- •Н.М. Радько а.Н. Мокроусов
- •Введение
- •Защита информации в сети доступа
- •Методы защиты информации в канале связи
- •Режимы шифрования
- •2.1. Терминология
- •2.2. Электронная кодовая книга
- •2.3. Сцепление блоков по шифротексту
- •2.4. Обратная загрузка шифротекста
- •2.5. Обратная загрузка выходных данных
- •2.6. Шифрование со счётчиком
- •2.7. Вектор инициализации
- •2.8. Накопление ошибок в различных режимах шифрования
- •Криптографическая защита телефонных сообщений
- •3.1. Общие принципы криптографического преобразования телефонных сообщений
- •3.2. Криптографическое преобразование аналоговых телефонных сообщений
- •3.3. Криптографическое преобразование цифровых телефонных сообщений
- •Основы безопасности gsm
- •4.1. Потенциальные (виртуальные) механизмы защиты информации
- •4.1.1. Алгоритмы аутентификации
- •4.1.2. Шифрование
- •4.1.3. Управление ключами
- •4.1.4. Средства защиты идентичности пользователя
- •4.1.5. Архитектура и протоколы
- •4.2. Суровая реальность: вскрытие криптозащиты и клонирование телефонов gsm
- •4.3. Абонентское шифрование – реальная гарантированная защита информации
- •4.4. Акустическое зашумление – защита от негласной активации мобильного телефона
- •Защита информации и беспроводные сети
- •5.2. Уязвимость старых методов защиты
- •5.4. Современные требования к защите
- •Аутентификация
- •Шифрование и целостность
- •5.5. Стандарт 802.11i ратифицирован
- •5.7. Выводы и рекомендации
- •Вопросы обеспечения безопасности корпоративных беспроводных сетей стандарта 802.11. Специфика россии.
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
4.2. Суровая реальность: вскрытие криптозащиты и клонирование телефонов gsm
Как известно, цифровые стандарты сотовой связи второго поколения очень хорошо защищены от прослушивания. Но с течением времени мощность вычислительных средств возрастает, поэтому для обеспечения информационной безопасности разработчикам приходится внедрять новые стандарты. Так, недавно Ассоциация GSM утвердила новый алгоритм шифрования информации, получивший индекс А5/3. Его внедрение поднимет защищенность сотовой связи стандарта GSM на более высокий уровень. Естественно, что новый стандарт был разработан с учетом всех изменений, которые претерпел стандарт GSM за последние годы. Он поддерживает шифрование голоса и данных в сетях GPRS и EDGE (стандарт сотовой связи III поколения). Предполагается, что стандарт А5/3 будет немедленно внедряться в эксплуатацию. Принятие нового стандарта А5/3 еще более остро поставило вопрос о текущей защищенности GSM-сетей. Официально в мире нет оборудования, которое позволяет в реальном режиме времени производить перехват и раскодирование GSM-переговоров. Однако существующие сведения позволяют сомневаться в этой информации. В англоязычном сегменте Интернета ряд компаний предлагает оборудование для перехвата голосового трафика GSM-сетей. Их реклама ведется достаточно открыто, однако на их сайты доступ ограничен простым пользователям. В российском сегменте достаточно часто попадаются записи на электронных досках объявлений о продаже соответствующего оборудования, причем за весьма небольшую сумму. Все это говорит о том, что защищенность GSM-сетей несколько преувеличена.
Напомним, что криптозащита сотовой связи стандарта GSM обеспечивается тремя секретными алгоритмами:
А3 – алгоритм, используемый при аутентификации пользователя, он же защищает его от клонирования;
А5 – алгоритм шифрования голосового трафика, который и обеспечивает защиту телефонных переговоров; до недавнего времени в мире существовало две его версии: А5/1 – усиленный алгоритм, используемый в некоторых странах, А5/2 – его ослабленный аналог;
А8 – алгоритм генерации ключа, который берет результат работы А3 и превращает его в сеансовый ключ А5; алгоритм А5, отвечающий за защиту переговоров от перехвата, реализован на аппаратном уровне в мобильных телефонах и базовых станциях.
