Страница:
Затем, вместе с освоением новых способов атак - через анализ побочных каналов утечки информации - появились и намного более эффективные методы клонирования. Так, в 2002 г. группа криптографов исследовательского центра IBM продемонстрировала, что взламывать алгоритм СОМР128 и клонировать SIM-карту можно меньше чем за минуту [RR02].
Об имеющихся на рынке средствах перехвата и мониторинга GSM (сама возможность чего до неприличия долго отрицалась официальными представителями MoU) наиболее красноречиво рассказывают реальные объявления в Интернете. Чтобы не ходить далеко, достаточно процитировать текст веб-страницы одного из виртуальных магазинов, развернутых в России в конце 1990-х годов (вскоре, правда, сайт упрятали из общего доступа поглубже - по той же, в сущности, схеме, как это делают все солидные-официальные торговцы подобной аппаратурой):
Система профессионального тестирования и мониторинга GSM
Используя наше уникальное аппаратное и программное обеспечение, «Система…» будет отслеживать звонки в границах выделенной области, оставаясь подключенной к соединению. Она будет выводить на дисплей управляющие команды, идущие на телефон и от телефона, отслеживать речевой канал (голос) и резервный канал (где проходят: SIM -номер модуля идентификации абонента, IMSI - международный идентификатор абонента мобильной связи, TMSI - временный идентификатор абонента, SAK - ключ аутентификации абонента, PIN - номер персональной идентификации и другая информация). Процесс декодирования и выполнения всех калькуляций занимает около 2,5 минут, так что длительность телефонного соединения, которое вы отслеживаете, должна быть по крайней мере такого же порядка, чтобы устройство мониторинга могло обработать и проверить всю информацию, включая соответствующие значения для программирования нового SIM[т.е. для клонирования GSM-телефона]. Программное и аппаратное обеспечение позволяют отслеживать конкретные номера телефонов. Можно создавать «файлы регистрации данных» ( data log flies ) для последующего анализа, а аудиоинформацию можно записывать для контроля с помощью звукозаписывающего оборудования (в поставку не входит). В комплект поставки входит подробное Руководство и программное обеспечение для Windows или DOS . Данная система разработана для 900 Мгц GSM - cemeu . Цена - 4500 долларов. Все заказы оплачиваются через Western Union или трансфером банк-банк.
В начале 1999 года в ассоциации SDA были полностью восстановлены и проверены на реальных тестовых векторах криптосхемы алгоритмов А5/1 и А5/2. Обратное восстановление А5/2 подтвердило уже имевшуюся информацию, что в этой схеме добавлен еще один короткий регистр длиной 17 бит, управляющий движением бит в остальных трех регистрах. Вагнеру и Голдбергу очень быстро удалось продемонстрировать, что в этих условиях для вскрытия системы достаточно лобовым перебором (сложность 216) отыскать заполнение управляющего регистра. Делается это всего по двум фреймам сеанса связи длиной по 114 бит (в системе GSM первые два фрейма шифрпоследовательности известны, поскольку шифруются одни нули). Другими словами, вскрытие такого шифра осуществляется буквально «на лету», за 15 миллисекунд работы рядового персонального компьютера [DW 99].
Подводя своего рода итог проделанному в Smartcard Developer Association исследованию, Лаки Грин следующим образом выразился о соотношении декларируемой и истинной безопасности проанализированной системы: «Мой опыт работы с GSM показывает, что разведывательные службы, стоящие как известно, за всеми криптоалгоритмами GSM, используют в своей работе весьма специфический подход. Разведслужбы компрометируют любой и каждый компонент криптосистемы, какой только можно скомпрометировать. Разведслужбы, имея такую возможность, ослабляют компонент просто потому, что могут это сделать, а не потому, что им это нужно. Это как бы извращенное воплощение в целом правильного принципа многократной избыточности» [LG 99].
Это весьма сильное, прямо скажем, заявление Лаки Грин затем подтверждает на конкретных примерах выявленных в GSM слабостей, серьезным образом компрометирующих систему.
• Скомпрометирована эффективная длина сеансового ключа. В 64-битном ключе, который А8 генерирует для А5, последние 10 бит принудительно обнулены. Это совершенно умышленное ослабление системы примерно в 1000 раз.
• Скомпрометирована система аутентификации и алгоритм генерации секретного ключа. Известно, что о слабостях в СОМР128, обнаруженных SDA в 1998 году, участники GSM MoU были официально уведомлены еще в 1989 году. То есть задолго до широкого распространения GSM. Имеющаяся в MoU «группа экспертов по алгоритмам безопасности» (SAGE), состоящая из никому неведомых людей, сохранила в тайне это открытие и не стала информировать о нем даже собственно членов MoU. В результате чего разведслужбы имеют возможность клонировать телефоны и вычислять секретные ключи абонентов непосредственно в ходе сеанса связи.
• Скомпрометирован сильный алгоритм шифрования А5/1. В этом шифре с 64-битным ключом имеются многочисленные конструктивные дефекты, приводящие к стойкости, не превышающей стойкость шифра с 40-битным ключом (другими словами, стойкость понижена на 6 порядков или в миллион раз). Непостижимо, каким образом столь очевидный дефект мог быть упущен французскими военными разработчиками.
• Скомпрометирован более слабый алгоритм шифрования А5/2. Хотя в MoU признают, что вскрываемость шифра и была целью разработки А5/2, тем не менее в официальных результатах анализа SAGE сказано, что им неизвестно ни о каких криптографических дефектах в А5/2.
Чтобы обеспечить перехват и дешифрование GSM-трафика, отмечает Лаки Грин, было бы достаточно скомпрометировать эффективную длину ключа. Было бы достаточно скомпрометировать алгоритм генерации ключа. Было бы достаточно скомпрометировать алгоритм шифрования. Но спецслужбы сделали все три эти вещи. Такое можно назвать лишь «хорошо продуманной гарантированно избыточной компрометацией».
И, наконец, еще один очень существенный нюанс. Все шифрование разговоров в системе GSM осуществляется только на канале между мобильным телефоном и базовой станцией, то есть в «эфирной» части передачи. При наличии санкции суда на прослушивание звонков правоохранительные органы всегда имеют возможность подключиться непосредственно к базовым станциям, где уже нет никакого шифрования. Так что единственной причиной для тотального ослабления криптозащиты оказывается «нелегальный» доступ без каких бы то ни было ордеров и санкций.
