БАРСУКОВ Вячеслав Сергеевич, кандидат технических наук
БЕЗОПАСНОСТЬ GSM: РЕАЛЬНАЯ ИЛИ ВИРТУАЛЬНАЯ?
Как свидетельствует мировая статистика, уровень потерь операторов мобильной связи от разного рода мошенничества и вредительства составляет 2 – 6% от общего объема трафика, а по данным самих компаний он может доходить до 25%. Причем атаки мошенников направлены как против операторов, так и против абонентов. Решение проблемы обеспечения безопасности в российских сетях связи осложняется широким использованием технических средств зарубежного производства, что создает возможность реализации недекларируемых поставщиками возможностей.
Подсчитано, что из-за мошенничества отрасль мобильной связи во всем мире теряет ежегодно около 25 млрд. долларов, по информации от МГТС (Московской городской телефонной сети) ущерб только по Москве оценивается в пределах 3 – 5 млн. руб. в месяц. Ежегодные убытки операторов сотовой связи в Великобритании, Испании, Германии исчисляются миллионами евро. К сожалению, российские операторы не публикуют подобную статистику. Но масштаб цифр недополученных операторами платежей в Европе и мире впечатляет. Поэтому вопросы обеспечения безопасности информации в сетях GSM (Groupe Speciale Mobile) являются в настоящее время весьма актуальными и требуют к себе постоянного внимания и анализа.
Необходимо признать, что обеспечение безопасности первых аналоговых мобильных сетей было на очень низком уровне. По мере перехода от аналоговых к цифровым системам GSM и DAMPS механизм обеспечения безопасности информации совершенствовался, что позволило разработчикам заявлять о невозможности перехвата информации и клонирования современных мобильных телефонов. В данной статье предпринята попытка анализа потенциальной (виртуальной) безопасности, декларируемой разработчиками, и реальной безопасности, определяемой современными возможностями “противника”.
Потенциальные (виртуальные) механизмы защиты информации
Алгоритмы аутентификации
Прежде всего рассмотрим использование пароля – PIN-кода – одного из наиболее простых методов аутентификации. Он дает очень низкий уровень защиты в условиях использования радиосвязи. Достаточно услышать этот персональный код всего лишь один раз, чтобы обойти средства защиты. В действительности GSM использует PIN-код в сочетании с SIM (Subscriber Identify Module): данный PIN-код проверяется на месте самим SIM без передачи в эфир. Помимо него GSM использует более сложный метод, который состоит в использовании случайного числа (от 0 до 2128 – 1), на которое может ответить только соответствующее абонентское оборудование (в данном случае – SIM). Суть этого метода в том, что существует огромное множество подобных чисел и поэтому маловероятно, что оно будет использовано дважды. Ответ, который называется SRES (Signed RESult – подписанный результат), получают в форме итога вычисления, включающего секретный параметр, принадлежащий данному пользователю, который называется Ki (рис. 1).
Секретность Ki является краеугольным камнем, положенным в основу всех механизмов безопасности, – свой собственный Ki не может знать даже абонент. Алгоритм, описывающий порядок вычисления, называется алгоритмом A3. Как правило, такой алгоритм хранится в секрете (лишние меры предосторожности никогда не помешают!).
Для того чтобы достигнуть требуемого уровня безопасности, алгоритм A3 должен быть однонаправленной функцией, как ее называют эксперты-криптографы. Это означает, что вычисление SRES при известных Ki и RAND должно быть простым, а обратное действие – вычисление Ki при известных RAND и SRES – должно быть максимально затруднено. Безусловно, именно это и определяет в конечном итоге уровень безопасности. Значение, вычисляемое по алгоритму A3, должно иметь длину 32 бита. Ki может иметь любой формат и длину.
Рис. 1. Блок-схема вычисления аутентификации
Шифрование
Криптографические методы дают возможность с помощью относительно простых средств добиться высокого уровня безопасности. В GSM используются единые методы для защиты всех данных, будь то пользовательская информация: передача сигналов, связанных с пользователем (например, сообщений, в которых содержатся номера вызываемых телефонов), или даже передача системных сигналов (например, сообщений, содержащих результаты радиоизмерений для подготовки к передаче). Необходимо различать только два случая: либо связь оказывается защищенной (тогда всю информацию можно отправлять в зашифрованном виде), либо связь является незащищенной (тогда вся информация отправляется в виде незашифрованной цифровой последовательности).
Как шифрование, так и дешифрование производятся с применением операции “исключающее или” к 114 “кодированным” битам радиопакета и 114-битовой последовательности шифрования, генерируемой специальным алгоритмом, который называется А5. Для того чтобы получить последовательность шифрования для каждого пакета, алгоритм А5 производит вычисление, используя два ввода: одним из них является номер кадра, а другим является ключ, который называется Кс, известный только мобильной станции и сети (рис. 2). В обоих направлениях соединения используются две разные последовательности: в каждом пакете одна последовательность используется для шифрования в мобильной станции и для дешифрования на базовой станции (BTS), в то время как другая последовательность используется для шифрования в BTS и дешифрования в мобильной станции.
Рис. 2. Блок-схема процессов шифрования и дешифрования по алгоритму А5
Номер кадра меняется от пакета к пакету для всех типов радиоканалов. Ключ Кс контролируется средствами передачи сигналов и изменяется, как правило, при каждом сообщении. Этот ключ не предается гласности, но поскольку он часто меняется, то не нуждается в столь сильных средствах защиты, как например, ключ Кi. Кс можно свободно прочитать в SIM.
