Nový útok na soukromí uživatelů mobilních telefonů GSM

V České republice používá mobilní telefon podle nedávných průzkumů každý pátý občan. Přenos hlasové a datové...


V České republice používá mobilní telefon podle nedávných průzkumů každý pátý
občan. Přenos hlasové a datové komunikace v těchto GSM telefonech chrání
algoritmus A5/1. Stejnou verzi tohoto algoritmu používá v Evropě více jak sto
milionů uživatelů. Celkem je použit v 215 milionech GSM telefonů po celém
světě, z toho pouze v 5 milionech telefonů v USA. Až donedávna bylo považováno
za nemožné odposlouchávat hovory uskutečňované mezi mobilními telefony, ale to
již neplatí. Pokud projednáváte přes mobily nějaké top-secret informace,
přečtěte si následující text věnovaný zabezpečení GSM komunikace, třeba pak
příště raději použijete nějakou jinou, lépe zabezpečenou metodu.
Na začátku prosince publikovali A. Shamir a A. Biryukov popis útoku, který
umožňuje v reálném čase a s malými náklady luštit algoritmus A5/1. Profesor Adi
Shamir je již legendárním kryptologem. Je jedním z trojice autorů RSA algoritmu
a kromě jiného i vynálezce zařízení Twinkle. Alex Biryukov je mladý nadějný
matematik, který se jako stipendista loni v květnu zúčastnil konference
Eurocrypt 99 pořádané v Praze.
Abychom lépe pochopili, co oznámení jejich výsledku vlastně pro bezpečnost
mobilních telefonů sítě GSM znamená, je nutné alespoň trochu popsat použitou
technologii. Hlavní důraz je kladen na autentizaci a zajištění důvěrnosti.
Telefonní přístroj v souladu se standardem GSM budeme dále nazývat MT (Mobile
Terminal), čipová karta, která se do něj vkládá, se nazývá SIM (Subscriber
Identification Module). Po vložení SIM karty do MT tak vytvoříme tzv. mobilní
zařízení ("mobilní telefon"), které se nazývá MS (Mobile Station). Toto
zařízení musí být zaevidováno u autentizačního centra AUC (Authentication
Center) provozovatele. Norma předpokládá implementaci následujících šifrovacích
algoritmů:
Autentizace majitele GSM mobilní stanice (MS)
K prověření identity vaší SIM karty dochází vždy při vstupu do sítě a hlavní
smysl tohoto mechanismu spočívá v zamezení klonování SIM karty, a tím zabránění
cizím osobám volat na váš účet. Tajný klíč Ki, který je pro každého uživatele
dané sítě jedinečný, zná pouze autentizační centrum (AUC) a modul SIM. Na
modulu SIM (čipové kartě) je klíč Ki uložen tak, že jej není možné přečíst.
Modul SIM dovolí pouze s pomocí klíče Ki provádět operace definované algoritmy
A3 a A8. Průběh autentizace je následující:
Uživatel zažádá o přihlášení do sítě zapnutím svého MS (nejčastěji tedy
mobilního telefonu). Po zadání pinu vám AUC vyšle náhodně vygenerované číslo
RND. To je pak předáno modulu SIM, který na základě znalosti klíče Ki a v SIM
kartě uložených algoritmů A3 a A8 připraví trojici hodnot (RND, K3, K8).
Hodnota K3 je výstupem algoritmu A3 a obdobně K8 je produktem algoritmu A8.
Jako vstupní parametry zde slouží RND a Ki, tedy K3 = A3 (RND, Ki) a K8 = A8
(RND, Ki). Tato data jsou pak předána MT (mobilnímu telefonu), který část K3
odešle do sítě a klíč K8 uloží zpět do SIM karty pro pozdější použití. Při
požadavku na zahájení šifrovaného spojení je poté K8 použit jako klíč pro
generování hesla algoritmem A5/1, resp. A5/2.
Po obdržení K3 od MS provede síť test podmínky K3 = K3, kde K3 si spočte AUC
sama na základě znalosti Ki a jím odeslaného čísla RND. Pokud tato podmínka je
splněna, prohlásí síť provedenou autentizaci za úspěšnou a povolí přihlášení MS
do sítě. V opačném případě je vstup odmítnut.