Вскоре, в декабре 1999 г., под натиском университетских криптографов пал, можно считать, и самый сильный элемент в защите GSM - алгоритм шифрования А5/1. Израильские математики Ади Шамир и Алекс Бирюков (чуть позже к ним присоединился американец Дэвид Вагнер) опубликовали работу, в которой описан созданный ими весьма нетривиальный, но по теоретическим расчетам весьма эффективный метод вскрытия А5/1.
Ади Шамира вполне заслуженно называют «патриархом израильской академической криптографии». Еще в 1977 году, работая в США совместно с Рональдом Райвестом и Леонардом Адлеманом, Шамир участвовал в создании знаменитой криптосхемы с открытым ключом RSA (здесь «S» - это Shamir). В 80-е годы им разработано несколько криптографических протоколов и криптосхем. На рубеже 1980-1990-х, работая совместно с Эли Бихамом, Шамир создал метод дифференциального криптоанализа, в открытом академическом сообществе ставший основой практически всех современных методов исследования и вскрытия блочных шифров (подобные работы спецслужб ведутся в строжайшем секрете). Совместный же с Бирюковым криптоанализ А5/1 стал, похоже, первым обращением Шамира к исследованию поточных шифров на основе регистров сдвига - класса схем, более характерных для военной, а не коммерческой криптографии.
Характеризуя изобретенный метод вскрытия А5, Шамир выразился так: «Это весьма сложная идея, реализуя которую мы наступаем на многих фронтах, чтобы накопить несколько небольших преимуществ, но сложенные все вместе они дают большой выигрыш». Если чуть более подробно, то новый метод атаки использует тонкие слабости в структуре регистров сдвига, необратимый механизм их движения, а также частые перезагрузки регистров, применяемые в GSM. Развивая потенциал балансировки «время-память», ученые создали два родственных вида атак, реализуемых на персональном компьютере с увеличенным объемом внешней памяти. Для успеха первой атаки требуется выходная последовательность алгоритма А5/1 в течение первых двух минут разговора - тогда ключ вычисляется всего за секунду (но в реальных условиях получить для анализа эти две минуты крайне проблематично). Вторая атака требует выход А5/1 всего за две секунды, но на вычисление ключа тогда затрачивается несколько больше времени - несколько минут. Все расчеты были подтверждены реальными вычислительными экспериментами. Попутно следует отметить, что факт реальной длины ключа не в 64, а лишь в 54 бита криптографами не использовался.
К началу 2000-х годов уже почти все эксперты в области защиты информации (спецслужбы, как обычно, воздерживаются от комментариев) сошлись во мнении, что разработка мер безопасности для широко используемых систем в тайне от общественности - это в корне порочный путь. Единственный способ гарантировать надежную безопасность - это честно дать возможность проанализировать систему защиты всему сообществу специалистов.
Поначалу создалось впечатление, что данную истину (хотя бы отчасти) признали и в консорциуме GSM. Процитированный в самом начале главы Джеймс Моран, ведающий безопасностью GSM, прокомментировал вскрытие всех криптоалгоритмов системы так: «Когда эти шифры разрабатывались в 1989 году, широкая публикация алгоритмов не была распространенным подходом. Однако, создаваемые ныне алгоритмы будут опубликованы для предварительного их изучения» [DM99].
Летом 2002 года, когда появилось широко анонсированное известие о введении в систему GSM нового криптоалгоритма А5/3, могло показаться, что обещания открытого процесса обсуждения действительно выполняются [NR02]. Про этот реально качественный алгоритм сообществу криптографов академии и индустрии было известно практически все - фактически, это алгоритм Kasumi, созданный рабочей группой 3GPP (3rd Generation Partnership Project) для сетей мобильной связи следующего, третьего поколения. Шифр Kasumi, в свою очередь, построен на основе сильного, еще в 1990-е годы всесторонне исследованного криптоалгоритма MISTY известного японского криптографа Мицуро Мацуи…
Но на этом вся открытость, похоже, и закончилась. Новая спецификация в GSM, именуемая GPRS и обеспечивающая длительное подключение мобильного телефона к Интернету, имеет в своем арсенале новое семейство криптоалгоритмов под общим названием GEA. Про конструкцию этих шифров, по сути дела, известно лишь то, что они не имеют никакого отношения к алгоритмам А5/1 и А5/2. Да еще изменен порядок классификации: GEAO - никакого шифрования (одни нули), GEA1 - экспортный (ослабленный) вариант, GEA2 - обычная стойкость, GEA3 - фактически, тот же вариант, что А5/3. Про стойкость GEA1 и GEA2 неизвестно ничего, поскольку по состоянию на конец 2003 года никто их в открытом сообществе криптографов не видел [GR03].
Тот же принцип сокрытия информации консорциум GSM сохранил и в отношении новых версий алгоритма COMF128 (практической реализации АЗ-А8 в SIM-модулях). Известно лишь то, что имеются две версии секретного алгоритма под названиями COMF128-2 и COMF128-3, призванные решить проблемы, выявленные в первой, вскрытой версии. В частности, COMF128-3 уже не делает принудительное обнуление 10 битов в сеансовом ключе [FQ03].
Так что в целом, как можно видеть, ситуация с «безопасностью по-страусиному» практически не изменилась.
В период с 2000 по середину 2003 года сколь-нибудь серьезных происшествий в области дальнейшей компрометации GSM более не происходило. Точнее, кое-что, конечно, случалось - вспомним, например, «моментальное» клонирование SIM-карты в IBM - но в прессу и широкое публичное обсуждение эти новости уже не просачивались, оставаясь в материалах и кулуарах научных конференций. Однако к лету 2003 года группа израильских криптографов из института Technion - Элад Баркан, Эли Бихам и Натан Келлер - отыскала серьезнейшую, неведомую прежде слабость в системе защиты GSM. В подготовленной авторами работе, «Мгновенное вскрытие защищенных коммуникаций GSM только по шифртексту» [ВВОЗ], было показано, что эту брешь можно весьма эффективно эксплуатировать для проведения реальных атак самого разного рода - от прослушивания открытых и шифрованных разговоров до подделки SMS (коротких текстовых сообщений) или динамического клонирования телефонов жертв, т.е. звонков якобы с номера жертвы.