Алгоритм A5 необходимо устанавливать на международном уровне, поскольку для обеспечения MS-роуминга он должен быть реализован в рамках каждой базовой станции (равно как и в любом мобильном оборудовании). Алгоритм А5 выводит последовательность шифрования из 114 бит для каждого пакета отдельно, с учетом номера кадра и шифровального ключа Кс. На данный момент один-единственный алгоритм А5 установлен для использования во всех странах. В настоящее время базовые станции могут поддерживать три основных варианта алгоритма А5:
- А5/1 – наиболее стойкий алгоритм, применяемый в большинстве стран;
- А5/2 – менее стойкий алгоритм, внедряемый в странах, в которых использование сильной криптографии нежелательно;
- А5/0 – отсутствует шифрование.
В России применяется алгоритм А5/1. По соображениям безопасности его описание не публикуется. Этот алгоритм является собственностью организации GSM MoU. Тем не менее его внешние спецификации обнародованы и его можно представить как “черный ящик”, принимающий параметр длиной 22 бита и параметр длиной 64 бита для того, чтобы создавать последовательности длиной 114 бит. Как и в случае с алгоритмом аутентификации A3, уровень защиты, предлагаемой алгоритмом А5, определяется сложностью обратного вычисления, то есть вычисления Кс при двух известных 114-битовых последовательностях шифрования и номера кадра.
Управление ключами
Ключ Кс до начала шифрования должен быть согласован мобильной станцией и сетью. Особенность стандарта GSM заключается в том, что ключ Кс вычисляется до начала шифрования во время процесса аутентификации. Затем Кс вводится в энергонезависимую память внутри SIM с тем, чтобы он хранился там даже после окончания сеанса связи. Этот ключ также хранится в сети и используется для шифрования.
Рис. 3. Блок-схема вычисления Кс
Алгоритм А8 используется для вычисления Кс из RAND и Ki (рис. 3).
Фактически алгоритмы A3 и А8 можно было бы реализовать в форме одного-единственного вычисления. Например, в виде единого алгоритма, выходные данные которого состоят из 96 бит: 32 бита для образования SRES и 64 бита для образования Кс. Следует отметить, что длина значимой части ключа Кс, выданная алгоритмом А8, устанавливается группой подписей GSM MoU и может быть меньше 64 бит. В этом случае значимые биты дополняются нулями для того, чтобы в этом формате всегда были использованы все 64 бита.
Всякий раз, когда какая-либо мобильная станция проходит процесс аутентификации, данная мобильная станция и сеть также вычисляют ключ шифрования Кс, используя алгоритм А8 с теми же самыми вводными данными RAND и Ki, которые используются для вычисления SRES посредством алгоритма A3.
Средства защиты идентичности пользователя
Шифрование оказывается весьма эффективным для защиты конфиденциальности, но не может использоваться для защиты каждого отдельно взятого обмена информацией по радиоканалу. Шифрование с помощью Кс применяется только в тех случаях, когда сети известна личность абонента, с которым идет разговор. Понятно, что шифрование не может применяться для общих каналов, которые принимаются одновременно всеми мобильными станциями в данной сотовой ячейке и в соседних сотовых ячейках (иначе говоря, оно может применяться с использованием ключа, известного всем мобильным станциям, что абсолютно лишает его смысла как механизма безопасности). При перемещении мобильной станции на какой-либо специальный канал некоторое время происходит “начальная загрузка”, в течение которой сеть еще не знает личности абонента и, следовательно, шифрование его сообщения невозможно. Поэтому весь обмен сигнальными сообщениями, несущий сведения о личности неопределенного абонента, должен происходить в незашифрованном виде. Какая-либо третья сторона на данной стадии может подслушать информацию. Считается, что это ущемляет права личности, поэтому в GSM введена специальная функция, позволяющая обеспечить конфиденциальность такого рода.
Защита также обеспечивается путем использования идентификационного псевдонима или TMSI (временный идентификатор мобильного абонента), который используется вместо идентификатора абонента IMSI (международный идентификатор мобильного абонента) в тех случаях, когда это возможно. Этот псевдоним должен быть согласован заранее между мобильной станцией и сетью.
Архитектура и протоколы
Действующие лица и протоколы, участвующие в организации безопасности, являются практически теми же, что и в случае организации мест нахождения, и это служит оправданием их включения в аналогичную функциональную область. Тем не менее при организации безопасности ведущие роли меняются и должны быть отнесены к SIM со стороны мобильной станции, а также к Центру аутентификации (АиС), который можно рассматривать как часть защиты со стороны сети.
SIM и АиС являются хранилищами ключа Ki абонента. Они не передают эти ключи, но выполняют вычисления A3 и А8 сами. Если говорить об аутентификации и установке ключа Кс, то все остальные виды оборудования выполняют промежуточную роль. АиС не участвует в других функциях и является средством для создания дополнительного слоя защиты вокруг ключей Ki.
На SIM возлагается большинство функций безопасности со стороны мобильных станций. Он хранит Ki, вычисляет зависимые от оператора алгоритмы АЗ/А8 и хранит “бездействующий” ключ Кс. Существование SIM как физической единицы отдельно от мобильного оборудования является одним из элементов, допускающих гибкость в выборе АЗ/А8. Производителям мобильного оборудования нет необходимости знать о спецификациях этих алгоритмов, предназначенных для операторов. С другой стороны, производители SIM обязаны внедрять потенциально разные алгоритмы для каждого из своих заказчиков-операторов, но проблемы конкуренции, массового производства и распределения являются принципиально иными в сравнении с проблемами рынка мобильного оборудования.