Algoritmy A3 a A8 v mnoha implementacích nahrazuje jediný algoritmus A38, který
se také někdy označuje COMP128. Tento algoritmus používá většina provozovatelů
sítí GSM (včetně společností EuroTel CZ a RadioMobil).
Klonování SIM karty
V dubnu 1998 se skupině kryptologů složené z Marca Bricena, Iana Goldberga a
Davida Wagnera podařilo objevit metodu umožňující zjistit tajný klíč Ki. Útok
lze ale uskutečnit jen tehdy, máte-li k dispozici SIM kartu. Tato karta se pak
vloží do speciálního klonovacího zařízení, které je spojené s počítačem (viz
obr.), a jsou jí předkládány určité výzvy a analyzovány její reakce. Celkem je
zapotřebí vznést cca 150 000 těchto speciálně vybraných dotazů. Zkonstruované
klonovací zařízení bylo schopno odpovědět na 6,25 dotazů za vteřinu, a z toho
vyplývá, že k útoku s tímto zařízením je potřeba asi 8 hodin. Pokud má tedy
útočník vlastnící toto zařízení možnost získat vaši SIM kartu na postačující
dobu, je i schopen získat klíč Ki v ní uložený a vyrobit klon. Může se potom do
sítě autentizovat jako vy a účtovat hovorné na váš účet (detaily najdete na
adrese http://www. scard.org/gsm/gsm-faq.html).
Důvěrnost přenášených dat
Naklonovaná SIM karta samozřejmě neumožňuje odposlouchávat cizí již probíhající
komunikaci. Tento problém je totiž daleko složitější a byl až donedávna otázkou
čiré spekulace. Hlavním důvodem jsou zde relativně složité mechanismy
zabudované v GSM komunikaci, které až donedávna zabraňovaly možnému odposlechu.
Hlavním z těchto bezpečnostních mechanismů je proudové šifrovací schéma A5,
které využívá dočasný klíč K8 (podle našeho značení) dohodnutý během poslední
autentizační fáze. Složité je také vlastní komunikační schéma, které je použité
v GSM zařízeních. Pro pochopení možného útoku bude proto vhodné podívat se něj
poněkud podrobněji.
Komunikace v GSM
Data posílaná od MS směrem do sítě a data jdoucí opačným směrem procházejí
různými kanály a jsou organizována po paketech. Aby vše bylo ještě složitější,
jsou tyto pakety v kanálech seskupovány do úseků po 114 bitech a jsou vysílány
po doplnění o synchronizační údaje v tzv. burstech. Tato organizace je zavedena
proto, že GSM používá metodu časového sdílení jednoho kanálu, tzv. TDMA (Time
Division Multiple Access), která v jednom TDMA rámci vyhrazuje osm časových
slotů. V každém z nich přitom může probíhat jiná komunikace.
Právě číslo rámce TDMA, v jehož časovém slotu je daný burst přenášen, se spolu
s dočasným klíčem K8 podílí na generování hesla algoritmem A5. Důležité je si
uvědomit, že číslo rámce je pro útočníka provádějícího pasivní odposlech známé.
Algoritmus A5 není z důvodu přenosové rychlosti implementován v SIM kartě, ale
přímo v MT (mobilním telefonu). Po algoritmu se totiž požaduje, aby byl během
4,615 ms (doba trvání rámce) schopen vygenerovat 228 bitů hesla, protože oba
kanály (odchod a příjem dat) musejí použít různá hesla. O vysokých nárocích na
rychlost vypovídá i ukazatel celkové rychlosti modulačního signálu TDMA, která
je 270 833 bitů za sekundu.
Algoritmus A5 je používán ve dvou rozdílných verzích. Verze A5/2 (tzv. slabší
varianta) je, zjednodušeně řečeno, použita pro východní Evropu a některé další
oblasti. Silnější verze A5/1 je určena pro "západní Evropu". Jistě potěšitelná
je informace o tom, že tato silnější verze je použita i v naší síti.