В соответствии с традицией, публичное представление этой работы научному сообществу было сделано на одном из форумов - в рамках августовской международной конференции CRYPTO-2003 в Санта-Барбаре. Профессионалы-криптографы прореагировали на доклад с огромным интересом (по словам ветерана Бихама, «были удивление, шок, потом поздравления» в связи с получением неожиданного результата). А в прессе при этом - абсолютно ничего, ни единого упоминания о столь значительной работе. На подобных примерах наиболее отчетливо видно, сколь эффективно и мощно власти способны контролировать «свободную» прессу, если хотят удержать какую-либо информацию в сокрытии. Но тот же пример одновременно наглядно демонстрирует, что «всех обманывать можно лишь какое-то время».
Спустя примерно две недели известие все же прошло в локальной израильской прессе, оттуда попало в Интернет, после чего его донесли миру агентство Reuters и все остальные СМИ. В самом кратком изложении суть результатов Баркана, Бихама и Келлера сводится к следующему.
1. Алгоритм А5/2 очень легко вскрывается еще до начала собственно телефонных разговоров - на этапе звонка вызова. Причем делается это на основе лишь пассивного прослушивания линии. Это возможно по той причине, что в GSM код исправления ошибок применяется к сигналу до шифрования. Но этот код, защищающий сигнал от возможных ошибок и искажений, вносит в сигнал очень большую избыточность, благодаря чему нужные для вскрытия ключа данные становятся известны подслушивающей стороне уже на стадии вызова.
2. Все другие шифрованные звонки по GSM (включая применение более сильных алгоритмов А5/1 или А5/3) можно вскрывать, применяя активную атаку. Здесь используется дефект в протоколе: процесс генерации сеансового ключа не зависит от того, какой выбран алгоритм засекречивания, сильный или слабый. Поэтому становится возможным сначала организовать атаку с вынуждением жертвы применить слабый шифр А5/2, узнать благодаря этому внутренний секретный ключ телефона, а впоследствии этот же самый ключ будет применяться в шифрованных звонках с сильным криптоалгоритмом А5/1 или А5/3. Злоумышленник может записать эти разговоры, а затем их расшифровать, используя вскрытый через А5/2 ключ.
Израильские криптографы, надо подчеркнуть, прекрасно понимая всю серьезность полученных ими результатов, задолго до публикации известили консорциум GSM о выявленной слабости. Но деланно равнодушная и демонстративно незаинтересованная реакция со стороны «Ассоциации GSM», судя по всему, оказалась для Бихама и его коллег полной неожиданностью. В официальном заявлении консорциума очень сдержанно признали, что новый метод взлома действительно «идет дальше предыдущих академических статей, однако не содержит в себе ничего нового или удивительного для сообщества GSM; Ассоциация GSM полагает, что практические следствия данной статьи ограничены, а недавний апгрейд криптоалгоритма А5/2, доступный с июля 2002 года, направлен на то, чтобы закрыть брешь в безопасности, выявленную израильскими учеными» [JW03].
Сами израильские ученые, в частности Бихам категорически не согласны с выводами Ассоциации. Слова же про то, что апгрейд А5/2 закроет выявленную брешь, вообще расцениваются как ввод общественности в заблуждение (поскольку при апгрейде старый алгоритм тоже приходится оставлять в телефоне в целях обеспечения совместимости, а значит он продолжает играть роль «черного хода»).
Но почему же новость об этом взломе все-таки прорвалась в центральные средства массовой информации после двух недель дружного и полного замалчивания? Этого, естественно, не объяснил никто, но кое-какие разумные соображения на данный счет все же выдвинуты. С подачи агентства Reuters, первым запустившим шар, практически всякое новостное сообщение об исследовательской работе израильтян заканчивалось примерно такими словами: «И Эли Бихам, и Ассоциация GSM говорят, что выявленная проблема никак не касается мобильных телефонов третьего поколения, поскольку в системе 3G разработчики радикально сменили алгоритм шифрования и протоколы безопасности». Следовательно - появился замечательный стимул к переходу на новую, более продвинутую (и дорогую) систему. Денег-то уже вбуханы миллиарды, а публика окупать их что-то совсем не торопится.
Бизнес, конечно, дело хорошее. Да и новые технологии - вещь замечательная. Вот если б врали народу еще поменьше…
Глава 6. Охота за людьми и машинами
Летом 1942 года на долю Эдгара Гувера выпала редкостная удача. Получилось родить одну из тех наиболее героических и насквозь фальшивых историй, что заложены в основу мифа о всеведении и несокрушимости гуверовского ФБР. Начиналось же все достаточно серьезно и тревожно, когда у берегов острова Лонг-Айленд немецкая субмарина высадила диверсионную группу из четырех человек, снабженных деньгами, оружием, взрывчаткой и планами террористических актов на заводах, производивших важную военную продукцию. Патрульный службы Береговой охраны, наткнувшийся на четырех подозрительных мужчин с плотом, не стал поднимать тревогу, поскольку те представились заплутавшими рыбаками, да еще дали ему денег, чтоб не было неприятностей. Отпустив «рыбаков», патрульный все же решил подстраховаться и доложил-таки о своих подозрениях начальству.
Когда о происшествии на следующий день узнало ФБР, Береговая охрана уже нашла у места высадки довольно небрежно устроенный тайник со взрывчаткой и другим снаряжением. Однако сами диверсанты бесследно исчезли. Гувера происшествие чрезвычайно возбудило и встревожило, поскольку дело пахло угрозой диверсионных актов, а быть может и подготовкой военного вторжения. Он приказал сохранить инцидент в полнейшей тайне от прессы и объявил самую крупномасштабную облаву за всю историю ФБР.
Чем бы закончилась эта большая охота, сказать трудно, поскольку четверо диверсантов уже рассредоточились и поселились в разных отелях огромного Нью-Йорка. Однако дальнейшие действия группы пошли совсем не по плану, поскольку ее руководитель, тридцатидевятилетний Георг Даш, до войны много лет проживший в США, был абсолютно не расположен к выполнению диверсионных задач. Об этом он рассказал своему ближайшему партнеру-приятелю по группе Эрнсту Бергеру, который тоже был не прочь тихо рассосаться в большой стране, поделив 84 тысячи долларов, полученные от германского военного командования.