SIM полностью защищает Ki от чтения. Технология чиповых карт, внедренная за некоторое время до того, как GSM приступила к производству этих миниатюрных электронных сейфов, идеально подходила для этой цели. Единственный доступ к Ki происходит во время первоначальной фазы персонализации SIM.
Суровая реальность: вскрытие криптозащиты и клонирование телефонов GSM
Как известно, цифровые стандарты сотовой связи второго поколения очень хорошо защищены от прослушивания. Но с течением времени мощность вычислительных средств возрастает, поэтому для обеспечения информационной безопасности разработчикам приходится внедрять новые стандарты. Так, недавно Ассоциация GSM утвердила новый алгоритм шифрования информации, получивший индекс А5/3. Его внедрение поднимет защищенность сотовой связи стандарта GSM на более высокий уровень. Естественно, что новый стандарт был разработан с учетом всех изменений, которые претерпел стандарт GSM за последние годы. Он поддерживает шифрование голоса и данных в сетях GPRS и EDGE (стандарт сотовой связи III поколения). Предполагается, что стандарт А5/3 будет немедленно внедряться в эксплуатацию. Принятие нового стандарта А5/3 еще более остро поставило вопрос о текущей защищенности GSM-сетей. Официально в мире нет оборудования, которое позволяет в реальном режиме времени производить перехват и раскодирование GSM-переговоров. Однако существующие сведения позволяют сомневаться в этой информации. В англоязычном сегменте Интернета ряд компаний предлагает оборудование для перехвата голосового трафика GSM-сетей. Их реклама ведется достаточно открыто, однако на их сайты доступ ограничен простым пользователям. В российском сегменте достаточно часто попадаются записи на электронных досках объявлений о продаже соответствующего оборудования, причем за весьма небольшую сумму. Все это говорит о том, что защищенность GSM-сетей несколько преувеличена.
Напомним, что криптозащита сотовой связи стандарта GSM обеспечивается тремя секретными алгоритмами:
А3 – алгоритм, используемый при аутентификации
пользователя, он же защищает его от клонирования;
А5 – алгоритм шифрования голосового трафика, который и
обеспечивает защиту телефонных переговоров; до недавнего
времени в мире существовало две его версии: А5/1 – усиленный
алгоритм, используемый в некоторых странах, А5/2 – его
слабленный аналог;
А8 – алгоритм генерации ключа, который берет результат
работы А3 и превращает его в сеансовый ключ А5; алгоритм А5,
отвечающий за защиту переговоров от перехвата, реализован на
аппаратном уровне в мобильных телефонах и базовых станциях.
Публикации журнала "Специальная Техника" №1 2006 год.
[1998] [1999] [2000] [2001] [2002] [2003] [2004] [2005] [2006] [2007]
БАРСУКОВ Вячеслав Сергеевич, кандидат технических наук
БЕЗОПАСНОСТЬ GSM: РЕАЛЬНАЯ ИЛИ ВИРТУАЛЬНАЯ?
Как свидетельствует мировая статистика, уровень потерь операторов мобильной связи от разного рода мошенничества и вредительства составляет 2 – 6% от общего объема трафика, а по данным самих компаний он может доходить до 25%. Причем атаки мошенников направлены как против операторов, так и против абонентов. Решение проблемы обеспечения безопасности в российских сетях связи осложняется широким использованием технических средств зарубежного производства, что создает возможность реализации недекларируемых поставщиками возможностей.
Подсчитано, что из-за мошенничества отрасль мобильной связи во всем мире теряет ежегодно около 25 млрд. долларов, по информации от МГТС (Московской городской телефонной сети) ущерб только по Москве оценивается в пределах 3 – 5 млн. руб. в месяц. Ежегодные убытки операторов сотовой связи в Великобритании, Испании, Германии исчисляются миллионами евро. К сожалению, российские операторы не публикуют подобную статистику. Но масштаб цифр недополученных операторами платежей в Европе и мире впечатляет. Поэтому вопросы обеспечения безопасности информации в сетях GSM (Groupe Speciale Mobile) являются в настоящее время весьма актуальными и требуют к себе постоянного внимания и анализа.
Необходимо признать, что обеспечение безопасности первых аналоговых мобильных сетей было на очень низком уровне. По мере перехода от аналоговых к цифровым системам GSM и DAMPS механизм обеспечения безопасности информации совершенствовался, что позволило разработчикам заявлять о невозможности перехвата информации и клонирования современных мобильных телефонов. В данной статье предпринята попытка анализа потенциальной (виртуальной) безопасности, декларируемой разработчиками, и реальной безопасности, определяемой современными возможностями “противника”.
Потенциальные (виртуальные) механизмы защиты информации
Алгоритмы аутентификации
Прежде всего рассмотрим использование пароля – PIN-кода – одного из наиболее простых методов аутентификации. Он дает очень низкий уровень защиты в условиях использования радиосвязи. Достаточно услышать этот персональный код всего лишь один раз, чтобы обойти средства защиты. В действительности GSM использует PIN-код в сочетании с SIM (Subscriber Identify Module): данный PIN-код проверяется на месте самим SIM без передачи в эфир. Помимо него GSM использует более сложный метод, который состоит в использовании случайного числа (от 0 до 2128 – 1), на которое может ответить только соответствующее абонентское оборудование (в данном случае – SIM). Суть этого метода в том, что существует огромное множество подобных чисел и поэтому маловероятно, что оно будет использовано дважды. Ответ, который называется SRES (Signed RESult – подписанный результат), получают в форме итога вычисления, включающего секретный параметр, принадлежащий данному пользователю, который называется Ki (рис. 1).
