"Замочек" на экране сотового

[dastapov]

matrixagent спрашивает: В преддверии саммита (а участники саммита посетят мой город, Самару), выключено шифрование у мобильных операторов. На нокиях появился разомкнутый замок, на сонэриках - восклицательный знак в треугольнике... народ истерит по форумам, и зачастую выдает за компетентное мнение _такой_ очевидный бред, что глаза вянут читать.
Нельзя ли рассказ небольшой получить, что и как _в действительности_ происходит? Спасибо :)

Итак, короткий ликбез на тему, что же такое "выключенное шифрование" в GSM-сети.

При регистрации GSM-телефона в сети выполняется аутентификация SIM-карты. В ходе этой процедуры, в частности, генерируется так называемый ключ шифрования трафика Kc (см. картинку и объяснение по ссылке).

Практически все данные, передаваемые между вашим телефоном и базовой станцией, шифруются при помощи одного из алгоритмов шифрования из семейства A5, чаще всего используется алгоритм A5/1. Значение Kc используется для инициализации сдвиговых регистров, используемых в этом алгоритме, после чего алгоритм может зашифровать поток данных произвольной длины, не требуя дополнительных входных параметров извне. На практике, периодически происходит перерегистрация телефона в сети, в ходе которой может быть сгенерирован (и использован) новый Kc.

Естественно, в процессе разговора все сказанное вами оцифровывается в телефоне, там же зашифровывается, и передается на базовую станцию (BTS). Там сигнал расшифровывается, и дальше в сторону BSC (контроллера базовых) голосовой поток идет уже нешифрованым.

Когда в описании одного из многочисленных комплексов GSM-слежения вам встретится фраза "возможен перехват до 16/256/1024 одновременных разговоров на интерфейсе Abis" - знайте, что речь идет именно о интерфейсе между BTS и BSC, где голосовой поток уже расшифрован. Организация собственно физической "врезки" в этот интерфейс очевидно оставляется на откуп пытливому пользователю спец. железа (или они работают только там, где Abis сделан на радиорелейках?)

Впрочем, я отвлекся. Что же означает пресловутый "замочек"?

"Замочек" означает, что базовая станция "сказала" телефону, что она не поддерживает шифрование трафика. Телефон продолжает функционировать, но предупреждает пользователя о том, что оборудование, способное перехватывать сигнальный трафик между телефоном и базовой, может отследить используемые конкретным абонентом частоты и номера тайм-слотов и перехватить и записать все его разговоры.

Если шифрование используется, то общение конкретного телефона с базовой все равно можно перехватить. Правда, расшифровать его будет не так-то просто. В 2006 году была опубликована статья с known-cyphertext атакой на алгоритм A5/1, которая обещала "подбор ключа за 10 минут при условии доступности некоего объема предварительно рассчитанных данных".

Беда в том, что этот объем данных - это примерно двести дисков по 250Gb, причем их рассчет займет примерно год на ~1000 компьютерах (стр. 18 статьи по ссылке).

PS
Что-то я давно не писал про GSM... Кто споткнулся о большое кол-во аббревиатур, но не испугался, и хочет узнать больше - почитайте мои посты с тэгом "gsm" и статьи и книги, на которые я там ссылаюсь.

Comments

[doctor64.livejournal.com]

Гм, я сейчас на память точно не скажу про GSM, а в cdma наши железки могут шифровать и NbUP, и IuUP траффик - то есть и в сторону телефонной сети, и в сторону радиоканала. Если интересно - завтра посмотрю.
Но я лично каких-то _технических_ проблем в криптовании траффика между BTS и BSC не вижу.

[http://users.livejournal.com/_adept_/]

А их, собственно, и нет.

Я склонен верить тому, что написано в статье про взлом A5/1 - когда придумывали GSM, не стремились сделать land part более защищенным, чем тогдашний PSTN. Вот и получилось то, что получилось.

[doctor64.livejournal.com]

Логично. Если некто сможет добратся до канала между базой и коммутатором - то он с таким же успехом может послушать и PSTN. соответственно, вся это криптография поможет только в разговорах между двумя мобильными абонентами данной сети.
Хотя сразу скажу - я не телефонист и как работает PSTN/CDMA/GSM знаю слабо - мое дело каналы, TDM и кодеки ж)

[iweim.livejournal.com]

классная статья! по чаще бы разные интересные вещи про gsm.

[egorfine.livejournal.com]

так а почему отключили?

[denizzzka.livejournal.com]

А что Вы думаете об этом?

http://denizzzka.livejournal.com/308397.html (SMS Receiver Project)

The goal of this project was to build a receiver that could display all the sms messages sent from a gsm base station.

[nepilsonis.livejournal.com]

Именно так я это всё себе и представлял.
Но, к сожалению, от меня ускользает смысл этого «отключения шифрования». Дать возможность террористам узнать о разговорах заложников, что ли?

[arkanoid.livejournal.com]

насколько я помню, в наших сетях используется a5/2
а его ломать значительно проще..

[artimind.livejournal.com]

Но вопрос действительно остается: если спецслужбы могут спокойно брать траффик там где он уже расшифрован, то какой смысл снимать шифрование с радиоканала?

