Немецкий аналитик и специалист по защите информации Карстен Ноль, работающий в берлинской компании Security Research Labs, в последнее время активно занимается вопросами безопасности мобильной связи. Так, ему уже доводилось вскрывать защиту стандарта GSM, а на этой неделе он и его коллеги представили результаты нового исследования, демонстрирующего относительную простоту компрометации GPRS. Журналист Forbes Энди Гринберг провел с г-ном Нолем беседу об актуальных проблемах обороны подвижной радиосвязи.
Энди Гринберг: Итак, на этой неделе вы продемонстрировали возможность взлома GPRS, перехвата передаваемых данных и их успешной дешифровки. Расскажите об этом подробнее.
Карстен Ноль: Главная новость - доказательство принципиальной возможности взлома GPRS. Откровенно говоря, многие специалисты заранее предполагали наличие изъянов в его защите - в силу того, что сущностно это одна из тех систем, которые разрабатываются крупными телекоммуникационными компаниями и государственными ведомствами в обстановке секретности. Предполагается, что они будут защищать своих клиентов и граждан, но на деле у них это обычно получается не очень хорошо. В данном случае перед нами продукт деятельности экспертной группы SAGE, которая проектировала и создавала системы криптографической защиты для стандартов DECT и GSM, для полицейских раций и т.д. Все они разработаны ею, все были изучены, и все - взломаны. Новости о GPRS появились лишь сейчас не потому, что он лучше защищен, а просто оттого, что его исследовали хронологически последним.
Группа SAGE была создана государственными телекоммуникационными монополиями Германии, Франции и Великобритании, которые объединились и распланировали будущее мобильных систем связи. Насколько я понимаю, проектированием защиты они занимались под непосредственным руководством государственных ведомств этих стран, а результаты этих исследований и разработок никогда не размещались в открытом доступе. Их создавали в обстановке секретности для эксплуатации в режиме секретности. Однако надежды на вечную тайну не оправдались: аналитики уже давно занимаются вопросами взлома этих стандартов.
На ваш взгляд, почему практически все созданные ими системы криптозащиты оказались уязвимы для взлома?
Анекдотический случай: некоторые данные, имеющиеся в нашем распоряжении, свидетельствуют о том, что они, похоже, и не собирались создавать безупречный шифр, обеспечивающий надежную защиту. Так, для GSM были разработаны два стандарта шифрования; первый, A5-1, - для стран Западной Европы (т.е. для граждан тех стран, которые создавали GSM), а второй, А5-2, - "на экспорт", для всех остальных государств. И вот этот второй стандарт был сознательно ими ослаблен. Разница - один скромный "криптографический факт", функция, которая один вариант делает более защищенным, а второй - более уязвимым. Она называется "нерегулярное тактирование" (irregular clocking). Изобрели ее примерно в то же время, когда создавался A5-1, и из A5-2 она была исключена намеренно.
GSM стал стандартом не только для Западной Европы, но и для значительной части всего остального мира. Не знаю, предполагалось ли, что он просуществует 20 лет, однако в итоге он оказался наиболее успешным коммуникационным стандартом - несмотря на то, что процесс его создания был окружен тайной, а усилия разработчиков, помимо прочего, были сосредоточены и на том, чтобы хороший и надежный криптоалгоритм не попал в руки к русским.
Как работает нерегулярное тактирование?
Вообразите себе множество возможных ключей для криптографической функции в виде перевернутого треугольника, который можно наполнять снизу вверх; высота фигуры определяется длиной ключа. В зависимости от того, какую функцию вы используете, треугольник наполняется до определенной "отметки"; если функция оптимальна, то он окажется полон. При этом перед шифрованием пакета функция проводит используемый при криптовании многочлен через ряд итераций, с каждой из которых его длина возрастает в случайном порядке. Если же нерегулярное тактирование не используется, то длина многочленов не изменяется, их максимальное количество снижается, и наш воображаемый треугольник никогда не будет наполнен до конца.
Говоря проще, в шифровании все можно рассматривать как систему уравнений. Каждый выходной бит определяется как функция входных битов. При использовании нерегулярного тактирования эти уравнения становятся очень длинными. Если система шифрования хороша, вы даже не сможете эти уравнения записать: не хватит времени. Однако в A5-2, где отсутствует элемент случайного выбора, сделать это очень просто. Мы записали уравнения и решили систему, хотя теоретически у нас не должно было быть возможности сделать ни то, ни уж тем более другое.
Но ведь вы и A5-1 взломали в прошлом году, не так ли?
Так. Оба стандарта уязвимы для взлома. Просто вскрытие A5-2 - тривиальная задача. Так вот; какое отношение все это имеет к GPRS? Мы знаем, что группа SAGE сделала один стандарт надежным, а второй - слабым; и вот, много лет спустя, в 1997 году, она создает GPRS. Вы, несомненно, подумаете, что ее участники обеспечили новый стандарт тем самым нерегулярным тактированием, которое уже было встроено ими ранее в A5-1. Подумаете - и ошибетесь.