Секретность Ki является краеугольным камнем, положенным в основу всех механизмов безопасности, – свой собственный Ki не может знать даже абонент. Алгоритм, описывающий порядок вычисления, называется алгоритмом A3. Как правило, такой алгоритм хранится в секрете (лишние меры предосторожности никогда не помешают!).
Для того чтобы достигнуть требуемого уровня безопасности, алгоритм A3 должен быть однонаправленной функцией, как ее называют эксперты-криптографы. Это означает, что вычисление SRES при известных Ki и RAND должно быть простым, а обратное действие – вычисление Ki при известных RAND и SRES – должно быть максимально затруднено. Безусловно, именно это и определяет в конечном итоге уровень безопасности. Значение, вычисляемое по алгоритму A3, должно иметь длину 32 бита. Ki может иметь любой формат и длину.
Рис. 1. Блок-схема вычисления аутентификации
Шифрование
Криптографические методы дают возможность с помощью относительно простых средств добиться высокого уровня безопасности. В GSM используются единые методы для защиты всех данных, будь то пользовательская информация: передача сигналов, связанных с пользователем (например, сообщений, в которых содержатся номера вызываемых телефонов), или даже передача системных сигналов (например, сообщений, содержащих результаты радиоизмерений для подготовки к передаче). Необходимо различать только два случая: либо связь оказывается защищенной (тогда всю информацию можно отправлять в зашифрованном виде), либо связь является незащищенной (тогда вся информация отправляется в виде незашифрованной цифровой последовательности).
Как шифрование, так и дешифрование производятся с применением операции “исключающее или” к 114 “кодированным” битам радиопакета и 114-битовой последовательности шифрования, генерируемой специальным алгоритмом, который называется А5. Для того чтобы получить последовательность шифрования для каждого пакета, алгоритм А5 производит вычисление, используя два ввода: одним из них является номер кадра, а другим является ключ, который называется Кс, известный только мобильной станции и сети (рис. 2). В обоих направлениях соединения используются две разные последовательности: в каждом пакете одна последовательность используется для шифрования в мобильной станции и для дешифрования на базовой станции (BTS), в то время как другая последовательность используется для шифрования в BTS и дешифрования в мобильной станции.
Рис. 2. Блок-схема процессов шифрования и дешифрования по алгоритму А5
Номер кадра меняется от пакета к пакету для всех типов радиоканалов. Ключ Кс контролируется средствами передачи сигналов и изменяется, как правило, при каждом сообщении. Этот ключ не предается гласности, но поскольку он часто меняется, то не нуждается в столь сильных средствах защиты, как например, ключ Кi. Кс можно свободно прочитать в SIM.
Алгоритм A5 необходимо устанавливать на международном уровне, поскольку для обеспечения MS-роуминга он должен быть реализован в рамках каждой базовой станции (равно как и в любом мобильном оборудовании). Алгоритм А5 выводит последовательность шифрования из 114 бит для каждого пакета отдельно, с учетом номера кадра и шифровального ключа Кс. На данный момент один-единственный алгоритм А5 установлен для использования во всех странах. В настоящее время базовые станции могут поддерживать три основных варианта алгоритма А5:
А5/1 – наиболее стойкий алгоритм, применяемый в большинстве стран;
А5/2 – менее стойкий алгоритм, внедряемый в странах, в которых использование сильной криптографии нежелательно;
А5/0 – отсутствует шифрование.
В России применяется алгоритм А5/1. По соображениям безопасности его описание не публикуется. Этот алгоритм является собственностью организации GSM MoU. Тем не менее его внешние спецификации обнародованы и его можно представить как “черный ящик”, принимающий параметр длиной 22 бита и параметр длиной 64 бита для того, чтобы создавать последовательности длиной 114 бит. Как и в случае с алгоритмом аутентификации A3, уровень защиты, предлагаемой алгоритмом А5, определяется сложностью обратного вычисления, то есть вычисления Кс при двух известных 114-битовых последовательностях шифрования и номера кадра.
Управление ключами
Ключ Кс до начала шифрования должен быть согласован мобильной станцией и сетью. Особенность стандарта GSM заключается в том, что ключ Кс вычисляется до начала шифрования во время процесса аутентификации. Затем Кс вводится в энергонезависимую память внутри SIM с тем, чтобы он хранился там даже после окончания сеанса связи. Этот ключ также хранится в сети и используется для шифрования.
Рис. 3. Блок-схема вычисления Кс
Алгоритм А8 используется для вычисления Кс из RAND и Ki (рис. 3).
Фактически алгоритмы A3 и А8 можно было бы реализовать в форме одного-единственного вычисления. Например, в виде единого алгоритма, выходные данные которого состоят из 96 бит: 32 бита для образования SRES и 64 бита для образования Кс. Следует отметить, что длина значимой части ключа Кс, выданная алгоритмом А8, устанавливается группой подписей GSM MoU и может быть меньше 64 бит. В этом случае значимые биты дополняются нулями для того, чтобы в этом формате всегда были использованы все 64 бита.
Всякий раз, когда какая-либо мобильная станция проходит процесс аутентификации, данная мобильная станция и сеть также вычисляют ключ шифрования Кс, используя алгоритм А8 с теми же самыми вводными данными RAND и Ki, которые используются для вычисления SRES посредством алгоритма A3.