В режиме реального времени информация кодируется, затем происходит передача сигнала. После этого в телефоне или базовой станции производится обратный процесс и абонент слышит голос собеседника. Остальные два алгоритма зашиты в SIM-карте. Данная архитектура криптозащиты позволяет заявлять, что GSM-связь надежно защищена не только от прослушивания, но и от клонирования абонентского номера. Самым важным звеном в этой цепочке защиты является алгоритм А5. До определенного времени принципы его работы знало очень ограниченное число людей. Ассоциация GSM не допускала утечек информации по этому вопросу, однако любые секреты рано или поздно перестают быть таковыми. Так, основные детали алгоритма А5 стали известны в 1994 г. Кроме этого, компания British Telecom передала документацию по нему Брэдфордскому университету, забыв заключить соглашение о неразглашении данной информации. И наконец, на одной из конференций в Китае было опубликовано описание алгоритма А5. Таким образом, имеющейся информации стало достаточно для составления достаточно полной картины его функционирования и ученые из Кэмбриджа М. Роэ и Р. Андерсон еще в 1994 г. опубликовали приблизительную криптосхему. После разглашения основных данных алгоритма А5 многие ученые и хакеры начали искать возможность вскрыть сам шифр. И вскоре поступила информация, что защита GSM-переговоров на самом деле не так прочна. Дело в том, что алгоритм А5 реализует поточный шифр на основе трех линейных регистров сдвига с неравномерным движением. Эта схема дает достаточно высокую степень защиты при выборе оптимальных параметров. Так, в GSM сетях используется 64-битный ключ, который обеспечивается тремя регистрами в 19, 22 и 23 бита (что дает в сумме искомые 64 бита). Лобовая атака, использующая определенный алгоритм, улавливающий взаимосвязь между первыми двумя и третьим регистрами, уже дает сложность порядка 240. Кроме этого, алгоритм А5 был подвергнут корреляционному анализу, который позволяет узнать ключ путем использования информации о заполнении регистров. В 1994 г. доктор Саймон Шеферд собирался представить на коллоквиуме IEE всем слушателям свой метод вскрытия, однако в последний момент его выступление было запрещено британской штаб-квартирой правительственной связи. В результате этот доклад вышел только в засекреченном сборнике. Через пару лет уже другие специалисты по криптографии отличились в деле вскрытия алгоритма А5. Например, помимо усовершенствования системы лобовых атак вскоре был описан интересный механизм, основанный на методе “балансировка время-память”. За счет вычислений, которые предшествовали вскрытию ключа, можно было сократить перебор до 222, однако для этого требовалось 64 терабайта дисковой памяти. Несмотря на то, что даже в настоящий момент эта величина выгладит очень большой, стала прослеживаться тенденция к скорому осуществлению задачи.
Действительно, вскоре в сети Интернет появилась информация о вскрытии системы в режиме реального времени. В начале 1999 г. в лаборатории SDA (Smartcard Developer Association) были восстановлены и проверены алгоритмы А5/1 и А5/2. При этом было доказано, что в варианте А5/2 используется специальный регистр длиной 17 бит, управляющий движением информации в первых трех регистрах. При этом простой перебор позволил вскрыть этот шифр за 15 мс работы ПК (сложность 216). Алгоритм А5/1 также не остался в стороне, и вскоре было объявлено, что использование специального метода позволило узнать шифр за секунду на компьютере с оперативной памятью 128 Мб и двумя жесткими дисками по 73 Мб, правда, при условии длительности разговора не менее двух минут. Сейчас эти методы тщательно изучаются различными учеными-криптографами, и выводы будут сделаны чуть позже.