Но Даш выбрал иной путь, позвонив в местное нью-йоркское отделение ФБР и сообщив, что только что прибыл из Германии и хотел бы передать господину Гуверу чрезвычайно ценную информацию. Когда Вашингтон уведомили о звонке, Даш сам отправился в столицу и сдался вместе со всей кассой. Помимо большой суммы денег ФБР получило в лице Даша ценный источник информации о составе и местах проживания остальных членов группы (Даш предупредил, что действовал с ведома Бергера), о составе и месте высадки другой диверсионной группы у берегов Флориды, о главных целях диверсионных актов и вообще о подготовке диверсантов в Германии. На основе полученных данных ФБР быстро арестовало всех семерых коллег Даша, а ему самому настоятельно порекомендовали признать себя на суде виновным и помалкивать о добровольной сдаче американским властям. В обмен же за молчание было обещано, что уже через несколько месяцев добрый президент Рузвельт его амнистирует и выпустит на свободу. Даш все сделал так, как ему велели, за что едва не поплатился головой.
На самом деле президент Рузвельт вовсе не был добрым, а уж после Перл-Харбора так вообще начал лютовать, особенно в отношении японцев и немцев. Во всех предоставленных ему докладах от разведывательно-аналитических служб был сделан вывод, что живущие на Западном побережье США японские американцы не представляют никакой угрозы государству. Тем не менее, Рузвельт настоял на интернировании в концлагеря 114 тысяч мужчин, женщин и детей японского происхождения - этого хотела жаждущая мести публика. Когда же пришло известие о поимке доблестным ФБР восьми немецких шпионов-диверсантов, то поначалу Рузвельт хотел посадить их в звериные клетки и, провезя в таком виде по всей стране, затем казнить. Тогдашний министр юстиции Фрэнсис Биддл в своих возражениях указывал, что никаких актов шпионажа или диверсий в действительности не было, однако Рузвельт настаивал на смертной казни. Биддл предупредил, что в подобных обстоятельствах ни один гражданский суд не сможет вынести столь суровый приговор. Тогда президент отправил шпионов под военный трибунал [JP01].
Для Гувера было чрезвычайно важно, чтобы в глазах американского общества вся заслуга в поимке шпионов принадлежала ФБР, а Германия ничего не узнала о предательстве Даша. Поэтому самые существенные подробности данной истории были тщательно сокрыты даже от военного суда. Лично сопровождая ход дела, Эдгар Гувер регулярно присутствовал на заседаниях трибунала, тщательно следя, чтобы не просочилось никакой лишней информации. Как вспоминал впоследствии член военного трибунала Ллойд Катлер, в 1970-е годы советник президента Картера, они получили к разбирательству дело, «целиком подготовленное в ФБР, причем Гувер держал нас на расстоянии от своих агентов».
В итоге все 8 диверсантов были приговорены к смертной казни, причем Гувер потребовал, чтобы казнили их как можно быстрее, лично организовав исполнение приговора. Вскоре шестерых посадили на электрический стул. Георга Даша и Эрнста Бергера все же оставили в живых, заменив смертную казнь на длительные сроки тюремного заключения. Вместо обещанной амнистии Даша продержали в тюрьме пять лет, но и после этого не выпустили на свободу, а принудительно депортировали из США.
А Эдгар Гувер и три десятка лет спустя все еще любил вспоминать об этом деле, как об одном из «самых важных своих достижений». Эта фабрикация настолько глубоко впечаталась в историю ФБР, что уже после смерти Гувера, в 1979 году в холле Министерства юстиции установили мемориальную бронзовую доску в честь столь выдающегося события. На долгую, как говорится, память.
Действительно, есть что вспомнить.
Если основную часть американской нации трагические события 11 сентября 2001 года повергли в состояние шока, то отдельные персонажи, напротив, пришли в состояние повышенного возбуждения, поскольку усмотрели в атаках террористов невероятно удачный шанс для раскрутки своего бизнеса. Так, коммерсант-нейрофизиолог Лоуренс Фаруэл из г. Айова, владеющий небольшой фирмой Brain Wave Science [http://www.brainwavescience.com], тут же, не мешкая, ринулся трубить на всех перекрестках, что разработанное им оборудование для измерения мозговой активности - это именно то, что нужно ФБР и всем правоохранительным органам для отлова злоумышленников.
Нынешний бизнес Фаруэла родился из научной статьи «Отпечатки мозга», в начале 1990-х опубликованной им в журнале «Психофизиология» в соавторстве с учителем, профессором Имануилом Дончином [FD91]. Но если Дончин по сию пору продолжает настаивать, что полученные в работе результаты являлись лишь демонстрацией концепции и требовали обширных дополнительных исследований для применения в реальных приложениях, то Фаруэлл решил иначе - «куй железо пока горячо».
На основе исходных экспериментов ученый разработал своего рода «детектор лжи» - специальный криминалистический тест с целью установления, известна подозреваемому интересующая следствие информация или нет. Для этого испытуемому надевается на голову повязка с электродами, регистрирующими волны электромагнитной активности мозга. На компьютерном экране, установленном перед «пациентом», начинают демонстрировать разного рода специально подобранные картинки, и когда мозг «узнает» тот или иной образ, то генерируется определенного рода волна, именуемая у специалистов «реакция РЗОО». Разработанный Фаруэлом алгоритм для анализа формы РЗОО позволяет с высокой вероятностью делать заключение, опознал мозг испытуемого улики или нет. Например, для отыскания действительных сообщников терактов 9/11 среди более чем 700 подозреваемых Фаруэл предложил протестировать их на своем приборе, который будет демонстрировать, скажем, название организации «Аль-Каида» на арабском языке или приборную панель «Боинга-757» [JS01].
Аппаратура Фаруэла для снятия «отпечатков мозга» уже несколько лет испытывается ФБР и полицией ряда штатов в реальных расследованиях, однако, как настаивают критически относящиеся к технологии ученые, всецело полагаться на показания прибора было бы слишком опрометчиво. Например, хорошо известно, что люди с психопатическими наклонностями часто дают неадекватную реакцию РЗОО, массу нюансов в реакцию вносят раса, пол и возраст испытуемых, а человек эрудированный и образованный всегда распознает намного больше предметов и слов, чем невежественный. В интерпретации формы волны важнейшим остается субъективный фактор личности конкретного эксперта, да и многолетняя практика использования «детекторов лжи» свидетельствует, что при соответствующей подготовке подобные приборы вполне можно обманывать. Но Фаруэл напрочь отметает все эти аргументы, настаивая, что его аппаратура абсолютно надежна и «ради национальных интересов чрезвычайно важно внедрить ее как можно быстрее».