Útok na A5
Existence útoku na algoritmus A5/2 odborníky ani moc nepřekvapila. Jeden z
možných útoků ohlásil již na konferenci Crypto 99 David Wagner. Útok vycházel
z předpokladu velkého počtu pseudo-náhodných bitů klíče a k prolomení prý bylo
potřeba jen 216 kroků. Problém A5/1 spočívá v tom, že dohodnutý klíč není
64bitový, jak se uvádí, ale pouze 54bitový, a na 64bitový je rozšířen nulami
zprava. Toto zúžení klíčového prostoru spolu s dalšími drobnými chybami v
návrhu A5/1 je natolik drastickým opatřením, že již dříve bylo prokázáno, že
tento algoritmus je teoreticky možné prolomit. Útok byl však časově náročný a
bylo zapotřebí něco mezi 240 až 245 výpočetních kroků a navíc vyžadoval
zachycení 30minutové komunikace, což je pro praktické využití nereálné.
Situace v tomto oboru se ale mění každým okamžikem. Ve studii profesora A.
Shamira a A. Biryukova, která byla minulý měsíc publikována, je popsán útok,
který lze realizovat relativně snadno. Potřebujete k němu trošku lépe vybavený
počítač (128 MB RAM a dva pevné disky každý o kapacitě 73 GB) a zachytit prvé
dvě minuty hovoru, což zní již více než reálně. Analýzou popsanou ve studii pak
lze nalézt klíč relace za méně než 1 sekundu! Protože GSM telefony vysílají
frame každých 4,6 milisekundy, znamená to, že dvě minuty konverzace obsahují 2
x 60 x 1 000/4,6, tedy méně než 215 framů. Počet nutných operací k nalezení
klíče je tedy něco mezi 237 až 248 výpočetnímy kroky. Útok byl verifikován na
aktuální implementaci algoritmu A5/1.
Soukromí uživatelů GSM telefonů je tak vážně ohroženo, samozřejmě zejména těch
používajících slabší verzi algoritmu A5/1, v případě algoritmu A5/2 je situace
složitější. Pokud vás zajímají podrobnější informace, pak si lze studii A.
Shamira a A. Biryukova stáhnout z internetové adresy http://cryptome.org/a5.ps.
Lokalizace uživatele (přesněji mobilní stanice)
Podívejme se ještě na jednu všeobecně udávanou vlastnost mobilních telefonů,
která tvrdí, že je možné lokalizovat uživatele GSM s přesností na několik
desítek metrů. Situace ale ve skutečnosti není tak jednoduchá. GSM se snaží
zabránit odposlouchávajícím osobám v lokalizaci konkrétního uživatele MS na
základě znalosti jeho síťové identifikace (IMSI International Mobile Subscriber
Identification). Toho je dosaženo pomocí tzv. dočasné identity, kterou stanice
obdrží po úspěšném přihlášení do sítě. Hodnota dočasné identity je samozřejmě
přenášena šifrovaná, a pro případného narušitele je tedy složité vypátrat vaši
polohu.
Můžeme ještě telefonovat?
Co říci závěrem? Šifrová ochrana GSM obsahuje z hlediska ochrany utajovaných
skutečností závažné chyby a nedostatky. Rozhodně nelze doporučit u mobilního
telefonu GSM ponechání SIM karty bez dozoru. Před předáním do opravy je proto
nutné SIM kartu vyjmout. Při vstupu do některých budov je na západ od naší
republiky zvykem mobilní telefon odložit v šatně. Myslím si, že vyjmutí SIM
karty, pokud se chceme zdržet delší dobu, není příliš přehnaná opatrnost.
Rychlost útoku proti algoritmu A38 totiž závisí především na rychlosti
klonovacího zařízení a samozřejmě rychlosti odezvy MS. Čas útoku, který je nyní
kolem 8 hodin, lze tedy výrazně snížit. Také hovor z mobilního telefonu GSM
delší než 2 minuty není možné v současnosti z výše uvedených důvodů již
považovat za bezpečný. V žádném případě to ale neznamená, že byste měli přestat
telefonovat, prostě jen padl další mýtus o zabezpečení vašeho soukromí.
Algoritmy použité v GSM komunikaci
A3autentizační algoritmus
A5/1"silná verze" komunikačního algoritmu
A5/2"slabá verze" komunikačního algoritmu
A8generace klíče pro hlasovou komunikaci
Některé další detaily najdete na http://www.scard.org/gsm
0 0240 / als









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.