Средства защиты идентичности пользователя
Шифрование оказывается весьма эффективным для защиты конфиденциальности, но не может использоваться для защиты каждого отдельно взятого обмена информацией по радиоканалу. Шифрование с помощью Кс применяется только в тех случаях, когда сети известна личность абонента, с которым идет разговор. Понятно, что шифрование не может применяться для общих каналов, которые принимаются одновременно всеми мобильными станциями в данной сотовой ячейке и в соседних сотовых ячейках (иначе говоря, оно может применяться с использованием ключа, известного всем мобильным станциям, что абсолютно лишает его смысла как механизма безопасности). При перемещении мобильной станции на какой-либо специальный канал некоторое время происходит “начальная загрузка”, в течение которой сеть еще не знает личности абонента и, следовательно, шифрование его сообщения невозможно. Поэтому весь обмен сигнальными сообщениями, несущий сведения о личности неопределенного абонента, должен происходить в незашифрованном виде. Какая-либо третья сторона на данной стадии может подслушать информацию. Считается, что это ущемляет права личности, поэтому в GSM введена специальная функция, позволяющая обеспечить конфиденциальность такого рода.
Защита также обеспечивается путем использования идентификационного псевдонима или TMSI (временный идентификатор мобильного абонента), который используется вместо идентификатора абонента IMSI (международный идентификатор мобильного абонента) в тех случаях, когда это возможно. Этот псевдоним должен быть согласован заранее между мобильной станцией и сетью.
Архитектура и протоколы
Действующие лица и протоколы, участвующие в организации безопасности, являются практически теми же, что и в случае организации мест нахождения, и это служит оправданием их включения в аналогичную функциональную область. Тем не менее при организации безопасности ведущие роли меняются и должны быть отнесены к SIM со стороны мобильной станции, а также к Центру аутентификации (АиС), который можно рассматривать как часть защиты со стороны сети.
SIM и АиС являются хранилищами ключа Ki абонента. Они не передают эти ключи, но выполняют вычисления A3 и А8 сами. Если говорить об аутентификации и установке ключа Кс, то все остальные виды оборудования выполняют промежуточную роль. АиС не участвует в других функциях и является средством для создания дополнительного слоя защиты вокруг ключей Ki.
На SIM возлагается большинство функций безопасности со стороны мобильных станций. Он хранит Ki, вычисляет зависимые от оператора алгоритмы АЗ/А8 и хранит “бездействующий” ключ Кс. Существование SIM как физической единицы отдельно от мобильного оборудования является одним из элементов, допускающих гибкость в выборе АЗ/А8. Производителям мобильного оборудования нет необходимости знать о спецификациях этих алгоритмов, предназначенных для операторов. С другой стороны, производители SIM обязаны внедрять потенциально разные алгоритмы для каждого из своих заказчиков-операторов, но проблемы конкуренции, массового производства и распределения являются принципиально иными в сравнении с проблемами рынка мобильного оборудования.
SIM полностью защищает Ki от чтения. Технология чиповых карт, внедренная за некоторое время до того, как GSM приступила к производству этих миниатюрных электронных сейфов, идеально подходила для этой цели. Единственный доступ к Ki происходит во время первоначальной фазы персонализации SIM.
Суровая реальность: вскрытие криптозащиты и клонирование телефонов GSM
Как известно, цифровые стандарты сотовой связи второго поколения очень хорошо защищены от прослушивания. Но с течением времени мощность вычислительных средств возрастает, поэтому для обеспечения информационной безопасности разработчикам приходится внедрять новые стандарты. Так, недавно Ассоциация GSM утвердила новый алгоритм шифрования информации, получивший индекс А5/3. Его внедрение поднимет защищенность сотовой связи стандарта GSM на более высокий уровень. Естественно, что новый стандарт был разработан с учетом всех изменений, которые претерпел стандарт GSM за последние годы. Он поддерживает шифрование голоса и данных в сетях GPRS и EDGE (стандарт сотовой связи III поколения). Предполагается, что стандарт А5/3 будет немедленно внедряться в эксплуатацию. Принятие нового стандарта А5/3 еще более остро поставило вопрос о текущей защищенности GSM-сетей. Официально в мире нет оборудования, которое позволяет в реальном режиме времени производить перехват и раскодирование GSM-переговоров. Однако существующие сведения позволяют сомневаться в этой информации. В англоязычном сегменте Интернета ряд компаний предлагает оборудование для перехвата голосового трафика GSM-сетей. Их реклама ведется достаточно открыто, однако на их сайты доступ ограничен простым пользователям. В российском сегменте достаточно часто попадаются записи на электронных досках объявлений о продаже соответствующего оборудования, причем за весьма небольшую сумму. Все это говорит о том, что защищенность GSM-сетей несколько преувеличена.
Напомним, что криптозащита сотовой связи стандарта GSM обеспечивается тремя секретными алгоритмами:
А3 – алгоритм, используемый при аутентификации пользователя, он же защищает его от клонирования;
А5 – алгоритм шифрования голосового трафика, который и обеспечивает защиту телефонных переговоров; до недавнего времени в мире существовало две его версии: А5/1 – усиленный алгоритм, используемый в некоторых странах, А5/2 – его ослабленный аналог;
А8 – алгоритм генерации ключа, который берет результат работы А3 и превращает его в сеансовый ключ А5; алгоритм А5, отвечающий за защиту переговоров от перехвата, реализован на аппаратном уровне в мобильных телефонах и базовых станциях.