Об имеющихся на рынке средствах перехвата и мониторинга GSM (сама возможность чего до неприличия долго отрицалась официальными представителями MoU) наиболее красноречиво рассказывают реальные объявления в Интернете. Чтобы не ходить далеко, достаточно процитировать текст веб-страницы одного из виртуальных магазинов, развернутых в России в конце 1990-х годов (вскоре, правда, сайт упрятали из общего доступа поглубже - по той же, в сущности, схеме, как это делают все солидные-официальные торговцы подобной аппаратурой):
Система профессионального тестирования и мониторинга GSM
Используя наше уникальное аппаратное и программное обеспечение, «Система…» будет отслеживать звонки в границах выделенной области, оставаясь подключенной к соединению. Она будет выводить на дисплей управляющие команды, идущие на телефон и от телефона, отслеживать речевой канал (голос) и резервный канал (где проходят: SIM -номер модуля идентификации абонента, IMSI - международный идентификатор абонента мобильной связи, TMSI - временный идентификатор абонента, SAK - ключ аутентификации абонента, PIN - номер персональной идентификации и другая информация). Процесс декодирования и выполнения всех калькуляций занимает около 2,5 минут, так что длительность телефонного соединения, которое вы отслеживаете, должна быть по крайней мере такого же порядка, чтобы устройство мониторинга могло обработать и проверить всю информацию, включая соответствующие значения для программирования нового SIM[т.е. для клонирования GSM-телефона]. Программное и аппаратное обеспечение позволяют отслеживать конкретные номера телефонов. Можно создавать «файлы регистрации данных» ( data log flies ) для последующего анализа, а аудиоинформацию можно записывать для контроля с помощью звукозаписывающего оборудования (в поставку не входит). В комплект поставки входит подробное Руководство и программное обеспечение для Windows или DOS . Данная система разработана для 900 Мгц GSM - cemeu . Цена - 4500 долларов. Все заказы оплачиваются через Western Union или трансфером банк-банк.
Тотально ослабленная защита
В начале 1999 года в ассоциации SDA были полностью восстановлены и проверены на реальных тестовых векторах криптосхемы алгоритмов А5/1 и А5/2. Обратное восстановление А5/2 подтвердило уже имевшуюся информацию, что в этой схеме добавлен еще один короткий регистр длиной 17 бит, управляющий движением бит в остальных трех регистрах. Вагнеру и Голдбергу очень быстро удалось продемонстрировать, что в этих условиях для вскрытия системы достаточно лобовым перебором (сложность 216) отыскать заполнение управляющего регистра. Делается это всего по двум фреймам сеанса связи длиной по 114 бит (в системе GSM первые два фрейма шифрпоследовательности известны, поскольку шифруются одни нули). Другими словами, вскрытие такого шифра осуществляется буквально «на лету», за 15 миллисекунд работы рядового персонального компьютера [DW 99].
Подводя своего рода итог проделанному в Smartcard Developer Association исследованию, Лаки Грин следующим образом выразился о соотношении декларируемой и истинной безопасности проанализированной системы: «Мой опыт работы с GSM показывает, что разведывательные службы, стоящие как известно, за всеми криптоалгоритмами GSM, используют в своей работе весьма специфический подход. Разведслужбы компрометируют любой и каждый компонент криптосистемы, какой только можно скомпрометировать. Разведслужбы, имея такую возможность, ослабляют компонент просто потому, что могут это сделать, а не потому, что им это нужно. Это как бы извращенное воплощение в целом правильного принципа многократной избыточности» [LG 99].
Это весьма сильное, прямо скажем, заявление Лаки Грин затем подтверждает на конкретных примерах выявленных в GSM слабостей, серьезным образом компрометирующих систему.
• Скомпрометирована эффективная длина сеансового ключа. В 64-битном ключе, который А8 генерирует для А5, последние 10 бит принудительно обнулены. Это совершенно умышленное ослабление системы примерно в 1000 раз.
• Скомпрометирована система аутентификации и алгоритм генерации секретного ключа. Известно, что о слабостях в СОМР128, обнаруженных SDA в 1998 году, участники GSM MoU были официально уведомлены еще в 1989 году. То есть задолго до широкого распространения GSM. Имеющаяся в MoU «группа экспертов по алгоритмам безопасности» (SAGE), состоящая из никому неведомых людей, сохранила в тайне это открытие и не стала информировать о нем даже собственно членов MoU. В результате чего разведслужбы имеют возможность клонировать телефоны и вычислять секретные ключи абонентов непосредственно в ходе сеанса связи.
• Скомпрометирован сильный алгоритм шифрования А5/1. В этом шифре с 64-битным ключом имеются многочисленные конструктивные дефекты, приводящие к стойкости, не превышающей стойкость шифра с 40-битным ключом (другими словами, стойкость понижена на 6 порядков или в миллион раз). Непостижимо, каким образом столь очевидный дефект мог быть упущен французскими военными разработчиками.
• Скомпрометирован более слабый алгоритм шифрования А5/2. Хотя в MoU признают, что вскрываемость шифра и была целью разработки А5/2, тем не менее в официальных результатах анализа SAGE сказано, что им неизвестно ни о каких криптографических дефектах в А5/2.
Чтобы обеспечить перехват и дешифрование GSM-трафика, отмечает Лаки Грин, было бы достаточно скомпрометировать эффективную длину ключа. Было бы достаточно скомпрометировать алгоритм генерации ключа. Было бы достаточно скомпрометировать алгоритм шифрования. Но спецслужбы сделали все три эти вещи. Такое можно назвать лишь «хорошо продуманной гарантированно избыточной компрометацией».
И, наконец, еще один очень существенный нюанс. Все шифрование разговоров в системе GSM осуществляется только на канале между мобильным телефоном и базовой станцией, то есть в «эфирной» части передачи. При наличии санкции суда на прослушивание звонков правоохранительные органы всегда имеют возможность подключиться непосредственно к базовым станциям, где уже нет никакого шифрования. Так что единственной причиной для тотального ослабления криптозащиты оказывается «нелегальный» доступ без каких бы то ни было ордеров и санкций.
Вскрытие А5/1
Вскоре, в декабре 1999 г., под натиском университетских криптографов пал, можно считать, и самый сильный элемент в защите GSM - алгоритм шифрования А5/1. Израильские математики Ади Шамир и Алекс Бирюков (чуть позже к ним присоединился американец Дэвид Вагнер) опубликовали работу, в которой описан созданный ими весьма нетривиальный, но по теоретическим расчетам весьма эффективный метод вскрытия А5/1.
