Отрывок

Стандарт GSM был разработан как безопасная система мобильной связи с надежной идентификацией пользователей и шифрованием в эфире.  Модель безопасности и алгоритмы шифрования разрабатывались втайне и никогда не были опубликованы. Со временем некоторые алгоритмы и спецификации стали доступны. Алгоритмы изучили, и были найдены критические ошибки. Таким образом, при более детальном рассмотрении стандарта GSM видно, что его модель безопасности не совсем эффективна.  Неприятель может пройти сквозь модель безопасности или обойти ее и атаковать другие участки сети GSM, а не фактический телефонный звонок. Предполагалось, что стандарт GSM защитит телефон от клонирования и возможности прослушивания в эфире. Однако, в отличие от аналоговых систем мобильной связи при небольшой доработке и то, и другое возможно, и может быть реализовано с помощью разнообразных атак.    Нельзя посылать никакую конфиденциальную информацию по сети GSM без дополнительного шифрования, если данные должны остаться конфиденциальными.

 

Сожержание

1 Введение

2 Определения

3 Введение к модели безопасности телефонов GSM

3.1 A3, Алгоритм идентификации MS

3.2 A8, Алгоритм генерации Ключа Секретной Речи

3.3 A5/1, Сильный Алгоритм Шифрования секретной Речи в Эфире

4 Возможные Атаки по Перехвату

4.1 Грубая Атака против A5

4.2 Разделяй и Властвуй Атака A5

4.3 Доступ в Сигнальную Сеть

4.4 Извлечение Ключа из SIM

4.5 Извлечение Ключа из SIM в эфире

4.6 Извлечение Ключа из AuC

4.7 Взлом Алгоритма A8

5 Безопасность GPRS против Безопасности телефонов GSM

6 Возможные усовершенствования

7 Заключение

Ссылки

Дополнительная информация

1 Вступление

GSM – это самая широко используемая система сотовой телефонной связи в мире и имеет более 100 миллионов пользователей. GSM была одной из первых систем цифровой мобильной связи, появившихся после эры аналоговых систем. Общеизвестны проблемы аналоговых систем, конкурента GSM: возможность мошенничества путем клонирования телефона, что дает возможность звонить за чужой счет, перехватывать телефонные разговоры в эфире и прослушивать их.   Система GSM должна была решить эти проблемы за счет строгой аутентификации между мобильным телефоном и Мобильным Центром коммутации, а также осуществлять стойкое шифрование данных для трансляции в эфире по каналу передачи между мобильным телефоном и Базовой станцией.

Технические требования GSM тайно разрабатывались Консорциумом GSM и предоставлялись производителям оборудования и программного обеспечения и операторам связи GSM только по мере необходимости. Технические требования никогда не были достоянием общественности, чтобы ученые мирового сообщества не могли изучить заложенные внутри нее алгоритмы аутентификации и шифрования, а также модель безопасности GSM в целом. Консорциум GSM полагался на Безопасность из-за Неизвестности, т. е. алгоритмы труднее взломать, если они не доступны публично. В мировом ученом сообществе считается, что одно из основных требований по безопасности криптографических алгоритмов – это безопасность крипто системы, зависящая только от ключа. Это известно, как “предположение Керкхоффа”. Алгоритм должен быть известен, чтобы его можно было исследовать. Считается, что никакая организация не может нанять достаточное количество экспертов, которые смогут соревноваться с мировым сообществом ученых в расшифровке алгоритма. Таким образом, алгоритмы, разработанные и реализованные втайне, будут, вероятно, криптографически слабыми и будут иметь ошибки в дизайне. Вероятно, алгоритмы GSM стали известны, и с тех пор их всесторонне изучают, в ходе криптоанализа алгоритмов A3, A5 и A8 было обнаружено много интересных фактов.

В этой работе я попытаюсь познакомить читателей с моделью безопасности GSM и изучить все уязвимые места этой модели для того, чтобы показать читателю, что все эти места могут быть атакованы неприятелем, злоумышленником, сетевым оператором или пользователем. Я также попытаюсь показать, что   перехват GSM и прослушивание телефонного разговора возможно в существующих в настоящее время системах GSM, независимо от заявления Консорциума GSM. При исследовании различных участков атак в системе GSM я также покажу возможные способы перехвата разговоров по мобильному телефону, которые можно осуществить для прослушивания звонка по мобильному телефону. Я представлю шесть различных типов атак на мобильные телефоны и  сколько вариантов других видов атак. Кроме того, я попытаюсь пролить свет на некоторые серые пятна в этой области: что возможно и что невозможно с помощью современных технологий, и имеющиеся уязвимости системы GSM. Я также внесу несколько предложений о том, как улучшить систему безопасности GSM сети в будущем, чтобы гарантировать конфиденциальность пользователей GSM и обеспечить защиту от прослушивания телефона.

Далее статья спланирована следующим образом:

• Глава 2 – акронимы и термины, которые употребляются в документе.
• Глава 3 – модель безопасности GSM.
• Глава 4 – различные атаки против GSM системы.
• Глава 5 – сравнение модели безопасности GPRS и модели безопасности GSM.
• Глава 6 – предложения о возможных улучшениях модели безопасности GSM для усовершенствования ее безопасности.
• Chapter 7 – выводы об открытиях, сделанных в этой работе.

