"Замочек" на экране сотового

[dastapov]

matrixagent спрашивает: В преддверии саммита (а участники саммита посетят мой город, Самару), выключено шифрование у мобильных операторов. На нокиях появился разомкнутый замок, на сонэриках - восклицательный знак в треугольнике... народ истерит по форумам, и зачастую выдает за компетентное мнение _такой_ очевидный бред, что глаза вянут читать.
Нельзя ли рассказ небольшой получить, что и как _в действительности_ происходит? Спасибо :)

Итак, короткий ликбез на тему, что же такое "выключенное шифрование" в GSM-сети.

При регистрации GSM-телефона в сети выполняется аутентификация SIM-карты. В ходе этой процедуры, в частности, генерируется так называемый ключ шифрования трафика Kc (см. картинку и объяснение по ссылке).

Практически все данные, передаваемые между вашим телефоном и базовой станцией, шифруются при помощи одного из алгоритмов шифрования из семейства A5, чаще всего используется алгоритм A5/1. Значение Kc используется для инициализации сдвиговых регистров, используемых в этом алгоритме, после чего алгоритм может зашифровать поток данных произвольной длины, не требуя дополнительных входных параметров извне. На практике, периодически происходит перерегистрация телефона в сети, в ходе которой может быть сгенерирован (и использован) новый Kc.

Естественно, в процессе разговора все сказанное вами оцифровывается в телефоне, там же зашифровывается, и передается на базовую станцию (BTS). Там сигнал расшифровывается, и дальше в сторону BSC (контроллера базовых) голосовой поток идет уже нешифрованым.

Когда в описании одного из многочисленных комплексов GSM-слежения вам встретится фраза "возможен перехват до 16/256/1024 одновременных разговоров на интерфейсе Abis" - знайте, что речь идет именно о интерфейсе между BTS и BSC, где голосовой поток уже расшифрован. Организация собственно физической "врезки" в этот интерфейс очевидно оставляется на откуп пытливому пользователю спец. железа (или они работают только там, где Abis сделан на радиорелейках?)

Впрочем, я отвлекся. Что же означает пресловутый "замочек"?

"Замочек" означает, что базовая станция "сказала" телефону, что она не поддерживает шифрование трафика. Телефон продолжает функционировать, но предупреждает пользователя о том, что оборудование, способное перехватывать сигнальный трафик между телефоном и базовой, может отследить используемые конкретным абонентом частоты и номера тайм-слотов и перехватить и записать все его разговоры.

Если шифрование используется, то общение конкретного телефона с базовой все равно можно перехватить. Правда, расшифровать его будет не так-то просто. В 2006 году была опубликована статья с known-cyphertext атакой на алгоритм A5/1, которая обещала "подбор ключа за 10 минут при условии доступности некоего объема предварительно рассчитанных данных".

Беда в том, что этот объем данных - это примерно двести дисков по 250Gb, причем их рассчет займет примерно год на ~1000 компьютерах (стр. 18 статьи по ссылке).

PS
Что-то я давно не писал про GSM... Кто споткнулся о большое кол-во аббревиатур, но не испугался, и хочет узнать больше - почитайте мои посты с тэгом "gsm" и статьи и книги, на которые я там ссылаюсь.

Comments

[doctor64.livejournal.com]

Гм, я сейчас на память точно не скажу про GSM, а в cdma наши железки могут шифровать и NbUP, и IuUP траффик - то есть и в сторону телефонной сети, и в сторону радиоканала. Если интересно - завтра посмотрю.
Но я лично каких-то _технических_ проблем в криптовании траффика между BTS и BSC не вижу.

[http://users.livejournal.com/_adept_/]

А их, собственно, и нет.

Я склонен верить тому, что написано в статье про взлом A5/1 - когда придумывали GSM, не стремились сделать land part более защищенным, чем тогдашний PSTN. Вот и получилось то, что получилось.

[iweim.livejournal.com]

классная статья! по чаще бы разные интересные вещи про gsm.

[egorfine.livejournal.com]

так а почему отключили?