Что касается клонирования, то уже в 1998 г. были продемонстрированы первые результаты возможности клонирования SIM-карты. Этот результат осуществила группа компьютерных экспертов из Калифорнии. Естественно, что представители Ассоциации GSM сразу объявили эти попытки лабораторными и не несущими угрозы GSM-сообществу мира, однако через некоторое время в других странах мира с более либеральным законодательством стали появляться сообщения о демонстрации клонирования SIM-карты. Конечно, Россия также не могла остаться в стороне, и в сети Интернет можно найти информацию об осуществлении таких попыток и даже о реализации незаконного бизнеса на этой почве. Таким образом, утверждение алгоритма А5/3 как нельзя кстати подошло ко времени. Он позволит поднять информационную защиту на несколько порядков. В отличие от прошлых лет разработчики обещают выставить методы работы А5/3 на всеобщее обозрение, чтобы защититься от “проколов”, которые были выявлены в предыдущих алгоритмах.
До сих пор считалось, что телефоны GSM обладают столь надежной защитой, что их нельзя не только прослушать, но и размножить, то есть сделать несколько аппаратов, одновременно пользующихся одним и тем же номером.
SDА и двое исследователей из университета Беркли сообщили, что им удалось клонировать сотовые телефоны стандарта GSM.
Стандарт GSM, разработанный Европейским институтом телекоммуникационных стандартов (European Telecommunications Standard institute), на сегодняшний день является самым распространенным в мире – он используется в 79 млн. сотовых аппаратов, преимущественно в странах Европы и Азии. Возможность взлома защиты GSM еще раз доказывает, что единственная гарантия надежности криптографических алгоритмов – это их абсолютная открытость. Засекреченные системы, использующиеся в GSM и не только, практически неизбежно оказываются уязвимыми. Все тайное рано или поздно становится явным.
Напомним, что зашифрованные данные абонента GSM хранятся в небольшой смарт-карте, которая вставляется в телефон. Без карты, называемой также модулем идентификации пользователя SIM, аппарат представляет собой бесполезную оболочку. Карту, идентифицирующую владельца, можно использовать с любым стандартным телефоном. Обнаруженная “дыра” в безопасности позволяет извлечь секретную информацию из одного SIM и переписать ее в другой, создав точную копию первого телефона. Клонировать телефон, перехватывая информацию в эфире, пока еще нельзя, но SDA не исключает такой возможности в будущем.
Установив, какие именно криптографические методы используются в GSM, SDA привлекла для их изучения двух исследователей из университета Беркли – Дэвида Вагнера и Айана Голдберга. Менее чем за сутки (!) они обнаружили “дыру” в алгоритме COMP128, который используется для защиты информации в SIM. По словам Вагнера, “дыру” давно бы нашли и устранили, если бы алгоритмы были опубликованы.
Какие выводы можно сделать из громкого взлома еще одной защиты? Прежде всего владельцам сотовых телефонов пока не следует особо беспокоиться. Без физического доступа, по крайней мере, на несколько часов, сегодня их аппарат никто не сможет клонировать, однако гарантий на будущее никаких нет. Операторы же сотовых сетей оказываются в очень неприятной ситуации. Хотя существует несколько альтернатив COMP128, сегодня этот протокол поддерживается во всех сетях GSM. Более того, уверенность в защите от клонирования была столь высока, что, по данным SDA, большинство операторов даже не производит проверку на одновременное включение одинаковых телефонов.
Одной из причин, объясняющих, почему разработчики GSM держали в секрете алгоритмы, возможно, является их сотрудничество со службами контроля. Исследователи той же самой SDA обнаружили намеренное ослабление другого шифра – А5, который используется для защиты переговоров от прослушивания. Этот шифр имеет 64-битный ключ, однако реально в нем используются лишь 54 бита, а 10 просто заменены нулями. “Единственная сторона, которая заинтересована в ослаблении защиты, это национальные службы надзора, – сказал директор SDA Марк Брисено, – покупателям нужна секретность переговоров, а операторы не несут дополнительных расходов от использования полноразмерного ключа”.