2 Определения

A3	Алгоритм аутентификации, используемый в системе GSM. В настоящее время в большинстве сетей GSM используется алгоритм COMP128 как реализация A3/A8.
A5	Алгоритм шифрования, используемый в системе GSM. Существуют различные реализации, которые называются A5/1, A5/2, ... Алгоритм A5/1 известный как стойкий алгоритм шифрования секретной речи в эфире.  A5/x (A5/2 ...) - это - более слабые реализации, рассчитанные для зарубежных рынков за пределами Европы. Также существует алгоритм A5/0, который вообще не содержит шифрование.
A8	Алгоритм для генерации ключа, используемый в системе GSM. В настоящее время в большинстве сетей GSM используется алгоритм COMP128 в качестве реализации A3/A8.
AuC	Центр Аутентификации. Регистр Центра Аутентификации используется в целях безопасности. Он обеспечивает параметры, необходимые для функции аутентификации и шифрования (RAND, SRES и Kc). RAND – это случайный вызов, генерируемый случайно.  Другие два параметра генерируются из RAND и Ki абонента при помощи алгоритмов A3 и A8. Эти параметры помогают подтвердить идентификацию пользователя (SRES) и предоставить сеансовый ключ (Kc).
BSC	Контроллер Базовой Станции. BSC служит общим узловым пунктом между многочисленными BTS, которые все вместе формируют одну BSS и являются основой сети.
BSS	Подсистема Базовых Станций. BSS соединяет телефон с Подсистемой Сети и Коммутации (NSS). Она отвечает за прием и передачу. BSS может быть подразделена на две части: Базовая Приемопередаточная Станция (BTS) или Базовая Станция. Оператор Базовой Станции (BSC).
BTS	Приемопередатчик базовой станции, базовая станция, с которой связывается мобильный телефон.
COMP128	Односторонняя функция, которая в настоящее время используется в большинстве сетей GSM для A3 и A8. К сожалению, алгоритм COMP128 взломан, таким образом, он выдает информацию о своей аргументации при соответствующем запросе. Это нежелательный и неприемлемый побочный эффект односторонней функции.
GPRS	Сеть с Пакетной Передачей Данных. GPRS используется для высокоскоростной передачи между мобильным телефоном и какой-либо другой стороной. GPRS утилизирует многочисленные Базовые Станции в одной Подсистеме Базовых Станций. Мобильный телефон посылает различные пакеты в различные Базовые Станции, которые реконструируются в Узле Обеспечения GPRS. Это позволяет телефону использовать более высокую скорость передачи, чем скорость передачи, возможная в одном канале связи.
GSM	Глобальная Система Мобильной связи, мобильная система телефонной связи, в основе которой лежат многочисленные радио ячейки/соты (сотовая мобильная телефонная сеть).
HLR	Регистр Положения Домашних Абонентов. Регистр Положения Домашних Абонентов – это часть Центра Аутентификации. Регистр Положения Домашних Абонентов обеспечивает Центр Коммутации трехразрядной характеристикой случайной попытки. SRES и Секретным Сеансовым Ключом, основанном на секретном ключе абонента и случайной попытке, HRL отвечает за информацию о местоположении мобильного телефона в любое время.
ISAAC	Интернет Безопасность, Приложения, Аутентификация и Криптография. Небольшая группа исследователей в Университете Беркли, Калифорния, факультет вычислительной техники. A small research group in the Computer. http://www.isaac.cs.berkeley.edu/
Kc	Секретный сеансовый ключ используется для шифрования трафика в эфире между BTS и мобильным телефоном. Секретный сеансовый ключ генерируется после каждой инициализации аутентификации Мобильного Центра Коммутации. Секретный сеансовый ключ вычисляется из Ki и случайной попытки, посланной Мобильным Центром Коммутации с алгоритмом A8. Мобильная станция и Регистр Положения Домашних Абонентов  рассчитывают Секретный сеансовый ключ независимо друг от друга. Секретный сеансовый ключ никогда не передается по эфиру.
Ki	Ki – это секретный ключ, совместно используемый SIM и Регистром Положения Домашних Абонентов домашней сети абонента.
LSB	Самый младший двоичный разряд.
LSFR	Регистр сдвига с линейной обратной связью. Регистр, генерирующий выходной бит на основании его предыдущего состояния и полинома обратной связи.
MS	Мобильная станция, мобильный (сотовый)телефон.
MSC	Мобильный Центр Коммутации, центральный компонент Подсистемы Сети и Коммутации. Мобильный Центр Коммутации осуществляет функции переключения в сети. Он также обеспечивает связь с другими сетями.
NSS	Подсистема Сети и Коммутации, ее основная роль заключается в обеспечении связи между мобильными пользователями и другими пользователями, например, пользователями ISDN, пользователями неподвижных телефонов и т.д. Она также включает базы данных, необходимые для хранения информации об абонентах, и для обеспечения их мобильности.
SDA	Ассоциация Разработчиков Смарткарт – это бюджетная организация, пытающаяся обеспечить разработчиков непатентованной информацией о смарт картах. http://www.scard.org/
SGSN	Узел Обеспечения GPRS. Узел Обеспечения GPRS отсылает пакеты Мобильным Станциям в пределах области своих услуг через многочисленные  Приемопередатчики базовой станции.  Узел Обеспечения GPRS также связывается с Регистром Положения Домашних Абонентов с целью аутентификации мобильной станции для включения шифрованной связи. Узел Обеспечения GPRS в GPRS удостоверяет мобильную станцию вместо Мобильного Центра Коммутации.
SIM	Модуль Идентификации Абонента. SIM идентифицирует абонента. Абонент может использовать одну SIM карту на многих GSM телефонах.  Все звонки оплачиваются с одного счета и номер абонента остается неизменным. SIM карта содержит IMSI, Ki и алгоритмы A3 и A8. Предполагается, что SIM защищена от подделки, таким образом, из нее невозможно извлечь Ki.
SRES	Подтвержденный результат/Подписанные отклики. Это ответ, который MS возвращает в ответ на попытку, сделанную Мобильным Центром Коммутации во время аутентификации MS, соответственно аутентификация самого Мобильного Центра Коммутации. (или Узла Обеспечения GPRS в случае GPRS).
SS7	Сигнальная Система 7 используется в самых интеллектуальных сетях в качестве сигнального протокола. SS7 определяется ITU-T.
Симметричная Криптография	В симметричной криптографии для шифрования и расшифровки используется один и тот же ключ.
VLR	Гостевой Реестр Местоположения. Гостевой Реестр Местоположения  сохраняет векторы аутентификации, сгенерированные Регистром Положения Домашних Абонентов, когда абонент не находится в своей домашней сети. Тогда по мере необходимости Гостевой Реестр Местоположения предоставляет Мобильным Центрам Коммутации эти векторы аутентификации.