Ладно, допустим, тогда была холодная война, и у них были причины разработать плохую криптозащиту. Но на момент создания GPRS конфликт был давно окончен - и тем не менее, они убрали функцию, которая, как им прекрасно было известно, требовалась для обеспечения безопасности стандарта. Конечно, скажи они об этом еще в процессе разработки, люди незамедлительно обратили бы внимание на уязвимость. Мне очень трудно поверить, будто бы создатели стандарта сами не подозревали об этом изъяне - тем более что в прошлый раз они применили эту же самую технологию нерегулярного тактирования для создания более надежной криптографической обороны.
Но зачем проектировать систему так, чтобы она была уязвима?
Понятия не имею.
Может быть, есть какое-то правдоподобное техническое объяснение?
Я не вижу никаких причин исключать эту функцию. По крайней мере, мобильные аппараты точно не накладывают на ее внедрение никаких ограничений.
Не кажется ли вам, что это было сделано специально, чтобы облегчить извлечение информации?
Мне не хотелось бы строить какие-то измышления на этот счет. Конечно, вы можете прийти к такому заключению, вероятность этого существует; но точно сказать, так ли это, не может никто - кроме самих разработчиков.
Почему прошло столько времени, прежде чем обо всем этом стало известно общественности?
Функция шифрования была - и остается, поскольку мы ее не публиковали - секретной. Полагаю, это обстоятельство удерживало многих людей от попыток проводить соответствующий анализ. Впрочем, об изъянах A5 сообщалось еще в 1994 году - результаты соответствующих исследований были направлены эксперту Россу Андерсону в Кембридж и впоследствии опубликованы в Интернете. В истории GPRS это письмо пока не фигурирует.
Вы говорили, что перехватывать и дешифровывать передаваемые по GPRS данные довольно просто. Что под этим подразумевается? Сколько времени требуется на взлом?
Наиболее банальна эта задача в тех странах, где GPRS-трафик вообще не шифруется. Надо заметить, что таковых на удивление много. В отношении GSM картина иная: от шифрования отказываются главным образом диктаторские режимы, где государство последовательно выступает против любых попыток населения использовать криптозащиту. Но если речь заходит о GPRS, то и в Европе обнаруживаются страны, где не применяется шифрование - так им проще отслеживать информацию и шпионить. В таких государствах - в Италии, например, - вскрыть GPRS очень просто. Другие страны я называть не буду, но интересующиеся люди могут без особых усилий самостоятельно определить, как обстоят дела с шифрованием в их государствах.
А если в стране используется шифрование, то сколько времени уходит на преодоление защиты?
Обычный компьютер с четырехъядерным процессором затрачивает на один взлом примерно одиннадцать минут. Сравнительно небольшое, приемлемое время, хотя, возможно, и не настолько малое, чтобы составлять крупномасштабную угрозу - тем более что мы не разглашаем всех подробностей, которые могли бы полностью скомпрометировать защиту. Наша задача лишь в том, чтобы предупредить людей об уязвимости стандартов мобильной связи.
Как вам кажется, почему вам удается вновь и вновь взламывать эти стандарты?
Не только мне. В работе активно участвует и вычислительная техника, и множество энтузиастов - криптоаналитики, специалисты по радиосвязи... Я скорее исполняю функции пресс-секретаря.
Что вы можете сказать о конкурирующем стандарте CDMA, который используется некоторыми операторами - например, Verizon и Sprint?
Мы никогда не изучали CDMA. Этот стандарт - собственная разработка компании Qualcomm, которая имеет хождение в основном на территории США, и насколько мы знаем, среди жителей Соединенных Штатов не так много исследователей и взломщиков, заинтересованных в мобильной криптографии - так что пока он не подвергался серьезному рассмотрению.
Я могу лишь сказать, что CDMA прошел больше стадий эволюции, нежели GSM. GSM неизменен в течение десятилетий, в то время как CDMA подвергался структурным изменениям. Двадцать лет назад это была другая сеть - а GSM и по сей день все тот же, не считая нескольких надстроек.
Итак, пользователи узнали, что практически каждый стандарт криптозащиты GSM небезопасен. Что им теперь делать?
Помнить об этом, и стараться не передавать конфиденциальные данные посредством сетей мобильной связи.
Или перейти на CDMA?
Я не буду рекламировать CDMA. Пока что не известно, насколько он безопасен; его защита может оказаться еще слабее.
Возможно, стоит добавить другие уровни криптозащиты, помимо той, что обеспечивается оператором?
Для мобильных телефонов есть такое программное обеспечение, но оно не очень удобно. Нельзя просто взять и зашифровать трафик - у обоих участников разговора должна иметься одна и та же криптосистема. Некоторые крупные организации вроде Amnesty International могут позволить себе (и своим сотрудникам) телефоны с дополнительной шифрозащитой, но стоимость таких устройств может достигать нескольких тысяч долларов. Еще можно упомянуть Chaos Computer Club: здесь используют Cryptophone, устройство, которое не только обеспечивает криптование, но и показывает список всех внутренних приложений - дабы пользователь мог убедиться, что в операционной системе нет шпиона или троянского коня.
А что вы можете сказать о программах шифрования для Android вроде тех, что выпускает Whisper Systems?
Недорогая альтернатива. Это чисто программное решение, но для нужд большинства пользователей его возможности будут достаточны. Такие приложения обеспечивают тот самый дополнительный уровень шифрования, а большего вам как индивидуальному пользователю и не требуется.