Регистры сдвига в схеме А5 имеют не только короткую длину, но и слабые прореженные полиномы обратной связи. Это дает шансы на успех еще одной атаке – корреляционному анализу, позволяющему вскрывать ключ по просачивающейся в выход информации о заполнении регистров. В июне 1994 года д-р Саймон Шеферд из Брэдфордского университета должен был представить на коллоквиуме IEEE в Лондоне свой корреляционный способ вскрытия А5. Однако, в последний момент его выступление было запрещено спецслужбой GCHQ, Штаб-квартирой правительственной связи. Доклад был сделан лишь на закрытой секции и опубликован в засекреченном сборнике [SS94].
Прошла еще пара лет, и до анализа А5 дошли руки у сербского криптографа д-ра Иована Голича, наиболее, вероятно, авторитетного в академических кругах специалиста по поточным шифрам [JG97]. С чисто теоретических позиций он описал атаку, позволяющую легко вскрывать начальные заполнения регистров всего по 64 битам шифрпоследовательности. (Справедливости ради надо, правда, отметить, что в реальности данная атака оказалась значительно более трудоемкой. Проведенный в стенах Microsoft эксперимент [PL98] действительно привел к вскрытию ключа, но понадобилось для этого около двух недель работы 32-узлового кластера машин РП-300. Практичной такую атаку никак не назовешь. Правда, и репутация у криптоэкспертов Microsoft, мягко говоря, не блестящая.) Но в той же работе Голича был описан и еще один метод, известный в криптоанализе под общим названием «балансировка время-память», позволяющий существенно сокращать время вскрытия за счет интенсивных предвычислений и хранения предварительных данных в памяти. Так, к примеру, можно было сократить количество опробований вариантов ключа всего до смешных 222 (вскрытие просто «влет»), но для этого требовались 64 терабайта дисковой памяти (что, понятное дело, тоже трудно назвать приемлемыми цифрами для практичной атаки). Но сама идея четко продемонстрировала метод постепенного выхода на реальное соотношение параметров.
А вскоре пошли и сигналы уже о действительном вскрытии защиты системы GSM.
Клонирование и перехватВ апреле 1998 г. группа компьютерных экспертов и криптографов из Калифорнии широко объявила и продемонстрировала, что ей удалось клонировать мобильный телефон стандарта GSM. Ранее всеми по умолчанию предполагалось, что цифровые сети GSM гораздо надежнее защищены от этой напасти, приносящей миллионные убытки сетям аналоговой сотовой телефонии [SC98].
Возглавлял группу Марк Брисено (в Сети более известный как Лаки Грин), глава ассоциации SDA (Smartcard Developer Association), представляющей интересы разработчиков программного обеспечения для смарт-карт. Избрав своей целью определить степень стойкости GSM к попыткам клонирования, исследователи занялись обратной разработкой модуля SIM – той самой смарт-карты, что вставляется в сотовый телефон, содержит алгоритмы АЗ-А8 и однозначно идентифицирует абонента. В процессе подготовки к работам по вскрытию содержимого чипа, в руки к исследователям неисповедимыми путями попало описание «алгоритма COMF128» – наиболее широко распространенной практической реализации АЗ-А8 в SIM-модулях. Эта документация помогла быстрее и полностью восстановить всю необходимую информацию о схеме. После этого Брисено пригласил для ее анализа двух молодых, но уже известных криптоаналитиков, аспирантов Калифорнийского университета в Беркли Дэвида Вагнера и Иэна Голдберга. Тем понадобилось всего несколько часов, чтобы отыскать в схеме фатальные прорехи и разработать метод извлечения из смарт-карты секретного содержимого с помощью 219 опросов чипа (примерно 8 часов).
Представители консорциума GSM, как это принято, сразу же объявили полученные результаты «лабораторными» и не несущими реальной угрозы пользователям сотовой связи. По сути, угроза была представлена «нереальной» лишь на том основании, что в США обладание оборудованием для клонирования и публичная практическая демонстрация разработанной атаки являются противозаконными. Но уже очень скоро стали появляться сообщения о демонстрации клонирования телефонов GSM в странах с иным законодательством, в частности, в Германии [СС98].