[ems-viking.livejournal.com]

1. много роумеров, и хз чем у них шифруется. а так - 100% работает
2. снижение нагрузки на БТС.

[denizzzka.livejournal.com]

А что Вы думаете об этом?

http://denizzzka.livejournal.com/308397.html (SMS Receiver Project)

The goal of this project was to build a receiver that could display all the sms messages sent from a gsm base station.

[http://users.livejournal.com/_adept_/]

К сожалению, текст не содержит ни единого намека на то, как автор собирался осуществить собственно перехват и расшифровку сообщений. По ссылке можно наблюдать текст на тему "у меня было два процессора, три старых телефона и паяльник, и вот какую фиговину я спаял", и все...

[nepilsonis.livejournal.com]

Именно так я это всё себе и представлял.
Но, к сожалению, от меня ускользает смысл этого «отключения шифрования». Дать возможность террористам узнать о разговорах заложников, что ли?

[skyer.livejournal.com]

В полевых условиях брать удобнее так, дешевле и мобильнее.

[arkanoid.livejournal.com]

насколько я помню, в наших сетях используется a5/2
а его ломать значительно проще..

[http://users.livejournal.com/_adept_/]

Зуб не дам, но мне помнится как раз наоборот :)

[artimind.livejournal.com]

Но вопрос действительно остается: если спецслужбы могут спокойно брать траффик там где он уже расшифрован, то какой смысл снимать шифрование с радиоканала?

[wrar.livejournal.com]

s/cyper/cypher/ ?

[http://users.livejournal.com/_adept_/]

Да, спасибо. Fixed.

Практически все данные, передаваемые между вашим теле

[qualexander.livejournal.com]

Впечатляющее слово "почти", дьявол может прятаться в деталях, хотя скорее всего, шифруется содержание и добавляются какие - нибудь биты прозрачности и т.п. для синхронизации и контроля. Интересно, так ли... Схема шифрования разработана под нужды спецслужб - нарочно ухудшен потенциал (обнуление 10 бит ключа, сдвиги по схеме 0-1 etc).

Re: Практически все данные, передаваемые между вашим те

[http://users.livejournal.com/_adept_/]

Просто у каждой базовой есть "общий" канал, который слушают все мобильные, находящиеся (camping) в зоне ее покрытия. Очевидно, что коммуникации по этому каналу не шифруются (если меня не обманывает мой склероз)

Re: Практически все данные, передаваемые между вашим те

[http://users.livejournal.com/_adept_/]

Возможно, схема и разрабатывалась "под нужды спецслужб", но моя карманная бритва Оккама говорит мне, что с такой же вероятностью может сказываться то, что схема делалась давным-давно, когда ключ длиной в 56 байт представлялся безумно длиным (как для "гражданской" криптографии)

[interbase.livejournal.com]

так все равно непонятно, какой смысл отключать шифрование между БС и телефоном, если спецслужбы все равно могут спокойно на BSC все мониторить?

[doctor64.livejournal.com]

бред, конечно, но вдруг?
просто для того чтобы увеличить пропускную способность сети.

[singalen]

А у меня тут праздный интерес - а что значит сообщение "включена переадресация" в сети UMC в последние полгода?

[maxsan1.livejournal.com]

Это услуга "Вам звонили", которая сообщает о пропущенных звонках во время пребывания вне сети. Включается/отключается с помощью SMS на номер 120.

Сорри если старо.

[anfog.livejournal.com]

Почитайте "Гигабайты власти" Киви Берд, у его там достаточно много про ЖСМ есть, как пример:

-- quote on ---
Спустя примерно две недели известие все же прошло в локальной израильской прессе, оттуда попало в Интернет, после чего его донесли миру агентство Reuters и все остальные СМИ. В самом кратком изложении суть результатов Баркана, Бихама и Келлера сводится к следующему.
1. Алгоритм A5/2 очень легко вскрывается еще до начала собственно телефонных разговоров - на этапе звонка вызова. Причем делается это основе лишь пассивного прослушивания линии. Это возможно по той причине, что в GSM код исправления ошибок применяется к сигналу до зашифрования. Но этот код, защищающий сигнал от возможных ошибок и искажений, вносит в сигнал очень большую избыточность, благодаря чему нужные для вскрытия ключа данные становятся известны подслушивающей стороне уже на стадии вызова.
2. Все другие шифрованные звонки по GSM (включая применение более сильных алгоритмов A5/1 или A5/3) можно вскрывать, применяя активную атаку. Здесь используется дефект в протоколе: процесс генерации сеансового ключа не зависит от того, какой выбран алгоритм засекречивания, сильный или слабый. Поэтому становится возможным сначала организовать атаку с вынуждением жертвы применить слабый шифр A5/2, узнать благодаря этому внутренний секретный ключ телефона, а впоследствии этот же самый ключ будет применяться в шифрованных звонках с сильным криптоалгоритмом A5/1 или A5/3. Злоумышленник может записать эти разговоры, а затем их расшифровать, используя вскрытый через A5/2 ключ.
Израильские криптографы, надо подчеркнуть, прекрасно понимая всю серьезность полученных ими результатов, задолго до публикации известили консорциум GSM о выявленной слабости. Но деланно равнодушная и демонстративно незаинтересованная реакция со стороны "Ассоциации GSM", судя по всему, оказалась для Бихама и его коллег полной неожиданностью. В официальном заявлении консорциума очень сдержанно признали, что новый метод взлома действительно "идет дальше предыдущих академических статей, однако не содержит в себе ничего нового или удивительного для сообщества GSM; Ассоциация GSM полагает, что практические следствия данной статьи ограничены, а недавний апгрейд криптоалгоритма A5/2, доступный с июля 2002 года, направлен на то, чтобы закрыть брешь в безопасности, выявленную израильскими учеными". [JW03]
Сами израильские ученые, в частности Бихам, надо сказать, категорически не согласны с выводами Ассоциации. Слова же про то, что апгрейд A5/2 закроет выявленную брешь, вообще расцениваются как ввод общественности в заблуждение (поскольку при апгрейде старый алгоритм тоже приходится оставлять в телефоне в целях обеспечения совместимости, а значит он продолжает играть роль "черного хода").
-- quote off ---

Re: Сорри если старо.

[nealar.livejournal.com]

> узнать благодаря этому внутренний секретный ключ телефона
Чё-то как-то в это не верится. Уже давно криптосистемы не делают так, чтоб можно было из них добыть внутренний секретный код.

[maximkat.livejournal.com]

а что мешает использовать man-in-the-middle?

Re: Сорри если старо.

[http://users.livejournal.com/_adept_/]

Такой, который предлагают авторы стать? См. мой ответ выше в другом треде.

Какой-то другой? А какой?1

Привет коллега

[andjel.livejournal.com]

Интересно читать - присоединяюсь

[(Anonymous)]

Недавно купив собі телефон Nokia 2630 і виявилося що дзвінки на моїй карточці (Київстар, +38067) не шифруються. При вставленні інших карточок (МТС +38066, Life +38063, Київстар +38067) шифрування відбувається. У інших телефонах із моєю карточкою аналогічна ситуація. Я виїхав у Польшу і Чехію - при реєстрації у мережі у роумінінгу колодка появляється на пару секунд і далі дзвінки/смс шифруються. Прошивка найновіша у телефоні. Відповідь ATR карти
3B 17 94 1A 01 01 10 01 41 BB
Наслухався найрізноманітніших відповідей.
На нову не хочу міняти, бо має великий обєм памяті.

[http://users.livejournal.com/_adept_/]

Имхо, карта не поддерживает алгоритмы A38, используемые сейчас в сети Киевстар. Скорее всего, там какой-нибудь COMP128, от которого КС, я думаю, уже отказался.

Если я прав, то в плюсах - большой объем памяти, в минусах - бОльшая вероятность того, что ее при желании склонируют + отсутствие шифрования.

[(Anonymous)]

меня заинтересовала эта тема тогда когда я увидел на своем телефоне на данный момент при начале звонка появляется на пару секунд (а потом исчезает) открытый замочек, подскажите плиз чтобы это значило конкретно в моем случае....после прочтенного наводит на нехорошие мысли