3 Введение к Модели Безопасности GSM

Криптозащита GSM сетей основывается на разделяемой между SIM и HLR секретной информации. Этой секретной информацией является Ki - секретный 128-битный ключ, который храниться в SIM и HLR, и используется для генерации 32-битного отзыва (SRES) на случайный пароль (RAND) в процедуре аутентификации, а также для выработки 64-битного сессионного ключа (Kc), который используется для шифрования данных в радиоканале. При первом появлении MS в сети HLR предоставляет MSC пять троек, которые содержат случайный пароль (RAND), отзыв на этот пароль (SRES), сгенерированный при помощи секретного ключа (Ki), а так же сессионный ключ (Kc) , полученный из Ki. Каждая из троек используется только для одной сессии связи с MS и MSC. После 5 сессий MSC запрашивает у HLR новый набор из 5 троек.

Когда MS впервые появляется в области данного MSC, MSC посылает RAND из одной из троек, относящихся к данной MS. MS вырабатывает SRES при помощи А3 алгоритма, используя полученный RAND и Ki, хранящийся в SIM. MS отсылает SRES, и, если он совпадает с тем SRES, который содержится в данной тройке, то процедура аутентификации считается пройденной успешно.

 

После этого MS посылает MSC SRES, который может подтвердить, что SRES действительно соответствует Запросу, посланному соответствующей SRES от MS и SRES в тройке от HLR. Таким образом, MS удостоверяется в MSC.  Рисунок 1.

 

Рисунок 1, Аутентификация мобильной станции

Далее MS генерирует сессионный ключ Кс, при помощи алгоритма А8, используя уже полученный RAND и имеющийся Ki. Базовая станция (BTS), используемая для связи с данной MS, получает необходимый Kc у MSC. С этого момента радиоканал становится шифрованным.

 

Каждый кадр передаваемого по радиоканалу трафика кодируется своей 114-битной ключевой последовательностью. Эта последовательность генерируется при помощи алгоритма А5. Алгоритм А5 инициализируется сеансовым ключом и номером передаваемого кадра, таким образом, для каждого кадра получается собственная последовательность. Это означает, что дешифрование одного звонка возможно, только если аналитик знает Кс и номер кадра. Один и тот же Кс используется, пока MSC не инициирует процедуру аутентификации заново, при этом будет сгенерирован новый Кс. На практике один и тот же Кс может использоваться несколько дней, т.к. аутентификация не является обязательной процедурой в начале звонка и производится нечасто. См Рисунок 2.

Рисунок 2, Кадровое шифрование и расшифровка

В сети GSM шифруется только эфирный трафик. Как только BTS берет кадр,  он расшифровывает его и посылает открытым текстом оператору сети.

3.1 A3, Алгоритм аутентификации MS

Алгоритм аутентификации А3 используется для генерации отзыва SRES на случайный пароль RAND, получаемый от MSC. На входе А3 передаются RAND (128 бит) и Кi (128 бит), на выходе получают SRES (32 бита). См. Рисунок 3.

Рисунок 3, Расчет Подтвержденного результата (SRES) 

Практически все операторы GSM в мире используют алгоритм COMP128 в качестве А3 и А8 алгоритмов. СОРМ128 был утвержден Консорциумом GSM как опорный для А3 и А8. Есть пара операторов, которые используют другие, но тоже известные, алгоритмы.

На самом деле, СОМР128 на выходе генерирует 128-битную строку, но как SRES используются только первые 32 бита.

3.2 A8, Алгоритм генерации ключа секретного разговора

Алгоритм A8 – это алгоритм генерации ключа в модели безопасности GSM. A8 генерирует сеансовый ключ, Kc, из случайного числа, RAND, полученного от MSC и секретного ключа Ki. Алгоритм A8 берет два вводных 128-бит и генерирует из них 64-битный вывод. Этот вывод является выводным 64-битным сеансовым ключом Kc [6]. См. Рисунок 4. BTS получил такой же ключ Kc от MSC. HLR смог генерировать Kc, потому что HLR известны и RAND (его сгенерировал HLR) и секретный ключ Ki, который он имеет для всех абонентов данного оператора GSM сети. Один сеансовый ключ, Kc, используется до тех пор, пока MSC не примет решение снова аутентифицировать MS. Это может произойти через несколько дней.