Затем, вместе с освоением новых способов атак – через анализ побочных каналов утечки информации – появились и намного более эффективные методы клонирования. Так, в 2002 г. группа криптографов исследовательского центра IBM продемонстрировала, что взламывать алгоритм СОМР128 и клонировать SIM-карту можно меньше чем за минуту [RR02].
Об имеющихся на рынке средствах перехвата и мониторинга GSM (сама возможность чего до неприличия долго отрицалась официальными представителями MoU) наиболее красноречиво рассказывают реальные объявления в Интернете. Чтобы не ходить далеко, достаточно процитировать текст веб-страницы одного из виртуальных магазинов, развернутых в России в конце 1990-х годов (вскоре, правда, сайт упрятали из общего доступа поглубже – по той же, в сущности, схеме, как это делают все солидные-официальные торговцы подобной аппаратурой):
Система профессионального тестирования и мониторинга GSM
Используя наше уникальное аппаратное и программное обеспечение, «Система…» будет отслеживать звонки в границах выделенной области, оставаясь подключенной к соединению. Она будет выводить на дисплей управляющие команды, идущие на телефон и от телефона, отслеживать речевой канал (голос) и резервный канал (где проходят: SIM – номер модуля идентификации абонента, IMSI – международный идентификатор абонента мобильной связи, TMSI – временный идентификатор абонента, SAK – ключ аутентификации абонента, PIN – номер персональной идентификации и другая информация). Процесс декодирования и выполнения всех калькуляций занимает около 2,5 минут, так что длительность телефонного соединения, которое вы отслеживаете, должна быть по крайней мере такого же порядка, чтобы устройство мониторинга могло обработать и проверить всю информацию, включая соответствующие значения для программирования нового SIM [т. е. для клонирования GSM-телефона]. Программное и аппаратное обеспечение позволяют отслеживать конкретные номера телефонов. Можно создавать «файлы регистрации данных» (data log flies) для последующего анализа, а аудиоинформацию можно записывать для контроля с помощью звукозаписывающего оборудования (в поставку не входит). В комплект поставки входит подробное Руководство и программное обеспечение для Windows или DOS. Данная система разработана для 900 Мгц GSM – cemeu. Цена – 4500 долларов. Все заказы оплачиваются через Western Union или трансфером банк-банк.
Тотально ослабленная защитаВ начале 1999 года в ассоциации SDA были полностью восстановлены и проверены на реальных тестовых векторах криптосхемы алгоритмов А5/1 и А5/2. Обратное восстановление А5/2 подтвердило уже имевшуюся информацию, что в этой схеме добавлен еще один короткий регистр длиной 17 бит, управляющий движением бит в остальных трех регистрах. Вагнеру и Голдбергу очень быстро удалось продемонстрировать, что в этих условиях для вскрытия системы достаточно лобовым перебором (сложность 216) отыскать заполнение управляющего регистра. Делается это всего по двум фреймам сеанса связи длиной по 114 бит (в системе GSM первые два фрейма шифрпоследовательности известны, поскольку шифруются одни нули). Другими словами, вскрытие такого шифра осуществляется буквально «на лету», за 15 миллисекунд работы рядового персонального компьютера [DW 99].
Подводя своего рода итог проделанному в Smartcard Developer Association исследованию, Лаки Грин следующим образом выразился о соотношении декларируемой и истинной безопасности проанализированной системы: «Мой опыт работы с GSM показывает, что разведывательные службы, стоящие как известно, за всеми криптоалгоритмами GSM, используют в своей работе весьма специфический подход. Разведслужбы компрометируют любой и каждый компонент криптосистемы, какой только можно скомпрометировать. Разведслужбы, имея такую возможность, ослабляют компонент просто потому, что могут это сделать, а не потому, что им это нужно. Это как бы извращенное воплощение в целом правильного принципа многократной избыточности» [LG 99].