Ади Шамира вполне заслуженно называют «патриархом израильской академической криптографии». Еще в 1977 году, работая в США совместно с Рональдом Райвестом и Леонардом Адлеманом, Шамир участвовал в создании знаменитой криптосхемы с открытым ключом RSA (здесь «S» - это Shamir). В 80-е годы им разработано несколько криптографических протоколов и криптосхем. На рубеже 1980-1990-х, работая совместно с Эли Бихамом, Шамир создал метод дифференциального криптоанализа, в открытом академическом сообществе ставший основой практически всех современных методов исследования и вскрытия блочных шифров (подобные работы спецслужб ведутся в строжайшем секрете). Совместный же с Бирюковым криптоанализ А5/1 стал, похоже, первым обращением Шамира к исследованию поточных шифров на основе регистров сдвига - класса схем, более характерных для военной, а не коммерческой криптографии.
Характеризуя изобретенный метод вскрытия А5, Шамир выразился так: «Это весьма сложная идея, реализуя которую мы наступаем на многих фронтах, чтобы накопить несколько небольших преимуществ, но сложенные все вместе они дают большой выигрыш». Если чуть более подробно, то новый метод атаки использует тонкие слабости в структуре регистров сдвига, необратимый механизм их движения, а также частые перезагрузки регистров, применяемые в GSM. Развивая потенциал балансировки «время-память», ученые создали два родственных вида атак, реализуемых на персональном компьютере с увеличенным объемом внешней памяти. Для успеха первой атаки требуется выходная последовательность алгоритма А5/1 в течение первых двух минут разговора - тогда ключ вычисляется всего за секунду (но в реальных условиях получить для анализа эти две минуты крайне проблематично). Вторая атака требует выход А5/1 всего за две секунды, но на вычисление ключа тогда затрачивается несколько больше времени - несколько минут. Все расчеты были подтверждены реальными вычислительными экспериментами. Попутно следует отметить, что факт реальной длины ключа не в 64, а лишь в 54 бита криптографами не использовался.
Теперь будем делать по-другому?
К началу 2000-х годов уже почти все эксперты в области защиты информации (спецслужбы, как обычно, воздерживаются от комментариев) сошлись во мнении, что разработка мер безопасности для широко используемых систем в тайне от общественности - это в корне порочный путь. Единственный способ гарантировать надежную безопасность - это честно дать возможность проанализировать систему защиты всему сообществу специалистов.
Поначалу создалось впечатление, что данную истину (хотя бы отчасти) признали и в консорциуме GSM. Процитированный в самом начале главы Джеймс Моран, ведающий безопасностью GSM, прокомментировал вскрытие всех криптоалгоритмов системы так: «Когда эти шифры разрабатывались в 1989 году, широкая публикация алгоритмов не была распространенным подходом. Однако, создаваемые ныне алгоритмы будут опубликованы для предварительного их изучения» [DM99].
Летом 2002 года, когда появилось широко анонсированное известие о введении в систему GSM нового криптоалгоритма А5/3, могло показаться, что обещания открытого процесса обсуждения действительно выполняются [NR02]. Про этот реально качественный алгоритм сообществу криптографов академии и индустрии было известно практически все - фактически, это алгоритм Kasumi, созданный рабочей группой 3GPP (3rd Generation Partnership Project) для сетей мобильной связи следующего, третьего поколения. Шифр Kasumi, в свою очередь, построен на основе сильного, еще в 1990-е годы всесторонне исследованного криптоалгоритма MISTY известного японского криптографа Мицуро Мацуи…
Но на этом вся открытость, похоже, и закончилась. Новая спецификация в GSM, именуемая GPRS и обеспечивающая длительное подключение мобильного телефона к Интернету, имеет в своем арсенале новое семейство криптоалгоритмов под общим названием GEA. Про конструкцию этих шифров, по сути дела, известно лишь то, что они не имеют никакого отношения к алгоритмам А5/1 и А5/2. Да еще изменен порядок классификации: GEAO - никакого шифрования (одни нули), GEA1 - экспортный (ослабленный) вариант, GEA2 - обычная стойкость, GEA3 - фактически, тот же вариант, что А5/3. Про стойкость GEA1 и GEA2 неизвестно ничего, поскольку по состоянию на конец 2003 года никто их в открытом сообществе криптографов не видел [GR03].
Тот же принцип сокрытия информации консорциум GSM сохранил и в отношении новых версий алгоритма COMF128 (практической реализации АЗ-А8 в SIM-модулях). Известно лишь то, что имеются две версии секретного алгоритма под названиями COMF128-2 и COMF128-3, призванные решить проблемы, выявленные в первой, вскрытой версии. В частности, COMF128-3 уже не делает принудительное обнуление 10 битов в сеансовом ключе [FQ03].
Так что в целом, как можно видеть, ситуация с «безопасностью по-страусиному» практически не изменилась.
Тяжелое наследие
В период с 2000 по середину 2003 года сколь-нибудь серьезных происшествий в области дальнейшей компрометации GSM более не происходило. Точнее, кое-что, конечно, случалось - вспомним, например, «моментальное» клонирование SIM-карты в IBM - но в прессу и широкое публичное обсуждение эти новости уже не просачивались, оставаясь в материалах и кулуарах научных конференций. Однако к лету 2003 года группа израильских криптографов из института Technion - Элад Баркан, Эли Бихам и Натан Келлер - отыскала серьезнейшую, неведомую прежде слабость в системе защиты GSM. В подготовленной авторами работе, «Мгновенное вскрытие защищенных коммуникаций GSM только по шифртексту» [ВВОЗ], было показано, что эту брешь можно весьма эффективно эксплуатировать для проведения реальных атак самого разного рода - от прослушивания открытых и шифрованных разговоров до подделки SMS (коротких текстовых сообщений) или динамического клонирования телефонов жертв, т.е. звонков якобы с номера жертвы.