В режиме реального времени информация кодируется, затем происходит передача сигнала. После этого в телефоне или базовой станции производится обратный процесс и абонент слышит голос собеседника. Остальные два алгоритма зашиты в SIM-карте. Данная архитектура криптозащиты позволяет заявлять, что GSM-связь надежно защищена не только от прослушивания, но и от клонирования абонентского номера. Самым важным звеном в этой цепочке защиты является алгоритм А5. До определенного времени принципы его работы знало очень ограниченное число людей. Ассоциация GSM не допускала утечек информации по этому вопросу, однако любые секреты рано или поздно перестают быть таковыми. Так, основные детали алгоритма А5 стали известны в 1994 г. Кроме этого, компания British Telecom передала документацию по нему Брэдфордскому университету, забыв заключить соглашение о неразглашении данной информации. И наконец, на одной из конференций в Китае было опубликовано описание алгоритма А5. Таким образом, имеющейся информации стало достаточно для составления достаточно полной картины его функционирования и ученые из Кэмбриджа М. Роэ и Р. Андерсон еще в 1994 г. опубликовали приблизительную криптосхему. После разглашения основных данных алгоритма А5 многие ученые и хакеры начали искать возможность вскрыть сам шифр. И вскоре поступила информация, что защита GSM-переговоров на самом деле не так прочна. Дело в том, что алгоритм А5 реализует поточный шифр на основе трех линейных регистров сдвига с неравномерным движением. Эта схема дает достаточно высокую степень защиты при выборе оптимальных параметров. Так, в GSM сетях используется 64-битный ключ, который обеспечивается тремя регистрами в 19, 22 и 23 бита (что дает в сумме искомые 64 бита). Лобовая атака, использующая определенный алгоритм, улавливающий взаимосвязь между первыми двумя и третьим регистрами, уже дает сложность порядка 240. Кроме этого, алгоритм А5 был подвергнут корреляционному анализу, который позволяет узнать ключ путем использования информации о заполнении регистров. В 1994 г. доктор Саймон Шеферд собирался представить на коллоквиуме IEE всем слушателям свой метод вскрытия, однако в последний момент его выступление было запрещено британской штаб-квартирой правительственной связи. В результате этот доклад вышел только в засекреченном сборнике. Через пару лет уже другие специалисты по криптографии отличились в деле вскрытия алгоритма А5. Например, помимо усовершенствования системы лобовых атак вскоре был описан интересный механизм, основанный на методе “балансировка время-память”. За счет вычислений, которые предшествовали вскрытию ключа, можно было сократить перебор до 222, однако для этого требовалось 64 терабайта дисковой памяти. Несмотря на то, что даже в настоящий момент эта величина выгладит очень большой, стала прослеживаться тенденция к скорому осуществлению задачи.
Действительно, вскоре в сети Интернет появилась информация о вскрытии системы в режиме реального времени. В начале 1999 г. в лаборатории SDA (Smartcard Developer Association) были восстановлены и проверены алгоритмы А5/1 и А5/2. При этом было доказано, что в варианте А5/2 используется специальный регистр длиной 17 бит, управляющий движением информации в первых трех регистрах. При этом простой перебор позволил вскрыть этот шифр за 15 мс работы ПК (сложность 216). Алгоритм А5/1 также не остался в стороне, и вскоре было объявлено, что использование специального метода позволило узнать шифр за секунду на компьютере с оперативной памятью 128 Мб и двумя жесткими дисками по 73 Мб, правда, при условии длительности разговора не менее двух минут. Сейчас эти методы тщательно изучаются различными учеными-криптографами, и выводы будут сделаны чуть позже.
Что касается клонирования, то уже в 1998 г. были продемонстрированы первые результаты возможности клонирования SIM-карты. Этот результат осуществила группа компьютерных экспертов из Калифорнии. Естественно, что представители Ассоциации GSM сразу объявили эти попытки лабораторными и не несущими угрозы GSM-сообществу мира, однако через некоторое время в других странах мира с более либеральным законодательством стали появляться сообщения о демонстрации клонирования SIM-карты. Конечно, Россия также не могла остаться в стороне, и в сети Интернет можно найти информацию об осуществлении таких попыток и даже о реализации незаконного бизнеса на этой почве. Таким образом, утверждение алгоритма А5/3 как нельзя кстати подошло ко времени. Он позволит поднять информационную защиту на несколько порядков. В отличие от прошлых лет разработчики обещают выставить методы работы А5/3 на всеобщее обозрение, чтобы защититься от “проколов”, которые были выявлены в предыдущих алгоритмах.
До сих пор считалось, что телефоны GSM обладают столь надежной защитой, что их нельзя не только прослушать, но и размножить, то есть сделать несколько аппаратов, одновременно пользующихся одним и тем же номером.
SDА и двое исследователей из университета Беркли сообщили, что им удалось клонировать сотовые телефоны стандарта GSM.
Стандарт GSM, разработанный Европейским институтом телекоммуникационных стандартов (European Telecommunications Standard institute), на сегодняшний день является самым распространенным в мире – он используется в 79 млн. сотовых аппаратов, преимущественно в странах Европы и Азии. Возможность взлома защиты GSM еще раз доказывает, что единственная гарантия надежности криптографических алгоритмов – это их абсолютная открытость. Засекреченные системы, использующиеся в GSM и не только, практически неизбежно оказываются уязвимыми. Все тайное рано или поздно становится явным.