Рисунок 4, Расчет Сеансового ключа (Kc)

 

Как указано в п. 3.1, COMP128 используется для алгоритмов A3 и A8 в большинстве GSM сетей. COMP128 генерирует одновременно и SRES, и сеансовый ключ, Kc. Последние 54 битов вывода COMP128 формируют сеансовый ключ, Kc, до тех пор, пока снова не производится аутентификация MS. См Рисунок 5. Обратите внимание, что длина ключа в этом месте составляет 54 бита вместо 64 битов, что является длиной ключа данного как ввод алгоритма A5. Десять нулевых битов прилагаются к ключу, сгенерированному алгоритмом COMP128. Таким образом, у нас есть 64 битный ключ с обнуленными последними десятью битами. Это эффективно сокращает пространство ключа с 64 битов до 54 битов. Это делается во всех реализацияхl A8, включая те, которые не используют COMP128 для генерации ключа, вероятно, это умышленное свойство реализаций алгоритма A8.

Рисунок 5, Расчет COMP128 

Оба алгоритма, A3 и A8. содержатся в SIM для предотвращения постороннего вмешательства. Это означает, что сам оператор может решать, какой из алгоритмов использовать независимо от производителей оборудования и других операторов сетей. Аутентификация работает и в других странах тоже, потому что местная сеть запрашивает у HLR пять троек домашней сети абонента. Таким образом, домашняя сеть не должна знать ничего об используемых алгоритмах A3 иA8.

3.3 A5/1, Стойкий алгоритм секретного разговора в эфире

Алгоритм A5 – это поточный шифр, используемый для шифрования передач в эфире. Поточный шифр инициализируется каждый раз для каждого отсылаемого кадра. Поточный шифр инициализируется вместе в сеансовым ключом, Kc, а номер кадра шифруется/расшифровывается. Этот же Kc используется на протяжении всего вызова, но 22-битный номер кадра изменяется во время звонка, генерируя таким образом уникальную гамму шифра для каждого кадра. См Рисунок 6.

Рисунок 6, Генерация Поточного шифра

Схема алгоритма А5 используемого в европейских странах содержит 3 LSFR различной длины (19, 22, 23 бита), суммарной длиной в 64 бита. Для получения очередного бита ключевой последовательности, выходы всех регистров складываются по модулю 2. Все 3 регистра имеют управление сдвигом, т.е. можно запретить сдвиг по очередному сигналу тактового генератора. Управление сдвигом происходит по среднему биту. Сдвиг происходит, если значение среднего бита регистра совпадает с преобладающим значением средних битов всех 3 регистров. К примеру, если значения средних битов 0 0 1, то сдвиг будет произведен только у 1 и 2 регистров, а если 1 0 1, то у 1 и 3. Таким образом, по крайней мере 2 из 3 регистров сдвигаются на каждом шаге. См. Рисунок 8.

Рисунок 7, Пример LSFR с многочленом обратной связи x⁶ + x⁴ + x

Рисунок 8, Структура A5 LSFR 

Три LSFR-а инициализируются сеансовым ключом, Kc, и номером кадра. 64-битовый сеансовый ключ Kc сначала загружается в регистр бит за битом. LSB ключа – это результат XOR в каждом регистре LSFR. Потом все регистры синхронизируются (правило синхронизации большинства отключено). Все 64 бита ключа загружаются в регистр одинаково. 22-битный номер кадра также загружается в регистр таким же образом, но с этого момента применяется правило синхронизации большинства. После того, как регистры были таким образом инициализированы, производят 100 шагов и полученную последовательность отбрасывают. Следующие 228 бит составляют выходную ключевую последовательность первые 114 бит которой используют для шифрования кадра от MS к BTS, а остальные 114 обратно от BTS к MS. Для шифрования следующего кадра, схема инициализируется заново, и процесс повторяется.

С тех пор как появились первые GSM системы, были разработаны и реализованы и другие алгоритмы A5. Основной мотивировкой было то, что оригинальный алгоритм шифрования A5 – слишком стойкий для экспорта на Ближний Восток. Поэтому первый оригинальный алгоритм  A5 был переименован на A5/1. Другие алгоритмы включают A5/0, который означает, отсутствие шифрования, и более слабый алгоритм A5/2.  В общем, алгоритмы A5 после A5/1 назывались A5/x. Большинство из них значительно слабее, чем A5/1, (имеет стойкость 2⁵⁴). Стойкость A5/2 2¹⁶. Это шифрование используется в США. О других вариантах А5 достоверных сведений нет, как, впрочем, и подтверждения того, что они успешно применяются.

4 Возможные атаки

Как и в любой системе шифрования, в системе безопасности GSM наибольший интерес представляет её стойкость к дешифрованию, особенно, если, по крайней мере, один из алгоритмов уже взломан.

Ученые во всем мире единодушны во мнении, что прослушивание, перехват и расшифровка данных, передаваемых по радиоканалу в реальном времени на данный момент пока еще невозможно, независимо от сокращения ключевого пространства. Но, вероятно, существуют другие способы взлома системы, которые представляют действительную угрозу.

