Когда стандарт цифровой мобильной связи GSM только разрабатывался, его создатели предусмотрели защиту от прослушивания телефонных переговоров и от неавторизованного подключения.
Для этого предназначались три алгоритма: A3 — авторизации телефона базовой станцией, A5 — закрытия передаваемых голосовых данных, A8 — выработки совместного сеансового ключа без его передачи по радиоканалу. При этом алгоритм шифрования A5 имел два варианта: A5/1 — более надежный, но с экспортными ограничениями, A5/2 — упрощенный и общедоступный. Хотя в описании стандарта GSM эти алгоритмы были указаны, подробности их реализации не публиковались.
Криптоанализ сети
В 1998 году был проведен анализ алгоритмов шифрования в сетях GSM, и с этого времени криптоаналитики взялись за исследование встроенных средств защиты. Уже в конце 1999 года Алекс Бирюков и Ади Шамир опубликовали первые работы по декодированию сеансов GSM. Но в них для успеха реализации описанных атак предполагались наличие доступа к довольно большому фрагменту незашифрованного разговора и дорогостоящей аппаратуры. А значит, практической ценности такие работы не имели.
Однако изучение защиты GSM-сетей и методов ее «вскрытия» продолжалось. В сентябре 2003 года на международной конференции по криптологии в Санта-Барбаре (шт. Калифорния) три сотрудника Израильского технологического института — Элад Баркан, Натан Келлер и Эли Бихем — сделали доклад «Мгновенный криптоанализ защищенной связи GSM», в котором описывался способ вскрытия защиты соединений GSM при использовании слабого шифрования A5/2. Докладчики показали, как с помощью ошибок в протоколе обмена сеансовыми ключами можно «выведать» у базовой станции ключи шифрования для более стойких алгоритмов A5/1, A5/3 и GPRS.
Атака Бихема
Алгоритм A5/2 (как и его более стойкий аналог A5/1) представляет собой поточный шифр. В качестве сеансового ключа выступает стартовое значение генератора псевдослучайных чисел. Сгенерированная с его помощью гамма чисел накладывается на данные с помощью операции XOR (исключающее «или») и передается получателю. Сеансовый ключ создается по алгоритму A8 из случайного числа, передаваемого по открытому радиоканалу на базовую станцию, и секретного кода, который выдается абоненту при подключении к сети и «зашивается» в SIM-карту. Поскольку передача по радио может быть искажена, перед шифрованием в протоколе используется код, исправляющий ошибки. Заложенная в нем избыточность и является поводом для вскрытия зашифрованного текста без знания открытого.
В работе профессора Бихема показано, как можно применять механизмы протокола GSM для расшифровки данных, защищенных с помощью алгоритма A5/2. В соответствии с приведенными в ней оценками сложности вычислений, «вскрыть» зашифрованную передачу по GSM можно менее чем за одну секунду на персональном компьютере с 500 Мбайт оперативной памяти. Правда, предварительно нужно в течение нескольких часов вычислять возможные варианты начала псевдослучайной последовательности.
При вскрытии более защищенных алгоритмов хакер может выступить в качестве «посредника» между мобильным телефоном и базовой станцией. Дело в том, что в сети GSM только базовая станция авторизует телефон, но не наоборот. То есть любой мобильный терминал способен одновременно играть роль базовой станции (для атакуемого абонента) и терминала (для GSM-сети). В таких условиях, даже если базовая станция будет навязывать телефону абонента более защищенные протоколы, «посредник» может обратиться к «жертве» при помощи алгоритма A5/2 и выведать его секретный ключ.
Вместо послесловия
Решения найденных Бихемом проблем пока не существует. Если полностью изменить протокол GSM, например добавив функцию авторизации телефоном базовой станции, придется переписывать ПО для всех GSM-телефонов, коих в мире насчитывается 680 млн шт. Если же отказаться от алгоритма шифрования A5/2, перестанет действовать роуминг, поскольку в гостевой сети шифрование сеансов связи ведется только по этому протоколу. В общем, сети GSM еще считаются защищенными, но в них можно организовывать бреши с помощью специального телефона, подключенного к мобильному компьютеру. То есть цена вопроса — всего несколько тысяч долларов.
Ходят слухи, что криптоанализ GSM профессору Бихему заказали разработчики оборудования CDMA, то есть создатели систем 3G. Ведь слабо защищенный протокол позволяет злоумышленнику делать с мобильными телефонами самые неприятные вещи, из которых прослушивание разговоров — самая невинная. У мошенников появляется возможность говорить с чужого телефонного номера за чужой счет, перехватывать коды активации предоплаченных карт и доставлять массу других огорчений легальным пользователям.
Вряд ли удастся быстро и эффективно защититься от мошенников, намеренных использовать метод Бихема для получения денег на чужой счет, поэтому держать значительные средства на счетах GSM-операторов становится рискованно. В результате крупные клиенты для безопасности перейдут к операторам стандарта CDMA, в котором изначально предусмотрена авторизация обеих сторон диалога, а для защиты канала используются хорошо изученные алгоритмы шифрования. Все это, скорее всего, приведет к серьезным изменениям структуры рынка мобильной связи.
Нет повода для беспокойства
Чтобы оценить всю серьезность выявленной проблемы, наша редакция обратилась за разъяснением в техническую службу сети «Би Лайн GSM». В целом, мы получили обнадеживающий ответ, который не дает владельцам телефонов стандарта GSM поводов для волнения. Специалисты «Би Лайн» подтверждают, что доклад об исследованиях израильских специалистов на конференции в США летом прошлого года действительно имел место. Однако опубликованная информация носит чисто академический характер и вовсе не является руководством по разработке каких-либо устройств. «Следует отметить, — отмечают в технической службе «Би Лайн», — что сегодня большинство операторов используют алгоритм А5/1, а алгоритм А5/2 был в ходу лишь в некоторых странах в связи с экспортными ограничениями на поставку технологии А5/1. Сейчас ограничения сняты, и необходимость в применении А5/2 практически отпала».