Это весьма сильное, прямо скажем, заявление Лаки Грин затем подтверждает на конкретных примерах выявленных в GSM слабостей, серьезным образом компрометирующих систему.
• Скомпрометирована эффективная длина сеансового ключа. В 64-битном ключе, который А8 генерирует для А5, последние 10 бит принудительно обнулены. Это совершенно умышленное ослабление системы примерно в 1000 раз.
• Скомпрометирована система аутентификации и алгоритм генерации секретного ключа. Известно, что о слабостях в СОМР128, обнаруженных SDA в 1998 году, участники GSM MoU были официально уведомлены еще в 1989 году. То есть задолго до широкого распространения GSM. Имеющаяся в MoU «группа экспертов по алгоритмам безопасности» (SAGE), состоящая из никому неведомых людей, сохранила в тайне это открытие и не стала информировать о нем даже собственно членов MoU. В результате чего разведслужбы имеют возможность клонировать телефоны и вычислять секретные ключи абонентов непосредственно в ходе сеанса связи.
• Скомпрометирован сильный алгоритм шифрования А5/1. В этом шифре с 64-битным ключом имеются многочисленные конструктивные дефекты, приводящие к стойкости, не превышающей стойкость шифра с 40-битным ключом (другими словами, стойкость понижена на 6 порядков или в миллион раз). Непостижимо, каким образом столь очевидный дефект мог быть упущен французскими военными разработчиками.
• Скомпрометирован более слабый алгоритм шифрования А5/2. Хотя в MoU признают, что вскрываемость шифра и была целью разработки А5/2, тем не менее в официальных результатах анализа SAGE сказано, что им неизвестно ни о каких криптографических дефектах в А5/2.
Чтобы обеспечить перехват и дешифрование GSM-трафика, отмечает Лаки Грин, было бы достаточно скомпрометировать эффективную длину ключа. Было бы достаточно скомпрометировать алгоритм генерации ключа. Было бы достаточно скомпрометировать алгоритм шифрования. Но спецслужбы сделали все три эти вещи. Такое можно назвать лишь «хорошо продуманной гарантированно избыточной компрометацией».
И, наконец, еще один очень существенный нюанс. Все шифрование разговоров в системе GSM осуществляется только на канале между мобильным телефоном и базовой станцией, то есть в «эфирной» части передачи. При наличии санкции суда на прослушивание звонков правоохранительные органы всегда имеют возможность подключиться непосредственно к базовым станциям, где уже нет никакого шифрования. Так что единственной причиной для тотального ослабления криптозащиты оказывается «нелегальный» доступ без каких бы то ни было ордеров и санкций.
Вскрытие А5/1Вскоре, в декабре 1999 г., под натиском университетских криптографов пал, можно считать, и самый сильный элемент в защите GSM – алгоритм шифрования А5/1. Израильские математики Ади Шамир и Алекс Бирюков (чуть позже к ним присоединился американец Дэвид Вагнер) опубликовали работу, в которой описан созданный ими весьма нетривиальный, но по теоретическим расчетам весьма эффективный метод вскрытия А5/1.
Ади Шамира вполне заслуженно называют «патриархом израильской академической криптографии». Еще в 1977 году, работая в США совместно с Рональдом Райвестом и Леонардом Адлеманом, Шамир участвовал в создании знаменитой криптосхемы с открытым ключом RSA (здесь «S» – это Shamir). В 80-е годы им разработано несколько криптографических протоколов и криптосхем. На рубеже 1980-1990-х, работая совместно с Эли Бихамом, Шамир создал метод дифференциального криптоанализа, в открытом академическом сообществе ставший основой практически всех современных методов исследования и вскрытия блочных шифров (подобные работы спецслужб ведутся в строжайшем секрете). Совместный же с Бирюковым криптоанализ А5/1 стал, похоже, первым обращением Шамира к исследованию поточных шифров на основе регистров сдвига – класса схем, более характерных для военной, а не коммерческой криптографии.