4.1 Лобовая атака A5

Как было указано выше, лобовая атака системы безопасности в реальном времени  невозможна.  Сложность атаки составляет 2⁵⁴  (2⁶⁴ если 10 битов не были 0). Потребуется слишком много времени, чтобы прослушивание GSM звонков в реальном времени стало возможным. Можно было бы записать кадры между MS и BTS и после этого начать атаку.

Если мы имеем чип класса Pentium III, который содержит примерно 20 миллионов чипов, а для реализации одного набора LSFR схемы шифрования алгоритма А5 требуется 2000, то в одном чипе можно организовать примерно 10000 реализаций А5/1. При тактовой частоте 600 МГц, и если каждая реализация А5 выдает 1 бит за такт, и необходимо сгенерировать 100+114+114 бит, в реализации А5/1 можно проверять 2 миллиона ключей в секунду. Пространство ключей в 254 требует для перебора 900000 секунд или приблизительно 250 часов при одном чипе. Атака может быть оптимизирована отбрасыванием целых классов ключей после первого «плохого» бита ключевой последовательности. Это сократит требуемое время на одну треть. Атаку можно распределить между несколькими чипами, и таким образом значительно сократить время.

4.2 Атака A5 Разделяй и Властвуй

Атака Разделяй и Властвуй позволяет уменьшить стойкость алгоритма с 2⁵⁴ при лобовой атаке до 2⁴⁵, и это уже является относительно значительным изменением (2⁹   - это в 512 раз быстрее). Атака Разделяй и Властвуй  основана на известной атаке открытого текста. Атакующий пытается определить начальные состояния регистров LSFR из известной последовательности гаммы. Атакующий должен знать 64 последовательные бита гаммы, которые можно извлечь, если атакующий знает какой-либо текст шифра и соответствующий открытый текст. Это в большой степени зависит от формата GSM кадров, посылаемых туда и обратно. Кадры GSM содержат большое количество постоянной информации, например, заголовки кадров. Требуемые 64 бита не всегда могут быть получены, но 32 или 48 бит, иногда и больше,  обычно известны. Атакующему необходим только сегмент из 64 битов открытого текста.

Одним словом, атака Разделяй и властвуй реализуется путем угадывания содержания  двух более коротких LSFR, а затем вычисления третьего LSFR из известной гаммы. Это была бы атака 2⁴⁰ , если бы синхронизация первых двух регистров не зависела от третьего регистра. Вследствие того, что центральный бит третьего регистра используется для синхронизации, нам необходимо также угадать почти половину битов третьего регистра между битом синхронизации и LSB. Этот факт увеличивает сложность атаки с 2⁴⁰ до 2⁴⁵.

Однако Дж. Голик предложил другую атаку Разделяй и Властвуй, основанную на этих же предположениях, приблизительная сложность атаки 2⁴⁰ . Он описывает, как получить линейное равенство, угадывая n  биты в регистрах LSFR. Решив эти линейные уравнения, можно восстановить начальные состояния трех LSFR. Сложность решения линейных уравнений составляет 2⁴⁰. Существует только 50-процентная вероятность решения.

В этой же работе Голик предложил атаку, основанную на Парадоксе дней рождений. Целью этой атаки было восстановление начальных состояний трех LSFR в известный промежуток времени для известной гаммы, соответствующей известному номеру кадра, и, таким образом, восстановление сеансового ключа, Kc.

4.3 Доступ к сигнальной сети

Два примера, приведенные выше, четко доказывают, что криптографически алгоритм А5 ненадежен, учитывая возможность осуществить не только Лобовую атаку, но и другие атаки. В настоящее время предпринять лобовую атаку не сложно, принимая во внимание доступное сейчас оборудование. Однако, алгоритм достаточно стойкий для предотвращения перехвата в эфире и взлома шифрования в реальном времени. К сожалению, в системе GSM уязвимым участком являются не только радиоволны между MS и BTS.

Как указывалось выше, передачи шифруются только между MS и BTS. За пределами BTS в сети оператора трафик передается открытым текстом. Это открывает новые возможности.

Если злоумышленник может получить доступ к сигнальной сети оператора, он сможет слушать все передачи, включая сами телефонные звонки, а также RAND, SRES и Kc. Сигнальная сеть SS7, используемая операторами GSM сети, абсолютно незащищена, если злоумышленник получает к ней прямой доступ. При другом сценарии злоумышленник может атаковать HLR определенной сети. Если злоумышленник сможет получить доступ к HLR, он сможет извлечь все Ki абонентов данной сети. К счастью, HLR обычно более безопасна, чем вся остальная сеть, таким образом, она является менее очевидным участком для проникновения.

Получить доступ к сети не представляет особой трудности. Хотя все BTS обычно соединены кабелем, у некоторых из них связь микроволновая или спутниковая. Получить доступ к этой связи относительно просто при наличии соответствующего оборудования. Очевидно, именно эта уязвимость используется при прослушивании мобильного телефона с помощью имеющегося в продаже оборудования. К сожалению, я не могу подтвердить это, так как спецификации на это оборудование имеются только у сотрудников правоохранительных учреждений. Однако, микроволновая линия может быть зашифрована, поэтому прослушивать ее немного сложнее. Важно то, намеривается ли злоумышленник взломать шифрование A5, обеспечивающее защищу сеанса связи отдельной MS, или шифрование между BTS и BSC для получения доступа к основной сети. Также не надо исключать и возможность доступа к кабелю, идущему от BTS. Это может быть реальной угрозой, и атаку можно реализовать незаметно долгое время, если делать это аккуратно. Прослушивание информации, передаваемой между BTS и BSC, предоставит возможность злоумышленнику или прослушивать звонок, прослушивая канал, или он сможет извлечь сеансовый ключ, Kc, прослушивая канал, перехватывая звонок в эфире, сразу расшифровывая его. Теперь, когда ему известен Kc, шифрование в реальном времени не представляет проблемы.