Напомним, что зашифрованные данные абонента GSM хранятся в небольшой смарт-карте, которая вставляется в телефон. Без карты, называемой также модулем идентификации пользователя SIM, аппарат представляет собой бесполезную оболочку. Карту, идентифицирующую владельца, можно использовать с любым стандартным телефоном. Обнаруженная “дыра” в безопасности позволяет извлечь секретную информацию из одного SIM и переписать ее в другой, создав точную копию первого телефона. Клонировать телефон, перехватывая информацию в эфире, пока еще нельзя, но SDA не исключает такой возможности в будущем.
Установив, какие именно криптографические методы используются в GSM, SDA привлекла для их изучения двух исследователей из университета Беркли – Дэвида Вагнера и Айана Голдберга. Менее чем за сутки (!) они обнаружили “дыру” в алгоритме COMP128, который используется для защиты информации в SIM. По словам Вагнера, “дыру” давно бы нашли и устранили, если бы алгоритмы были опубликованы.
Какие выводы можно сделать из громкого взлома еще одной защиты? Прежде всего владельцам сотовых телефонов пока не следует особо беспокоиться. Без физического доступа, по крайней мере, на несколько часов, сегодня их аппарат никто не сможет клонировать, однако гарантий на будущее никаких нет. Операторы же сотовых сетей оказываются в очень неприятной ситуации. Хотя существует несколько альтернатив COMP128, сегодня этот протокол поддерживается во всех сетях GSM. Более того, уверенность в защите от клонирования была столь высока, что, по данным SDA, большинство операторов даже не производит проверку на одновременное включение одинаковых телефонов.
Одной из причин, объясняющих, почему разработчики GSM держали в секрете алгоритмы, возможно, является их сотрудничество со службами контроля. Исследователи той же самой SDA обнаружили намеренное ослабление другого шифра – А5, который используется для защиты переговоров от прослушивания. Этот шифр имеет 64-битный ключ, однако реально в нем используются лишь 54 бита, а 10 просто заменены нулями. “Единственная сторона, которая заинтересована в ослаблении защиты, это национальные службы надзора, – сказал директор SDA Марк Брисено, – покупателям нужна секретность переговоров, а операторы не несут дополнительных расходов от использования полноразмерного ключа”.
Абонентское шифрование – реальная гарантированная защита информации
Известно, что одним из полицейских режимов, заложенных в GSM разработчиками, является возможность при необходимости снятия шифрования в сети. В подобных случаях информация циркулирует в открытом виде и может быть доступна любому, кто имеет соответствующие средства. Кроме того, как стало недавно известно, проблемы с безопасностью существуют и в самом обычном протоколе для мобильной связи GSM, рассмотренном выше. Дело в том, что для защиты информации в GSM используются криптографические алгоритмы, запрещенные к экспорту в страны, к которым применяются международные санкции, например в Ирак. В то же время и в этих странах существует сотовая связь стандарта GSM, которая также охвачена глобальным роумингом, просто базовые станции здесь не используют криптосистемы. Однако без указанных алгоритмов аппарат стандарта GSM не защищен от появления ложной базовой станции, что открывает большой простор для любителей перехвата чужих разговоров. Американские специалисты по информационной безопасности провели исследование, показывающее возможность создания ложной базовой станции, посылающей на мобильный телефон сообщение, что она находится в Ираке или аналогичной стране, что отключает криптозащиту. После этого телефон соединяется с ложной станцией и может управляться злоумышленниками. До недавнего времени существующие на Западе алгоритмы шифрования информации, которые могли бы гарантировать безопасность разговоров по сотовому телефону, не имели сертификатов ФАПСИ (ныне Центр безопасности связи ФСБ России) и потому на законных основаниях в России не применялись. Прорывом в сложившейся ситуации стал продукт ФГУП “НТЦ “Атлас” и его партнера концерна “Гудвин” – специальный мобильный телефон (SMP).
В настоящее время в российских сетях GSM появилась возможность для дальнейшего повышения уровня криптографической защиты – использовать дополнительно абонентское шифрование. Специальный сотовый телефон SMP-Атлас (М-539) стал первым в России законным защищенным аппаратом, который предназначен для передачи данных в зашифрованном виде. При отключении криптомодуля трубка работает как обычный GSM-телефон, который имеет пыле-, влаго- и ударозащищенный корпус.
Телефон стандарта GSM 900/1800 в открытом режиме обеспечивает выполнение всех штатных функций GSM-терминала, а в защищенном – гарантированную защиту речевой информации. Это подтверждается целым рядом европейских и российских сертификатов, в том числе специальным сертификатом ФСБ на защиту информации, а также патентом на изобретение защиты информации в GSM-сетях. Габариты аппарата 140?48?25 мм, масса 180 г (фото 1). Помимо этого имеются графический дисплей и аккумулятор, которого хватает на 3,5 ч защищенных разговоров.
Фото 1. Общий вид специального сотового телефона SMP-Атлас (М-539)
Криптосмартфон, который способен обеспечить шифрование с гарантированной стойкостью не только речи, но и SMS, MMS, компьютерных данных и электронной почты, уже продается в московских салонах сотовой связи и стоит 2,5 тыс. долларов. Ключ шифрования – симметричный, 256 бит. Специальный процессор выполняет аппаратное шифрование. К сожалению, предложенные криптографические услуги в настоящее время доступны пока лишь абонентам сети Мегафон.