Характеризуя изобретенный метод вскрытия А5, Шамир выразился так: «Это весьма сложная идея, реализуя которую мы наступаем на многих фронтах, чтобы накопить несколько небольших преимуществ, но сложенные все вместе они дают большой выигрыш». Если чуть более подробно, то новый метод атаки использует тонкие слабости в структуре регистров сдвига, необратимый механизм их движения, а также частые перезагрузки регистров, применяемые в GSM. Развивая потенциал балансировки «время-память», ученые создали два родственных вида атак, реализуемых на персональном компьютере с увеличенным объемом внешней памяти. Для успеха первой атаки требуется выходная последовательность алгоритма А5/1 в течение первых двух минут разговора – тогда ключ вычисляется всего за секунду (но в реальных условиях получить для анализа эти две минуты крайне проблематично). Вторая атака требует выход А5/1 всего за две секунды, но на вычисление ключа тогда затрачивается несколько больше времени – несколько минут. Все расчеты были подтверждены реальными вычислительными экспериментами. Попутно следует отметить, что факт реальной длины ключа не в 64, а лишь в 54 бита криптографами не использовался.
Теперь будем делать по-другому?К началу 2000-х годов уже почти все эксперты в области защиты информации (спецслужбы, как обычно, воздерживаются от комментариев) сошлись во мнении, что разработка мер безопасности для широко используемых систем в тайне от общественности – это в корне порочный путь. Единственный способ гарантировать надежную безопасность – это честно дать возможность проанализировать систему защиты всему сообществу специалистов.
Поначалу создалось впечатление, что данную истину (хотя бы отчасти) признали и в консорциуме GSM. Процитированный в самом начале главы Джеймс Моран, ведающий безопасностью GSM, прокомментировал вскрытие всех криптоалгоритмов системы так: «Когда эти шифры разрабатывались в 1989 году, широкая публикация алгоритмов не была распространенным подходом. Однако, создаваемые ныне алгоритмы будут опубликованы для предварительного их изучения» [DM99].
Летом 2002 года, когда появилось широко анонсированное известие о введении в систему GSM нового криптоалгоритма А5/3, могло показаться, что обещания открытого процесса обсуждения действительно выполняются [NR02]. Про этот реально качественный алгоритм сообществу криптографов академии и индустрии было известно практически все – фактически, это алгоритм Kasumi, созданный рабочей группой 3GPP (3rd Generation Partnership Project) для сетей мобильной связи следующего, третьего поколения. Шифр Kasumi, в свою очередь, построен на основе сильного, еще в 1990-е годы всесторонне исследованного криптоалгоритма MISTY известного японского криптографа Мицуро Мацуи…
Но на этом вся открытость, похоже, и закончилась. Новая спецификация в GSM, именуемая GPRS и обеспечивающая длительное подключение мобильного телефона к Интернету, имеет в своем арсенале новое семейство криптоалгоритмов под общим названием GEA. Про конструкцию этих шифров, по сути дела, известно лишь то, что они не имеют никакого отношения к алгоритмам А5/1 и А5/2. Да еще изменен порядок классификации: GEAO – никакого шифрования (одни нули), GEA1 – экспортный (ослабленный) вариант, GEA2 – обычная стойкость, GEA3 – фактически, тот же вариант, что А5/3. Про стойкость GEA1 и GEA2 неизвестно ничего, поскольку по состоянию на конец 2003 года никто их в открытом сообществе криптографов не видел [GR03].
Тот же принцип сокрытия информации консорциум GSM сохранил и в отношении новых версий алгоритма COMF128 (практической реализации АЗ-А8 в SIM-модулях). Известно лишь то, что имеются две версии секретного алгоритма под названиями COMF128-2 и COMF128-3, призванные решить проблемы, выявленные в первой, вскрытой версии. В частности, COMF128-3 уже не делает принудительное обнуление 10 битов в сеансовом ключе [FQ03].
Так что в целом, как можно видеть, ситуация с «безопасностью по-страусиному» практически не изменилась.