[wrar.livejournal.com]

s/cyper/cypher/ ?

Практически все данные, передаваемые между вашим теле

[qualexander.livejournal.com]

Впечатляющее слово "почти", дьявол может прятаться в деталях, хотя скорее всего, шифруется содержание и добавляются какие - нибудь биты прозрачности и т.п. для синхронизации и контроля. Интересно, так ли... Схема шифрования разработана под нужды спецслужб - нарочно ухудшен потенциал (обнуление 10 бит ключа, сдвиги по схеме 0-1 etc).

[skyer.livejournal.com]

В полевых условиях брать удобнее так, дешевле и мобильнее.

[interbase.livejournal.com]

так все равно непонятно, какой смысл отключать шифрование между БС и телефоном, если спецслужбы все равно могут спокойно на BSC все мониторить?

[doctor64.livejournal.com]

бред, конечно, но вдруг?
просто для того чтобы увеличить пропускную способность сети.

[singalen]

А у меня тут праздный интерес - а что значит сообщение "включена переадресация" в сети UMC в последние полгода?

[maxsan1.livejournal.com]

Это услуга "Вам звонили", которая сообщает о пропущенных звонках во время пребывания вне сети. Включается/отключается с помощью SMS на номер 120.

Сорри если старо.

[anfog.livejournal.com]

Почитайте "Гигабайты власти" Киви Берд, у его там достаточно много про ЖСМ есть, как пример:

-- quote on ---
Спустя примерно две недели известие все же прошло в локальной израильской прессе, оттуда попало в Интернет, после чего его донесли миру агентство Reuters и все остальные СМИ. В самом кратком изложении суть результатов Баркана, Бихама и Келлера сводится к следующему.
1. Алгоритм A5/2 очень легко вскрывается еще до начала собственно телефонных разговоров - на этапе звонка вызова. Причем делается это основе лишь пассивного прослушивания линии. Это возможно по той причине, что в GSM код исправления ошибок применяется к сигналу до зашифрования. Но этот код, защищающий сигнал от возможных ошибок и искажений, вносит в сигнал очень большую избыточность, благодаря чему нужные для вскрытия ключа данные становятся известны подслушивающей стороне уже на стадии вызова.
2. Все другие шифрованные звонки по GSM (включая применение более сильных алгоритмов A5/1 или A5/3) можно вскрывать, применяя активную атаку. Здесь используется дефект в протоколе: процесс генерации сеансового ключа не зависит от того, какой выбран алгоритм засекречивания, сильный или слабый. Поэтому становится возможным сначала организовать атаку с вынуждением жертвы применить слабый шифр A5/2, узнать благодаря этому внутренний секретный ключ телефона, а впоследствии этот же самый ключ будет применяться в шифрованных звонках с сильным криптоалгоритмом A5/1 или A5/3. Злоумышленник может записать эти разговоры, а затем их расшифровать, используя вскрытый через A5/2 ключ.
Израильские криптографы, надо подчеркнуть, прекрасно понимая всю серьезность полученных ими результатов, задолго до публикации известили консорциум GSM о выявленной слабости. Но деланно равнодушная и демонстративно незаинтересованная реакция со стороны "Ассоциации GSM", судя по всему, оказалась для Бихама и его коллег полной неожиданностью. В официальном заявлении консорциума очень сдержанно признали, что новый метод взлома действительно "идет дальше предыдущих академических статей, однако не содержит в себе ничего нового или удивительного для сообщества GSM; Ассоциация GSM полагает, что практические следствия данной статьи ограничены, а недавний апгрейд криптоалгоритма A5/2, доступный с июля 2002 года, направлен на то, чтобы закрыть брешь в безопасности, выявленную израильскими учеными". [JW03]
Сами израильские ученые, в частности Бихам, надо сказать, категорически не согласны с выводами Ассоциации. Слова же про то, что апгрейд A5/2 закроет выявленную брешь, вообще расцениваются как ввод общественности в заблуждение (поскольку при апгрейде старый алгоритм тоже приходится оставлять в телефоне в целях обеспечения совместимости, а значит он продолжает играть роль "черного хода").
-- quote off ---

Re: Сорри если старо.

[nealar.livejournal.com]

> узнать благодаря этому внутренний секретный ключ телефона
Чё-то как-то в это не верится. Уже давно криптосистемы не делают так, чтоб можно было из них добыть внутренний секретный код.

[nepilsonis.livejournal.com]

Дешевле и удобнее, чем через COРM?
Трудно поверить.

Re: Сорри если старо.

[eentropy.livejournal.com]

все системы связи, официально разрешенные к применению в россии, имеют неотслеживаемый backdoor

[skyer.livejournal.com]

Конечно. Все по-старинке, воронок с антенной.

[maximkat.livejournal.com]

а что мешает использовать man-in-the-middle?

[(Anonymous)]

чтобы мониторить с мобильных пунктов наблюдения, не имеющих устойчивого и достаточно быстрого канала связи с "базовыми станциями"

[ems-viking.livejournal.com]

1. много роумеров, и хз чем у них шифруется. а так - 100% работает
2. снижение нагрузки на БТС.

[egorfine.livejournal.com]

Понял, спа.