Обзор алгоритмов шифрования и возможных атак протокола GSM
GSM – старое название Group Special Mobile, ну а современная расшифровка Global System for Mobile Сommunications – наиболее широко используемый стандарт мобильной связи, насчитывающий около 100 млн. абонентов.
2 РАЗВИТИЕ GSM Стандарт является одним из первых цифровых систем цифровой мобильной связи, пришедший на смену аналоговым. Развитие GSM началось в 1982 году, когда была создана Groupe Speciale Mobile, организация прогнозирования и исследования систем сотовой связи в Европе. В 1987 проведены испытания ряда систем, которые включили проверки спектральной эффективности, качества речи и радио-интерфейса, а в январе 1992 года с запуском первой сети GSM в Финляндии аббревиатура получила современную расшифровку. К концу года число сетей выросло до 14. На следующий год сеть была запущена неевропейской компанией. Такое бурное развитие послужило к закреплению за стандартом нового диапазона 1800МГц (изначально был тока 900МГц). С 2002 году поддержку стандарта осуществляет 3GPP (3rd Generation Partnership Project).
3 АЛГОРИТМЫ GSM Создание методов защиты и передачи информации в стандарте GSM велось в основном секретно, и выдавалось операторам связи только по мере необходимости. Разработчики полагались на Безопасность из-за Неизвестности, т. е. алгоритмы сложнее взломать, если они не доступны публично. Но согласно предположению Керкхоффа, наиболее безопасными являются системы, криптозащищенность которых зависит только от ключа, алгоритмы же, наоборот, должны быть открыты и подвергнуты исследованию для выявления уязвимостей. Нет ничего тайного, что не стало бы явным, так произошло и с GSM. Раскрытие алгоритмов шифрования и аутентификации привело к снижению безопасности стандарта. Но вначале разберем на сѐм основывается защищенность в протоколе. В GSM определены следующие механизмы безопасности: Аутентификация (авторизация идентификатора абонента) Секретность передачи данных (Конфиденциальность идентификатора абонента) Секретность абонента (Конфиденциальность сигнальных данных) Секретность направлений соединения абонентов Система построена на алгоритмах шифрования с открытым ключом, суть которых заключается в наличии у каждой стороны секретного и открытого ключа, при этом секретный не может быть выведен из открытого. Расшифровка сообщения, зашифрованного при помощи открытого ключа возможна, только если известен секретный ключ. Также используются симметричные алгоритмы, суть которых заключается в наличии сеансового ключа, к-й используется как для шифрования, так и расшифрования сообщений.
3.1 Аутентификация Позволяет избежать клонирования мобильного телефона абонента. Для этого абоненту выдается временный международный ид-й номер пользователя IMSI, который действителен только в пределах зоны расположения а так же индивидуальный 128-битный ключ авторизации Ki. Схемы спроектированы так, что ни одно из этих значений напрямую через радио канал не передается. Ключ Ki известен обоим сторонам. В аутентификации используется SIM-карта и Центр Авторизации (Authentication Center AuC). Auc генерирует 128 битовое значение RAND и посылает мобильной станции, в ответ получает 32-битное значение SRES=A3(RAND, Ki) которое сравнивает с вычисленным самостоятельно тем же алгоритмом A3. В мобильной станции A3 прошит в SIM-карте.
3.2 Генерация сеансового ключа На мобильной станции производится алгоритмом A8, вновь используя полученный RAND и имеющийся Ki. Сеансовый ключ Kc вычисляется и в AuC. С этого момента радиоканал считает шифрованным. Сегодня реализация A3\A8 в основном использует алгоритм COMP128, который сразу вычисляет и SRES и Kc значение(см рис). Ключ Kc имеет длину 64 бит, образуется добавлением к 54 битам, полученным данным алгоритмом, десяти нулевых битов – это значение и является входом для алгоритма шифрования A5 разговора. В мобильной станции A8 также как и A3 прошит в SIM-карте.
3.3 Передача информации Осуществляется алгоритмом A5 по кадрам, который в качестве параметров шифрования получает сеансовый ключ Kc и 22-битный номер кадра Frame, а на выходе каждому кадру соответствует 114-битовая кодовая последовательность. Сеансовый ключ может использоваться несколько дней, т.к. аутентификация является необязательным действием при звонке по телефону. Т.о. для дешифрации аналитик должен знать номер кадра и Kc. Схема алгоритма А5 используемого в европейских странах содержит 3 LSFR различной длины (19, 22, 23 бита), суммарной длиной в 64 бита. Для получения очередного бита ключевой последовательности, выходы всех регистров складываются по модулю 2. Все 3 регистра имеют управление сдвигом, т.е. можно запретить сдвиг по очередному сигналу тактового генератора. Три LSFR-а инициализируются сеансовым ключом Kc и номером кадра. 64-битовый сеансовый ключ Kc сначала загружается в регистр бит за битом Потом все регистры синхронизируются (правило синхронизации большинства отключено). Все 64 бита ключа загружаются в регистр одинаково. 22-битный номер кадра также загружается в регистр таким же образом, но с этого момента применяется правило синхронизации большинства. После того, как регистры были таким образом инициализированы, производят 100 шагов и полученную последовательность отбрасывают. Следующие 228 бит составляют выходную ключевую последовательность первые 114 бит которой используют для шифрования кадра от MS к BTS, а остальные 114 обратно от BTS к MS. Для шифрования следующего кадра, схема инициализируется заново, и процесс повторяется. В 2002-2003 было опубликовано много статей, в которых утверждалось, что стандарт GSM взломан, а прослушивать разговоры, и даже «клонировать» базовую станцию или терминал абонента.