В соответствии с традицией, публичное представление этой работы научному сообществу было сделано на одном из форумов - в рамках августовской международной конференции CRYPTO-2003 в Санта-Барбаре. Профессионалы-криптографы прореагировали на доклад с огромным интересом (по словам ветерана Бихама, «были удивление, шок, потом поздравления» в связи с получением неожиданного результата). А в прессе при этом - абсолютно ничего, ни единого упоминания о столь значительной работе. На подобных примерах наиболее отчетливо видно, сколь эффективно и мощно власти способны контролировать «свободную» прессу, если хотят удержать какую-либо информацию в сокрытии. Но тот же пример одновременно наглядно демонстрирует, что «всех обманывать можно лишь какое-то время».
Спустя примерно две недели известие все же прошло в локальной израильской прессе, оттуда попало в Интернет, после чего его донесли миру агентство Reuters и все остальные СМИ. В самом кратком изложении суть результатов Баркана, Бихама и Келлера сводится к следующему.
1. Алгоритм А5/2 очень легко вскрывается еще до начала собственно телефонных разговоров - на этапе звонка вызова. Причем делается это на основе лишь пассивного прослушивания линии. Это возможно по той причине, что в GSM код исправления ошибок применяется к сигналу до шифрования. Но этот код, защищающий сигнал от возможных ошибок и искажений, вносит в сигнал очень большую избыточность, благодаря чему нужные для вскрытия ключа данные становятся известны подслушивающей стороне уже на стадии вызова.
2. Все другие шифрованные звонки по GSM (включая применение более сильных алгоритмов А5/1 или А5/3) можно вскрывать, применяя активную атаку. Здесь используется дефект в протоколе: процесс генерации сеансового ключа не зависит от того, какой выбран алгоритм засекречивания, сильный или слабый. Поэтому становится возможным сначала организовать атаку с вынуждением жертвы применить слабый шифр А5/2, узнать благодаря этому внутренний секретный ключ телефона, а впоследствии этот же самый ключ будет применяться в шифрованных звонках с сильным криптоалгоритмом А5/1 или А5/3. Злоумышленник может записать эти разговоры, а затем их расшифровать, используя вскрытый через А5/2 ключ.
Израильские криптографы, надо подчеркнуть, прекрасно понимая всю серьезность полученных ими результатов, задолго до публикации известили консорциум GSM о выявленной слабости. Но деланно равнодушная и демонстративно незаинтересованная реакция со стороны «Ассоциации GSM», судя по всему, оказалась для Бихама и его коллег полной неожиданностью. В официальном заявлении консорциума очень сдержанно признали, что новый метод взлома действительно «идет дальше предыдущих академических статей, однако не содержит в себе ничего нового или удивительного для сообщества GSM; Ассоциация GSM полагает, что практические следствия данной статьи ограничены, а недавний апгрейд криптоалгоритма А5/2, доступный с июля 2002 года, направлен на то, чтобы закрыть брешь в безопасности, выявленную израильскими учеными» [JW03].
Сами израильские ученые, в частности Бихам категорически не согласны с выводами Ассоциации. Слова же про то, что апгрейд А5/2 закроет выявленную брешь, вообще расцениваются как ввод общественности в заблуждение (поскольку при апгрейде старый алгоритм тоже приходится оставлять в телефоне в целях обеспечения совместимости, а значит он продолжает играть роль «черного хода»).
Но почему же новость об этом взломе все-таки прорвалась в центральные средства массовой информации после двух недель дружного и полного замалчивания? Этого, естественно, не объяснил никто, но кое-какие разумные соображения на данный счет все же выдвинуты. С подачи агентства Reuters, первым запустившим шар, практически всякое новостное сообщение об исследовательской работе израильтян заканчивалось примерно такими словами: «И Эли Бихам, и Ассоциация GSM говорят, что выявленная проблема никак не касается мобильных телефонов третьего поколения, поскольку в системе 3G разработчики радикально сменили алгоритм шифрования и протоколы безопасности». Следовательно - появился замечательный стимул к переходу на новую, более продвинутую (и дорогую) систему. Денег-то уже вбуханы миллиарды, а публика окупать их что-то совсем не торопится.
Бизнес, конечно, дело хорошее. Да и новые технологии - вещь замечательная. Вот если б врали народу еще поменьше…
Глава 6. Охота за людьми и машинами
Страницы жизни героя, 1942.
Звериные клетки и электрический стул
Летом 1942 года на долю Эдгара Гувера выпала редкостная удача. Получилось родить одну из тех наиболее героических и насквозь фальшивых историй, что заложены в основу мифа о всеведении и несокрушимости гуверовского ФБР. Начиналось же все достаточно серьезно и тревожно, когда у берегов острова Лонг-Айленд немецкая субмарина высадила диверсионную группу из четырех человек, снабженных деньгами, оружием, взрывчаткой и планами террористических актов на заводах, производивших важную военную продукцию. Патрульный службы Береговой охраны, наткнувшийся на четырех подозрительных мужчин с плотом, не стал поднимать тревогу, поскольку те представились заплутавшими рыбаками, да еще дали ему денег, чтоб не было неприятностей. Отпустив «рыбаков», патрульный все же решил подстраховаться и доложил-таки о своих подозрениях начальству.
Когда о происшествии на следующий день узнало ФБР, Береговая охрана уже нашла у места высадки довольно небрежно устроенный тайник со взрывчаткой и другим снаряжением. Однако сами диверсанты бесследно исчезли. Гувера происшествие чрезвычайно возбудило и встревожило, поскольку дело пахло угрозой диверсионных актов, а быть может и подготовкой военного вторжения. Он приказал сохранить инцидент в полнейшей тайне от прессы и объявил самую крупномасштабную облаву за всю историю ФБР.
Чем бы закончилась эта большая охота, сказать трудно, поскольку четверо диверсантов уже рассредоточились и поселились в разных отелях огромного Нью-Йорка. Однако дальнейшие действия группы пошли совсем не по плану, поскольку ее руководитель, тридцатидевятилетний Георг Даш, до войны много лет проживший в США, был абсолютно не расположен к выполнению диверсионных задач. Об этом он рассказал своему ближайшему партнеру-приятелю по группе Эрнсту Бергеру, который тоже был не прочь тихо рассосаться в большой стране, поделив 84 тысячи долларов, полученные от германского военного командования.
