Тяжелое наследие

В период с 2000 по середину 2003 года сколь‑нибудь серьезных происшествий в области дальнейшей компрометации GSM более не происходило. Точнее, кое‑что, конечно, случалось – вспомним, например, «моментальное» клонирование SIM‑карты в IBM – но в прессу и широкое публичное обсуждение эти новости уже не просачивались, оставаясь в материалах и кулуарах научных конференций. Однако к лету 2003 года группа израильских криптографов из института Technion – Элад Баркан, Эли Бихам и Натан Келлер – отыскала серьезнейшую, неведомую прежде слабость в системе защиты GSM. В подготовленной авторами работе, «Мгновенное вскрытие защищенных коммуникаций GSM только по шифртексту» [ВВОЗ], было показано, что эту брешь можно весьма эффективно эксплуатировать для проведения реальных атак самого разного рода – от прослушивания открытых и шифрованных разговоров до подделки SMS (коротких текстовых сообщений) или динамического клонирования телефонов жертв, т.е. звонков якобы с номера жертвы.

В соответствии с традицией, публичное представление этой работы научному сообществу было сделано на одном из форумов – в рамках августовской международной конференции CRYPTO‑2003 в Санта‑Барбаре. Профессионалы‑криптографы прореагировали на доклад с огромным интересом (по словам ветерана Бихама, «были удивление, шок, потом поздравления» в связи с получением неожиданного результата). А в прессе при этом – абсолютно ничего, ни единого упоминания о столь значительной работе. На подобных примерах наиболее отчетливо видно, сколь эффективно и мощно власти способны контролировать «свободную» прессу, если хотят удержать какую‑либо информацию в сокрытии. Но тот же пример одновременно наглядно демонстрирует, что «всех обманывать можно лишь какое‑то время».

Спустя примерно две недели известие все же прошло в локальной израильской прессе, оттуда попало в Интернет, после чего его донесли миру агентство Reuters и все остальные СМИ. В самом кратком изложении суть результатов Баркана, Бихама и Келлера сводится к следующему.

1. Алгоритм А5/2 очень легко вскрывается еще до начала собственно телефонных разговоров – на этапе звонка вызова. Причем делается это на основе лишь пассивного прослушивания линии. Это возможно по той причине, что в GSM код исправления ошибок применяется к сигналу до шифрования. Но этот код, защищающий сигнал от возможных ошибок и искажений, вносит в сигнал очень большую избыточность, благодаря чему нужные для вскрытия ключа данные становятся известны подслушивающей стороне уже на стадии вызова.

2. Все другие шифрованные звонки по GSM (включая применение более сильных алгоритмов А5/1 или А5/3) можно вскрывать, применяя активную атаку. Здесь используется дефект в протоколе: процесс генерации сеансового ключа не зависит от того, какой выбран алгоритм засекречивания, сильный или слабый. Поэтому становится возможным сначала организовать атаку с вынуждением жертвы применить слабый шифр А5/2, узнать благодаря этому внутренний секретный ключ телефона, а впоследствии этот же самый ключ будет применяться в шифрованных звонках с сильным криптоалгоритмом А5/1 или А5/3. Злоумышленник может записать эти разговоры, а затем их расшифровать, используя вскрытый через А5/2 ключ.

Израильские криптографы, надо подчеркнуть, прекрасно понимая всю серьезность полученных ими результатов, задолго до публикации известили консорциум GSM о выявленной слабости. Но деланно равнодушная и демонстративно незаинтересованная реакция со стороны «Ассоциации GSM», судя по всему, оказалась для Бихама и его коллег полной неожиданностью. В официальном заявлении консорциума очень сдержанно признали, что новый метод взлома действительно «идет дальше предыдущих академических статей, однако не содержит в себе ничего нового или удивительного для сообщества GSM; Ассоциация GSM полагает, что практические следствия данной статьи ограничены, а недавний апгрейд криптоалгоритма А5/2, доступный с июля 2002 года, направлен на то, чтобы закрыть брешь в безопасности, выявленную израильскими учеными» [JW03].

Сами израильские ученые, в частности Бихам категорически не согласны с выводами Ассоциации. Слова же про то, что апгрейд А5/2 закроет выявленную брешь, вообще расцениваются как ввод общественности в заблуждение (поскольку при апгрейде старый алгоритм тоже приходится оставлять в телефоне в целях обеспечения совместимости, а значит он продолжает играть роль «черного хода»).

Но почему же новость об этом взломе все‑таки прорвалась в центральные средства массовой информации после двух недель дружного и полного замалчивания? Этого, естественно, не объяснил никто, но кое‑какие разумные соображения на данный счет все же выдвинуты. С подачи агентства Reuters, первым запустившим шар, практически всякое новостное сообщение об исследовательской работе израильтян заканчивалось примерно такими словами: «И Эли Бихам, и Ассоциация GSM говорят, что выявленная проблема никак не касается мобильных телефонов третьего поколения, поскольку в системе 3G разработчики радикально сменили алгоритм шифрования и протоколы безопасности». Следовательно – появился замечательный стимул к переходу на новую, более продвинутую (и дорогую) систему. Денег‑то уже вбуханы миллиарды, а публика окупать их что‑то совсем не торопится.

Бизнес, конечно, дело хорошее. Да и новые технологии – вещь замечательная. Вот если б врали народу еще поменьше…