Не стоит исключать и другой подход. Злоумышленник может выдать себя за ремонтного рабочего, проникнуть в нужное здание и установить прослушивание. Он также может подкупить инженера, и тот выдаст ему все Ki всех абонентов данного оператора связи. Таких возможностей множество, и они существуют.

4.4 Извлечение ключа из SIM

Вся модель безопасности GSM основана на секретном ключе Ki. Если этот ключ скомпрометирован, будет скомпрометирован и весь счет. Как только злоумышленник извлек Ki, он не только сможет прослушивать звонки абонентов, но и переадресовывать счета за звонки на счет абонентов, потому что теперь он может определить и легального абонента. В сети GSM есть для этого ловушка. Если два телефона с одним и тем же ID включаются одновременно, сеть GSM замечает это, производит запрос о местонахождении этих телефонов, замечает, что один и тот же телефон находится в двух местах одновременно, и закрывает счет, не давая возможность звонить ни злоумышленнику, ни законному абоненту. Но это не происходит, если злоумышленник заинтересован только в прослушивании звонков абонента. В этом случае, злоумышленник  может оставаться пассивным и просто прослушивать звонок, оставаясь невидимым для сети GSM.

Ассоциация Разработчиков Смарткарт и исследовательская группа ISAACобнаружили дыру в алгоритме COMP128 algorithm, которая позволяла извлекать секретный ключ, Ki, из SIM. Атака предпринималась на SIM, к которой у них был физический доступ, однако, такая же атака применима и в эфире.

Атака основывалась на атаке выбранный вызов, которая выполнима, т.к. алгоритм COMP128 взломан таким образом, что при помощи атаки извлекается информация о Ki, когда соответствующим RAND задаются как аргументы алгоритма A8. Доступ к SIM был получен через Smartcard reader, соединенной с PC. PC делал около 150.000 вызовов SIM, SIM генерировала SRES и сеансовый ключ, Kc, основанный на вызове и секретном ключе. Секретный ключ можно было вычесть из отклика SRES путем дифференциального криптоанализа. Smartcard reader, используемая для реализации атаки, могла произвести 6.25 запросов  SIM card в секунду. Для реализации атаки требовалось 8 часов. Ее результаты необходимо было тщательно проверить, но тем не менее это было относительно быстро по сравнению с настоящей атакой.  Таким образом, злоумышленнику требуется доступ к SIM  хотя бы в течение 8 часов. Эта уязвимость также имеет социальный сценарий (привлечение инженера). Можно предположить, что коррумпированный GSM дилер клонирует SIM карты таким образом и продаст клонированные карты третьим лицам, которые хотят остаться неизвестными и не желают покупать подлинные SIM карты. Клонированная  SIM карта может также быть продана кому-либо с целью прослушивания впоследствии его разговоров. Коррумпированный сотрудник также может предоставить злоумышленнику SIM жертвы, чтобы клонировать SIM и впоследствии прослушивать разговоры владельца карты. Все это очень реалистичные сценарии. модель безопасности системы GSM полностью Уязвимость, обнаруженная в алгоритме COMP128, компрометирует всю модель безопасности системы GSM и оставляет абонентов без защиты. 

4.5 Извлечение ключа из SIM карты в эфире

Исследователи SDA  ISAAC уверены, что такая же атака с клонированием SIM карты может быть реализована и эфире. К сожалению, они не могут подтвердить свое предположение, потому что оборудование, необходимое для этого, незаконно в США. Атака в эфире основана на следующем. Требуется, чтобы MS откликалась на каждый вызов сети GSM. Если мощность законного сигнала BTS превышена нестандартной BTS злоумышленника, злоумышленник может бомбардировать вызовами целевую MS   и реконструировать секретный ключ по откликам. MS должна быть доступна злоумышленнику в эфире все время, необходимое для атаки. Неизвестно, сколько времени продлится атака в эфире. Предположительно от 8 до 13 часов.

Атака может быть предпринята в метро, когда недоступен сигнал законной BTS, но телефон включен. Абонент не заметит атаку, хотя тот факт, что батарейка разрядится быстрее обычного, может озадачить его. Атаку также можно реализовать по частям: вместо того, чтобы атаковать в течение 8 часов, злоумышленник может воздействовать на телефон ежедневно в течение 20 минут, пока жертва идет на работу. Когда SIM карта будет клонирована, SIM-клон можно использовать только до тех пор, пока абонент не воспользуется новой SIM картой, что на практике это случается редко.

При другом сценарии абонент может находиться в рабочей командировке за границей. Злоумышленник каким-то образом заставил местного оператора GSM предпринять атаку на мобильный телефон абонента. Злоумышленник снова сможет реконструировать Ki на основании SRES ответов мобильной станции, и атака, вероятно, не будет замечена, потому что вызовы приходили с законной сети.  Помните, локальной сети ничего не известно о Ki, потому что тройки исходят от  HLR домашней сети абонента. Таким образом, локальная сеть должна вычесть Ki  из откликов A3.

