Гигабайты власти - Берд Киви - Страница 36

36

Это весьма сильное, прямо скажем, заявление Лаки Грин затем подтверждает на конкретных примерах выявленных в GSM слабостей, серьезным образом компрометирующих систему.

• Скомпрометирована эффективная длина сеансового ключа. В 64-битном ключе, который А8 генерирует для А5, последние 10 бит принудительно обнулены. Это совершенно умышленное ослабление системы примерно в 1000 раз.

• Скомпрометирована система аутентификации и алгоритм генерации секретного ключа. Известно, что о слабостях в СОМР128, обнаруженных SDA в 1998 году, участники GSM MoU были официально уведомлены еще в 1989 году. То есть задолго до широкого распространения GSM. Имеющаяся в MoU «группа экспертов по алгоритмам безопасности» (SAGE), состоящая из никому неведомых людей, сохранила в тайне это открытие и не стала информировать о нем даже собственно членов MoU. В результате чего разведслужбы имеют возможность клонировать телефоны и вычислять секретные ключи абонентов непосредственно в ходе сеанса связи.

• Скомпрометирован сильный алгоритм шифрования А5/1. В этом шифре с 64-битным ключом имеются многочисленные конструктивные дефекты, приводящие к стойкости, не превышающей стойкость шифра с 40-битным ключом (другими словами, стойкость понижена на 6 порядков или в миллион раз). Непостижимо, каким образом столь очевидный дефект мог быть упущен французскими военными разработчиками.

• Скомпрометирован более слабый алгоритм шифрования А5/2. Хотя в MoU признают, что вскрываемость шифра и была целью разработки А5/2, тем не менее в официальных результатах анализа SAGE сказано, что им неизвестно ни о каких криптографических дефектах в А5/2.

Чтобы обеспечить перехват и дешифрование GSM-трафика, отмечает Лаки Грин, было бы достаточно скомпрометировать эффективную длину ключа. Было бы достаточно скомпрометировать алгоритм генерации ключа. Было бы достаточно скомпрометировать алгоритм шифрования. Но спецслужбы сделали все три эти вещи. Такое можно назвать лишь «хорошо продуманной гарантированно избыточной компрометацией».

И, наконец, еще один очень существенный нюанс. Все шифрование разговоров в системе GSM осуществляется только на канале между мобильным телефоном и базовой станцией, то есть в «эфирной» части передачи. При наличии санкции суда на прослушивание звонков правоохранительные органы всегда имеют возможность подключиться непосредственно к базовым станциям, где уже нет никакого шифрования. Так что единственной причиной для тотального ослабления криптозащиты оказывается «нелегальный» доступ без каких бы то ни было ордеров и санкций.

Вскрытие А5/1

Вскоре, в декабре 1999 г., под натиском университетских криптографов пал, можно считать, и самый сильный элемент в защите GSM – алгоритм шифрования А5/1. Израильские математики Ади Шамир и Алекс Бирюков (чуть позже к ним присоединился американец Дэвид Вагнер) опубликовали работу, в которой описан созданный ими весьма нетривиальный, но по теоретическим расчетам весьма эффективный метод вскрытия А5/1.

Ади Шамира вполне заслуженно называют «патриархом израильской академической криптографии». Еще в 1977 году, работая в США совместно с Рональдом Райвестом и Леонардом Адлеманом, Шамир участвовал в создании знаменитой криптосхемы с открытым ключом RSA (здесь «S» – это Shamir). В 80-е годы им разработано несколько криптографических протоколов и криптосхем. На рубеже 1980-1990-х, работая совместно с Эли Бихамом, Шамир создал метод дифференциального криптоанализа, в открытом академическом сообществе ставший основой практически всех современных методов исследования и вскрытия блочных шифров (подобные работы спецслужб ведутся в строжайшем секрете). Совместный же с Бирюковым криптоанализ А5/1 стал, похоже, первым обращением Шамира к исследованию поточных шифров на основе регистров сдвига – класса схем, более характерных для военной, а не коммерческой криптографии.