Но Даш выбрал иной путь, позвонив в местное нью-йоркское отделение ФБР и сообщив, что только что прибыл из Германии и хотел бы передать господину Гуверу чрезвычайно ценную информацию. Когда Вашингтон уведомили о звонке, Даш сам отправился в столицу и сдался вместе со всей кассой. Помимо большой суммы денег ФБР получило в лице Даша ценный источник информации о составе и местах проживания остальных членов группы (Даш предупредил, что действовал с ведома Бергера), о составе и месте высадки другой диверсионной группы у берегов Флориды, о главных целях диверсионных актов и вообще о подготовке диверсантов в Германии. На основе полученных данных ФБР быстро арестовало всех семерых коллег Даша, а ему самому настоятельно порекомендовали признать себя на суде виновным и помалкивать о добровольной сдаче американским властям. В обмен же за молчание было обещано, что уже через несколько месяцев добрый президент Рузвельт его амнистирует и выпустит на свободу. Даш все сделал так, как ему велели, за что едва не поплатился головой.
На самом деле президент Рузвельт вовсе не был добрым, а уж после Перл-Харбора так вообще начал лютовать, особенно в отношении японцев и немцев. Во всех предоставленных ему докладах от разведывательно-аналитических служб был сделан вывод, что живущие на Западном побережье США японские американцы не представляют никакой угрозы государству. Тем не менее, Рузвельт настоял на интернировании в концлагеря 114 тысяч мужчин, женщин и детей японского происхождения - этого хотела жаждущая мести публика. Когда же пришло известие о поимке доблестным ФБР восьми немецких шпионов-диверсантов, то поначалу Рузвельт хотел посадить их в звериные клетки и, провезя в таком виде по всей стране, затем казнить. Тогдашний министр юстиции Фрэнсис Биддл в своих возражениях указывал, что никаких актов шпионажа или диверсий в действительности не было, однако Рузвельт настаивал на смертной казни. Биддл предупредил, что в подобных обстоятельствах ни один гражданский суд не сможет вынести столь суровый приговор. Тогда президент отправил шпионов под военный трибунал [JP01].
Для Гувера было чрезвычайно важно, чтобы в глазах американского общества вся заслуга в поимке шпионов принадлежала ФБР, а Германия ничего не узнала о предательстве Даша. Поэтому самые существенные подробности данной истории были тщательно сокрыты даже от военного суда. Лично сопровождая ход дела, Эдгар Гувер регулярно присутствовал на заседаниях трибунала, тщательно следя, чтобы не просочилось никакой лишней информации. Как вспоминал впоследствии член военного трибунала Ллойд Катлер, в 1970-е годы советник президента Картера, они получили к разбирательству дело, «целиком подготовленное в ФБР, причем Гувер держал нас на расстоянии от своих агентов».
В итоге все 8 диверсантов были приговорены к смертной казни, причем Гувер потребовал, чтобы казнили их как можно быстрее, лично организовав исполнение приговора. Вскоре шестерых посадили на электрический стул. Георга Даша и Эрнста Бергера все же оставили в живых, заменив смертную казнь на длительные сроки тюремного заключения. Вместо обещанной амнистии Даша продержали в тюрьме пять лет, но и после этого не выпустили на свободу, а принудительно депортировали из США.
А Эдгар Гувер и три десятка лет спустя все еще любил вспоминать об этом деле, как об одном из «самых важных своих достижений». Эта фабрикация настолько глубоко впечаталась в историю ФБР, что уже после смерти Гувера, в 1979 году в холле Министерства юстиции установили мемориальную бронзовую доску в честь столь выдающегося события. На долгую, как говорится, память.
Действительно, есть что вспомнить.
Ловля рыбы в волнах бури
Выявление мыслепреступлений
Если основную часть американской нации трагические события 11 сентября 2001 года повергли в состояние шока, то отдельные персонажи, напротив, пришли в состояние повышенного возбуждения, поскольку усмотрели в атаках террористов невероятно удачный шанс для раскрутки своего бизнеса. Так, коммерсант-нейрофизиолог Лоуренс Фаруэл из г. Айова, владеющий небольшой фирмой Brain Wave Science [http://www.brainwavescience.com], тут же, не мешкая, ринулся трубить на всех перекрестках, что разработанное им оборудование для измерения мозговой активности - это именно то, что нужно ФБР и всем правоохранительным органам для отлова злоумышленников.
Нынешний бизнес Фаруэла родился из научной статьи «Отпечатки мозга», в начале 1990-х опубликованной им в журнале «Психофизиология» в соавторстве с учителем, профессором Имануилом Дончином [FD91]. Но если Дончин по сию пору продолжает настаивать, что полученные в работе результаты являлись лишь демонстрацией концепции и требовали обширных дополнительных исследований для применения в реальных приложениях, то Фаруэлл решил иначе - «куй железо пока горячо».
На основе исходных экспериментов ученый разработал своего рода «детектор лжи» - специальный криминалистический тест с целью установления, известна подозреваемому интересующая следствие информация или нет. Для этого испытуемому надевается на голову повязка с электродами, регистрирующими волны электромагнитной активности мозга. На компьютерном экране, установленном перед «пациентом», начинают демонстрировать разного рода специально подобранные картинки, и когда мозг «узнает» тот или иной образ, то генерируется определенного рода волна, именуемая у специалистов «реакция РЗОО». Разработанный Фаруэлом алгоритм для анализа формы РЗОО позволяет с высокой вероятностью делать заключение, опознал мозг испытуемого улики или нет. Например, для отыскания действительных сообщников терактов 9/11 среди более чем 700 подозреваемых Фаруэл предложил протестировать их на своем приборе, который будет демонстрировать, скажем, название организации «Аль-Каида» на арабском языке или приборную панель «Боинга-757» [JS01].
Аппаратура Фаруэла для снятия «отпечатков мозга» уже несколько лет испытывается ФБР и полицией ряда штатов в реальных расследованиях, однако, как настаивают критически относящиеся к технологии ученые, всецело полагаться на показания прибора было бы слишком опрометчиво. Например, хорошо известно, что люди с психопатическими наклонностями часто дают неадекватную реакцию РЗОО, массу нюансов в реакцию вносят раса, пол и возраст испытуемых, а человек эрудированный и образованный всегда распознает намного больше предметов и слов, чем невежественный. В интерпретации формы волны важнейшим остается субъективный фактор личности конкретного эксперта, да и многолетняя практика использования «детекторов лжи» свидетельствует, что при соответствующей подготовке подобные приборы вполне можно обманывать. Но Фаруэл напрочь отметает все эти аргументы, настаивая, что его аппаратура абсолютно надежна и «ради национальных интересов чрезвычайно важно внедрить ее как можно быстрее».