4.6 Извлечение ключа из AuC

Такая же атака по извлечению Ki из SIM карты может быть использована для извлечения Ki из AuC. AuC не получает ответ на запросы, сделанные сетью GSM и возвращает действительные тройки для аутентификации MS. Процедура в основном похожа на процедуру получения доступа SIM карты в MS. Различие состоит в том, что AuC гораздо быстрее обрабатывает запросы, чем SIM карта, потому что ему нужно обработать гораздо больше запросов, чем одной SIM карте. Безопасность AuC играет большую роль для предотвращения возможности атаки, но это не является темой данной работы.  

4.7 Взлом алгоритма A8

Также существует вероятность, что кто-либо может без особых усилий взломать алгоритм генерации ключа A8 и извлечь секретный ключ, Ki, основанный на случайном вызове, RAND, сеансовом ключе, Kc, и отклике SRES (предполагается, что один и тот же алгоритм используется в A3 и A8, как в случае с COMP128). Например, злоумышленник может найти RAND, который производит в результате Ki (самый легкий пример). Все три переменные относительно просто найти. RAND и SRES отсылаются по эфиру открытым текстом. Сеансовый ключ Kc можно относительно легко при наличии достаточного количества времени вычесть из зашифрованных кадров и известного открытого текста. Уязвимость такого рода в алгоритме генерации ключа, конечно, разрушит всю систему безопасности GSM и даст Консорциуму GSM повод для размышления, когда они будут изобретать свои следующие алгоритмы безопасности.

5 Безопасность GPRS против GSM Безопасности

В системе GPRS кадры транслируются из MS в SGSN в виде шифрованного текста, потому что система GPRS использует множество  таймслотов параллельно в сети, увеличивая таким образом скорость передачи MS. Кадры могут отсылаться параллельными таймслотами в одну и ту же BTS или в две различные BTS, если MS передается от одной BTS другой.

BTS видит передачу одного таймслота в виде отдельного звонка. Таким образом, BTS не в состоянии сложить воедино все кадры из различных таймслотов. Это значит, что в сети должен быть компонент, который мог бы получать кадры от одной MS, дефрагментировать их и отсылать их далее по назначению.  BTS-и не в состоянии расшифровывать кадры, потому что последовательные кадры в одном канале не имеют последовательных номеров кадров. См Рисунок 9. Для того, чтобы облегчить выполнение задачи, кадры расшифровываются в SGSN, где заканчиваются все кадры и где действительно просто отследить номера кадров. Решение основано на простоте выполнения, оно не выполнялось, чтобы усилить систему безопасности.  В качестве побочного эффекта, система GPRS эффективно предотвращает прослушивание между BTS и SGSN, потому что на этом участке кадры все еще зашифрованы. В GPRS тройки от HLR передаются в SGSN, но не в MSC. Таким образом, безопасность GPRS зависит в большой степени от размещения и безопасности Узлов Обеспечения GPRS.

Рисунок 9, Архитектура GPRS 

Система GPRS использует также и новую реализацию A5, в свободном доступе ее нет. Этот факт и тот факт, что кадры расшифровываются не в BTS, а в SGSN, препятствует нескольким атакам. Во-первых, очень трудно атаковать реализацию A5, когда она неизвестна. Во-вторых, Kc не транслируется в BTS-и, канал передачи между BTS и SGSN зашифрован, что делает бесполезным прослушивание между BTS и SGSN. Это не означает, что модель безопасности GPRS сильнее модели безопасности только GSM. Это означает, что одинаковые атаки не работают на GPRS, но срабатывают просто в сети GSM. Как только станет известно о реализации A5, используемой в in GPRS, модель безопасности GPRS будет подвержена новым атакам. А реализация обязательно станет известна, или дизайн будет успешно инвертирован.  Как было указано выше, безопасность крипто системы будет основана только на ключе. Однако, большинство атак против исключительно системы GSM можно применить и против GPRS. К примеру, атака клонирования SIM. Кроме того, модель GPRS демонстрирует еще одну угрозу безопасности из-за использования SGSN, которым от HLR известны тройки. Это означает, безопасность сети GPRS в большой степени зависит от расположения SGSN в архитектуре сети и от их безопасности. Если SGSN уязвимы для атаки, тройки тоже уязвимы.

6 Возможные усовершенствования

Безопасность на некоторых участках может быть осуществлена относительно простыми способами. Оператор может использовать другой криптографически прочный алгоритм для  A3. Для этого необходимо будет выпустить новые SIM карты для всех абонентов и обновить программное обеспечение HLR. Это – действенный способ не позволить злоумышленнику клонировать SIM-карты, ведь это самая опасная атака, как указывалось выше. Это будет самое первое усовершенствование здесь, потому что оператор сети может сам внести изменение, и ему не потребуется поддержка производителей программного обеспечения и оборудования или Консорциума GSM.

Другое решение – это использование новой реализации А5 со стойким шифрованием, чтобы предотвратить лобовую атаку. Это не даст возможность злоумышленнику записывать транслируемые кадры и взламывать их. Это усовершенствование потребует сотрудничества с Консорциумом GSM. Производители программного обеспечения и оборудования должны будут выпустить новые версии программного обеспечения и оборудования, содержащие новый алгоритм  A5.

Третий способ усовершенствования – шифрование трафика в основной сети оператора между компонентами сети. Это усовершенствование можно осуществить и без благословений Консорциума GSM, но потребуется сотрудничество производителей оборудования.