Характеризуя изобретенный метод вскрытия А5, Шамир выразился так: «Это весьма сложная идея, реализуя которую мы наступаем на многих фронтах, чтобы накопить несколько небольших преимуществ, но сложенные все вместе они дают большой выигрыш». Если чуть более подробно, то новый метод атаки использует тонкие слабости в структуре регистров сдвига, необратимый механизм их движения, а также частые перезагрузки регистров, применяемые в GSM. Развивая потенциал балансировки «время-память», ученые создали два родственных вида атак, реализуемых на персональном компьютере с увеличенным объемом внешней памяти. Для успеха первой атаки требуется выходная последовательность алгоритма А5/1 в течение первых двух минут разговора – тогда ключ вычисляется всего за секунду (но в реальных условиях получить для анализа эти две минуты крайне проблематично). Вторая атака требует выход А5/1 всего за две секунды, но на вычисление ключа тогда затрачивается несколько больше времени – несколько минут. Все расчеты были подтверждены реальными вычислительными экспериментами. Попутно следует отметить, что факт реальной длины ключа не в 64, а лишь в 54 бита криптографами не использовался.

Теперь будем делать по-другому?

К началу 2000-х годов уже почти все эксперты в области защиты информации (спецслужбы, как обычно, воздерживаются от комментариев) сошлись во мнении, что разработка мер безопасности для широко используемых систем в тайне от общественности – это в корне порочный путь. Единственный способ гарантировать надежную безопасность – это честно дать возможность проанализировать систему защиты всему сообществу специалистов.

Поначалу создалось впечатление, что данную истину (хотя бы отчасти) признали и в консорциуме GSM. Процитированный в самом начале главы Джеймс Моран, ведающий безопасностью GSM, прокомментировал вскрытие всех криптоалгоритмов системы так: «Когда эти шифры разрабатывались в 1989 году, широкая публикация алгоритмов не была распространенным подходом. Однако, создаваемые ныне алгоритмы будут опубликованы для предварительного их изучения» [DM99].

Летом 2002 года, когда появилось широко анонсированное известие о введении в систему GSM нового криптоалгоритма А5/3, могло показаться, что обещания открытого процесса обсуждения действительно выполняются [NR02]. Про этот реально качественный алгоритм сообществу криптографов академии и индустрии было известно практически все – фактически, это алгоритм Kasumi, созданный рабочей группой 3GPP (3rd Generation Partnership Project) для сетей мобильной связи следующего, третьего поколения. Шифр Kasumi, в свою очередь, построен на основе сильного, еще в 1990-е годы всесторонне исследованного криптоалгоритма MISTY известного японского криптографа Мицуро Мацуи…

Но на этом вся открытость, похоже, и закончилась. Новая спецификация в GSM, именуемая GPRS и обеспечивающая длительное подключение мобильного телефона к Интернету, имеет в своем арсенале новое семейство криптоалгоритмов под общим названием GEA. Про конструкцию этих шифров, по сути дела, известно лишь то, что они не имеют никакого отношения к алгоритмам А5/1 и А5/2. Да еще изменен порядок классификации: GEAO – никакого шифрования (одни нули), GEA1 – экспортный (ослабленный) вариант, GEA2 – обычная стойкость, GEA3 – фактически, тот же вариант, что А5/3. Про стойкость GEA1 и GEA2 неизвестно ничего, поскольку по состоянию на конец 2003 года никто их в открытом сообществе криптографов не видел [GR03].

Тот же принцип сокрытия информации консорциум GSM сохранил и в отношении новых версий алгоритма COMF128 (практической реализации АЗ-А8 в SIM-модулях). Известно лишь то, что имеются две версии секретного алгоритма под названиями COMF128-2 и COMF128-3, призванные решить проблемы, выявленные в первой, вскрытой версии. В частности, COMF128-3 уже не делает принудительное обнуление 10 битов в сеансовом ключе [FQ03].

Так что в целом, как можно видеть, ситуация с «безопасностью по-страусиному» практически не изменилась.