Аналогичные функции выполняет и двухпроцессорный Крипто Смарт Телефон (так его назвали разработчики), созданный в ЗАО “АНКОРТ” (фото 2). Он может работать с аналоговыми, цифровыми и IP-крипто телефонами разработки ЗАО “АНКОРТ” в любых стандартных сетях GSM, обеспечивающих передачу данных. Для распределения ключей используется открытый ключ. Общий ключ формируется для каждого сеанса связи. Пользователь может самостоятельно формировать и вводить ключи. Основные особенности Крипто Смарт Телефона приведены в табл 1.
Фото 2. Двухпроцессорный Крипто Смарт Телефон
Таблица 1. Основные особенности Крипто Смарт Телефона
Категория |
Параметры и состав |
Особенности и возможности |
Основные
характеристики |
Принцип передачи |
Радиомодем стандарта 900/1800 МГц |
Режимы работы |
- шифрование голоса в полнодуплексном режиме;
- стандартный режим GSM;
- шифрование SMS;
- шифрование данных в телефоне;
- шифрование и передача электронной почты
|
Процессоры: |
|
Моторолла MX21 266 M
TMS 320 VC 5416 |
Интерфейс |
Разъем для обмена
данными (18-штырьковый) |
USB 2.0 хост синхр. (через USB)
зарядка:
- зарядка батареи посредством АС переходника
- зарядка батареи через USB
|
Клавиатура/Переключение |
клавиатура
кнопка шифрования |
русский/латинский алфавит
отдельная кнопка |
ЖКИ |
тип ЖКИ
разрешение экрана
активный размер экрана
размеры
масса
антенна
батарея
емкость батареи |
TFT, 260 К, цветной
240x320 RGB пикселей
.2 (33,84x45,12 мм)
53x115x24 мм
150 г
встроенная
Li-полимер
1300 мА/ч (1000 мА/ч) |
Криптографические
характеристики |
криптоалгоритм
метод распределения ключей
ключевая мощность |
симметричный, 256 бит (разработан ЗАО “АНКОРТ”
открытый ключ + общий ключ (формируется для
каждого сеанса)
1077 |
Из зарубежных криптотелефонов GSM можно отметить телефон TopSec GSM (Германия), внешне ничем не отличающийся от обычного мобильного сотового телефона. Стоит он порядка 2 тыс. долларов, работает с любой SIM-картой любого оператора связи. Его криптостойкость соответствует требованиям защиты для использования в правительственных ведомствах Германии и НАТО (алгоритм криптования Дифи-Хелмана, комбинация однократно генерируемых ключей – 1038).
Австралийская компания SecureGSM анонсировала новое программное обеспечение для смартфонов и коммуникаторов, которое позволит добиться 256-битного кодирования разговора. Используются надежные шифровальные алгоритмы AES, Twofish и Serpent. Весь процесс криптопреобразований происходит “на лету”. Программе требуются ОС Windows Mobile и процессор с тактовой частотой не меньше 200 МГц.
Акустическое зашумление – защита от негласной активации мобильного телефона
Известно, что возможность негласной активации мобильного телефона заложена разработчиками для решения некоторых полицейских задач контроля и является одной из недекларированных возможностей. Однако, к сожалению, эту возможность могут использовать не только специальные службы, но и многие заинтересованные лица. Ярким подтверждением этому стало появление на рынке безопасности мобильного телефона (МТ), разработанного одной из израильских фирм, в котором заложены возможность дистанционного включения других мобильных телефонов и несанкционированная активация режима передачи акустической информации с использованием их штатных микрофонов (т.е. использование МТ в качестве радиозакладки).
Проблема несанкционированной активации мобильного телефона или использования его недекларированных возможностей в настоящее время является исключительно актуальной, поскольку он является постоянным спутником его владельца и утечка информации может произойти в любой момент времени, пока МТ находится в зоне приема.
Для защиты от данного вида утечки информации, пожалуй, наиболее эффективным является акустическое зашумление микрофона защищаемого мобильного телефона при обнаружении факта его несанкционированной активации. В частности, фирма “НЕРА-С” предлагает сегодня на рынке средств безопасности целую серию так называемых акустических сейфов “Кокон”, “Ладья” и “Свирель”, которые обеспечивают в точке размещения микрофона МТ уровень акустического шума более 100 дБ. Изделие “Кокон” представляет собой обычный чехол для МТ, в который вмонтированы миниатюрное устройство определения момента включения передатчика и генератор акустического шума. Изделие “Ладья” (рис. 4) имеет аналогичные электрические характеристики и отличается тем, что имеет настольное исполнение в виде подставки для канцелярских принадлежностей.
Рис. 4. Акустические сейфы “Ладья”: общий вид и принцип действия
Более сложным является акустический сейф с селекцией угроз “Свирель”, который предназначен для активной защиты при несанкционированном включении режима прослушивания телефона оператором сотовой связи, регистрации и протоколирования обмена информацией по радиоканалу. Это устройство обеспечивает:
- возможность считывания протокола наблюдений или заданной его части из устройства;
- архивацию протокола наблюдений;
- графическое отображение протокола наблюдений для детального анализа в виде временных диаграмм с комментариями;
- сортировку протокола по выбранным параметрам (тип события, время события и т.д.);
- обработку информации для составления файла отчета в графическом или текстовом формате;
- архивацию и печать файла отчета.
Таким образом, проведенный анализ показал, что в настоящее время в основном путем использования комплексной защиты динамическое равновесие в решении проблемы “брони и снаряда” применительно к сотовой мобильной радиосвязи восстановлено: реальную защиту информации в GSM-сетях можно приблизить к потенциальной, заявляемой разработчиками. Но время идет, технологии совершенствуются, противостояние продолжается.