAM и 2 жестких диска по 73 Гб, путем анализа выхода алгоритма на протяжении I-х 2-х мин. телефонного диалога (это вполне щедрое теоретическое допущение, т.к. 2 минутки открытого текста в настоящих условиях получить не так просто). Для успеха атаки требуется поддающаяся и предварительная распараллеливанию подготовка данных, сложность которой может варьироваться от 238 до 248 шагов. Для подтверждения теоретических расчетов авторы на самом деле наименее чем за сек. отыскали 64-битный ключ шифрпоследовательности, порожденной алгоритмом A5/1 в версии SDA (отметим, что факт реальной длины ключа в 54 бита ими не использовался).
Теперь полученные израильскими математиками результаты тщательно изучаются криптографами, однако выводы из всей этой истории очевидны.

«Сейчас мы будем делать по-другому»

Итак, сейчас уже практически все специалисты в области защиты информации сходятся во мнении, что разработка мер безопасности для широко используемых систем в тайне от общественности — в корне порочный путь. Единственный метод гарантировать надежную безопасность — дать возможность проанализировать систему всему сообществу специалистов.
Наиболее отрадно то, что данную истину, похоже, признали и в консорциуме GSM. Джеймс Моран (D.Moran), ведающий сегодня алгоритмами безопасности GSM, заявляет следующее: «Когда эти шифры разрабатывались в 1989 г., широкая публикация алгоритмов не была распространенным подходом. Однако, создаваемые сейчас алгоритмы будут обнародованы для предварительного их изучения».

Последние курьезы

Ошибка при создании роумингово протокола, используемого в мобильных телефонах стандарта GSM, позволяет перехватывать телефонный диалог. Маленькая хитрость — просто заставьте телефон думать, что он где-то в другом месте.
Стандарт GSM наиболее известный стандарт сотовой связи в Европе и Азии. В Америке этот стандарт использует всего около 6.5 млн человек, однако их количество начинает увеличиваться, т.к. стандарт обеспечивает довольно простой роуминг в азиатских и европейских странах. Роуминг и «многоязычность» GSM -ахиллесова пята стандарта. Производители не могут вывозить системы кодирования в отдельные страны, к примеру, подвергшиеся санкциям ООН, по этой причине обычная версия протокола GSM не использует кодирование. «Само по себе это не сложность, — считает Дэвид Вагнер (David Wagner), проф. компьютерных наук Калифорнийского Университета, — однако GSM к тому же не удостоверяет подлинность базовых станций — устройств, обеспечивающих связь с трубками, а это уже потенциально опасно.»
По заключению экспертов, возможно сделать фальшивую базовую станцию, эмитирующую сигнал настоящей станции и заставляющей мобильные телефоны подключаться к нему. Затем подделка, условно говоря, сообщает телефону — «ты в Ираке, не используй кодирование» — и незащищенный сигнал будет проходить м/у фальшивой станцией к настоящей станции и трубке. Поддельная станция располагается посередине м/у настоящей и собственно телефоном, перехватывая их связь, однако при том, ни станция, ни телефон не знают о ее присутствии. Многие ученые опасались подобной ошибки в системе безопасности еще несколько лет тому назад, однако это, по заверениям Вагнера, было «неплохо хранящимся секретом». «Мы знали об этом, как о технической проблеме, однако не увидели причин ее демонстрировать,» — заявил Джеймс Моран (James Moran), директор по безопасности GSM Association. Он прибавил, что создание перехватывающего устройства потребует серьезных технических навыков. Моран заявил, что в следующем стандарте GSM эта сложность будет устранена.
Взлом разных криптографических частей, защищающих GSM-телефоны от прослушивания долгое время был любимым развлечением ученых компьютерной безопасности. Однако применение фальшивой станции избавляет от потребности вообще взламывать кодирование.