4 ВОЗМОЖНЫЕ АТАКИ GSM Во-первых следует отметить, по данным на конец 2006 года ученые во всем мире единогласно полагают, что одновременное прослушивание, перехват и расшифровка данных по радио каналу в РЕАЛЬНОМ времени невозможна. Однако видимо существуют иные способы взлома GSM. Рассмотрим несколько типов атак.
4.1 Лобовая атака A5 Сложность 2^54, в реальном времени невозможна. Единственный вариант записать перехваченные фреймы. 250 часов при одном чипе в 600Mhz, каждая реализация А5 выдает 1 бит за такт.
4.2 Атака A5 Разделяй и Властвуй Позволяет уменьшить стойкость алгоритма с 2^54 до 2^45. Основана на атаке открытого текста. Зная сегмент из 64битов открытого текста, аналитик пытается определить начальные состояния регистров LSFR, Кадры GSM содержат большое количество постоянной информации, например, заголовки кадров, что даѐт шанс получить искомую последовательность.
4.3 Доступ к сигнальной сети Основана на том, что от базовой станции до Центра Коммутации, Контроллеру Базовой Станции и другим компонентам оборудования оператора сигнал поступает открытым текстом по сигнальной сети SS7. Передача по сигнальной сети может осуществляться не тока по кабелю, но и через спутники или микроволновую линию, доступ к которым получить возможно, используя имеющееся в продаже оборудование.
4.4 Получение ключа из SIM Знание секретного ключа Ki является ключевым в шифровании сообщений стандарта GSM, такоим образом получение этого ключа дает криптоаналитику возможность безпрепятственного получения открытого текста. Получить ключ с сервера является достаточно сложной задачей, однако есть и другая возможность – получение этого же ключа, но зашитого в Sim-карте. Исследовательской группой ISAAC была обнаружена ошибка в алгоритме COMP128 которая позволяла при физическом контакте с картой проводить атаку. Также утверждалось что подобная атака возможна и в эфире. С помощью PC и SmartCardReader было произведено около 150000 запросов к SIM на которые ушло около 8 часов. (6.25 запросов SIM в секунду). Карта генерировала SRES и сеансовый ключ, из этих данных путѐм дифференциального криптоанализа был вычислен секретный ключ. Т.О. клонирование сим-карт производителем с целью передачи их 3-им лицам, практически оставляет законных абонентов безоружными.
4.5 Получение ключа из SIM карты в эфире Провести эту атаку групее ISAAC не удалось, т.к. необходимое оборудование является незаконным в США. Заключается она в следующем: Когда сигнал BTS злоумышленника превышает сигнал базовой станции абонента, криптоаналитик может бомбардировать MS запросами нужного формата и получать соответствующий отклик. Возможно провести атаку в местах слабого сигнала базовой станции или местах его отстутствия, например в метро. Предположительное время атаки: 8-13 часов. Возможно разбить атаку на интервалы по неск. минут, что упрощает проблему физической реализации данного метода.
4.6 Получение ключа из AuC Основана на ислледовании информации которая поступает от базового оператора к оператору осуществляющим роуминг в другой точке планеты в случае,конечно, если абонент использует роуминг в данный момент.
4.7 Взлом алгоритма A8 Заключается в поиске RAND, который производит заданный ключ Ki. Это представляется сделать возможным т.к. RAND и SRES передаются по эфиру открытым текстом.
4.8 GPRS и GSM SGSN - Узел Обеспечения GPRS, который обрабатывает запросты от телефона, расшифровывая кадры и отсылая далее по назначению. Кадры шлются сразу параллельно на несколько базовых станции для увеличения скорости передачи данных, поэтому на одну конкретную BTS поступают последовательные кадры с непоследовательными номерами. До SGSN кадры поступают также в зашифрованным виде, что также затруднят ряд атак. Новый алгоритм A5 передачи данных по GPRS неизвестен на данный момент, поэтому данная область криптоанализа GSM станет доступной, когда станут известны новые алгориты шифрования GPRS, а это рано или поздно произойдет, так что работы криптоаналитакам на ближайщее будещее больше чем достаточно!
Категория: GSM | Добавил: xDVx (12.04.2008)
| Автор: Александр
Каталог статей