В общем, все вышеназванные усовершенствования осуществить не трудно. В основном, они потребуют новых затрат со стороны сетевого оператора, поэтому он не будет считать их очень привлекательными. Таким образом, эти усовершенствования не будут осуществлены, пока не станет общеизвестно о ненадежности сетей GSM, и сетевые операторы будут вынуждены усовершенствовать безопасность сети. Все эти три усовершенствования  необходимы, чтобы защитить сеть от атак, о которых было рассказано в данной работе.

7 Заключение

Модель безопасности GSM может быть взломана на многих уровнях, это делает ее уязвимой для множества атак, нацеленных на различные участки сети.

Интересен тот факт, что, если бы алгоритмы безопасности не были взломаны, архитектура GSM до сих пор была бы уязвима для основы сети оператора или Регистров Положения Домашних Абонентов, и можно было бы осуществлять разнообразные социально-инженерные сценарии, когда злоумышленник подкупает сотрудника оператора и т.д.  

Кроме того, доказано, что секретно разработанные алгоритмы безопасности, внедренные в систему  GSM, имеют дефекты. Алгоритм A5, используемый для шифрования канала передачи в эфире уязвим относительно известного открытого текста и атаки «разделяй и властвуй», а преднамеренно сокращенное пространство ключа достаточно мало для выполнения лобовой атаки. Доказано, что алгоритм COMP128, используемый в большинстве сетей GSM, как алгоритм A3/A8, имеет дефект, так что секретный ключ Ki может быть реконструирован в эфире при помощи атаки избранный вызов приблизительно за 10 часов.

Все это означает, что если кто-либо намерен перехватить звонок GSM, он сможет это сделать.  Нельзя допускать, что модель безопасности GSM предоставляет защиту от любого злоумышленника. Требующиеся ресурсы зависят от избранной атаки. Таким образом, при передаче конфиденциальной информации по сети GSM нельзя полагаться только на модель безопасности GSM.

Кроме возможности перехвата звонка, алгоритм COMP128, имеющий дефект, позволяет клонировать SIM карту, предоставляя злоумышленнику возможность выполнять звонки за чужой счет.  Данная тема выходит за рамки этой работы.

Современный стандарт GSM и его реализация позволяют и клонирование абонента, и прослушивание звонка. Хотя реализовать клонирование и прослушивание звонка труднее с точки зрения использования цифровых технологий, по сравнению с аналоговыми, угроза очень реальна, особенно в тех случаях, когда транслируемые данные представляют ценность. В основном, мы и сейчас оказываемся в том же положении, что касается безопасности, как и с аналоговыми сотовыми телефонами, хотя Консорциум GSM отрицает это.

Ссылки

[1]	Anderson Ross, A5 - The GSM Encryption Algorithm, 17.6.1994, [referred 30.9.1999] < http://chem.leeds.ac.uk/ICAMS/people/jon/a5.html >
[2]	Anon., Crack A5, [referred 29.9.1999] < http://jya.com/crack-a5.htm >
[3]	Anon., GSM Alliance Clarifies False & Misleading Reports of Digital Phone Cloning, [referred 29.9.1999] < http://jya.com/gsm042098.txt >
[4]	Anon., GSM Cell phones Cloned, [referred 29.9.1999] < http://jya.com/gsm-cloned.htm >
[5]	Anon., GSM Cloning, [referred 24.10.1999] < http://www.isaac.cs.berkeley.edu/isaac/gsm-faq.html >
[6]	Briceno M. & Goldberg I. & Wagner D., An Implementation of the GSM A3A8 Algorithm, [referred 29.9.1999] < http://www.scard.org/gsm/a3a8.txt >
[7]	Briceno M. & Goldberg I. & Wagner D., A Pedagogical Implementation of A5/1, [referred 29.9.1999] < http://www.scard.org/gsm/a51.html >
[8]	Golic J. Dj., Cryptanalysis of Alleged A5 Stream Cipher, [referred 29.9.1999] < http://jya.com/a5-hack.htm >
[9]	Margrave David, GSM Security and Encryption, [referred 30.9.1999] < http://www.net-security.sk/telekom/phreak/radiophone/gsm/gsm-secur/gsm-secur.html >
[10]	Racal Research Ltd., GSM System Security Study, 10.6.1988, [referred 29.9.1999] < http://jya.com/gsm061088.htm >
[11]	Schneier B., Applied Cryptography, 2nd Ed., Wiley, New York, 1996, 758, [referred 29.9.1999]
[12]	Kari H., Email Communication

Дополнительная информация

Shepherd S. J., Cryptanalysis of the GSM A5 Cipher Algorithm, IEE Colloquium on Security and Cryptography Applications to Radio Systems, Digest No. 1994/141, Savoy Place, London, 3 June 1994

 

Shepherd S. J., An Approach to the Cryptanalysis of Mobile Stream Ciphers, IEE Colloquium on Security and Cryptography Applications to Radio Systems, Digest No. 1994/141, Savoy Place, London, 3 June 1994

Мне кажется, оба документа, названные выше, предоставят много информации о поточном алгоритме А5 и его слабых сторонах. К сожалению, в целях безопасности секретная служба Великобритании объявила этот документ секретным, ПРОСМОТР ТОЛЬКО ДЛЯ ВЕЛИКОБРИТАНИИ.