Пользователь
250,2
рейтинг
29 декабря 2009 в 13:44

Разработка → Подробности о взломе алгоритма A5/1

Вчера поздним вечером появилась информация, что немецкий криптолог Карстен Нол (Karsten Nohl) продемонстрировал способ взлома 64-битного алгоритма A5/1, который используется во всех системах мобильной связи GSM. Этому алгоритму шифрования уже 21 год, и в последнее время было несколько заявлений о его компрометации, но до сегодняшнего дня ни одна хакерская группировка не публиковала полную информацию о процессе взлома, так что факты оставались не подтверждёнными. Сейчас же состоялась публичная демонстрация на конференции Chaos Communication Congress в Берлине. Вся информация по проекту взлома A5/1 опубликована здесь. Таблицы для кодовых книг A5/1 можно найти в торрентах.

Метод Нола позволяет сократить время взлома GSM-шифра с нескольких недель до нескольких часов, так что отныне прослушка GSM доступна не только спецслужбам, но и любой хорошо финансируемой криминальной организации. При совершенствовании метода время дешифровки может быть сокращено до нескольких минут.

Хотя специалисты по безопасности уже давно обращаются к операторам GSM с призывом перейти на 128-битный A5/3, этого не происходит. Дело в том, что для апгрейда требуются значительные инвестиции. Даже сейчас представители GSM Association прокомментировали доклад Нола в том духе, что его работа является незаконной, и что взлом возможен только теоретически, но на самом деле воспользоваться им практически невозможно.
Анатолий Ализар @alizar
карма
739,5
рейтинг 250,2
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (95)

  • +39
    «Работа является незаконной» — это сильно!
    Т.е. если работа незаконна, то и результатов быть не может?
    • +6
      Вы всё правильно подметили!)
      от себя добавлю, что логика-это ещё одна вещь в которой они не секут))
  • +17
    А ещё в GSM отсутствует аутентификация базовой станции. Поэтому можно просто подъехать на микроавтобусе с GSM передатчиком и пускать все звонки через себя.

    А ещё в России используется ослабленная версия GSM.

    GSM со своим обязательным NDA и слабым шифрованием ужасен.
    • 0
      >в России используется ослабленная версия GSM.

      В чем именно? Можно узнать подробности?
      • 0
        Когда я последний раз изучал вопрос, сообщалось, что используется ослабленная версия алгоритма A5 (A5/2, кажется).
        • +2
          да, спасибо — нашел здесь

          В сетях GSM используется две версии алгоритма A5: A5/1 и A5/2. Такое разделение произошло «благодаря» экспортным ограничениям на технологии шифрования. В итоге страны Западной Европы и несколько других наиболее цивилизованных мест получили право использовать алгоритм A5/1, а остальным странам (в том числе России) разрешили использовать «слабый» A5/2. Алгоритмы семейства A5 были засекречены, однако их основные детали стали известны уже к 1994 году. Сейчас об алгоритмах защиты GSM общественность знает практически все.

          • 0
            в А5/2 длина ключа 48 бит
    • +5
      у ФСБ есть микроавтобусы — локальные GSM станции. В радиусе 100 метров прослушка всех сотовых.

      думаю такие автобусики скоро можно на ebay будет заказывать для личных нужд.
      • 0
        Типа Triggerfish? Можно и самому собрать думаю.
      • +1
        А зачем им такие автобусы? СОРМ уже отменили?
        • 0
          СОРМ позволяет легко перехватывать весь трафик определенного абонента, независимо от его положения. Мобильная станция позволит перехватить весь трафик в определенном месте, независимо от того, какие абоненты его генерируют. На этом стоит акцентировать отдельное внимание: в конкретной местности мобильная станция сможет перехватывать трафик любых абонентов, независимо от того, какая сеть их обслуживает. Даже абоненты, которые приехали издалека и находятся сейчас в роуминге, будут попадать под перехват. Очевидно, что получить подобный «уровень сервиса» с помощью СОРМ достаточно сложно (надо отслеживать положение абонентов и вести координированный перехват во всех сетях сразу), а в случае роумеров — просто невозможно.

          Интерфейс lawful interception, как правило, географически привязан к месторасположению коммутатора. Мобильная станция — мобильна. Я могу себе представить ситуацию, в которой перехват разговора по мобильному телефону надо соотносить с результатами визуального наблюдения. Проще говоря, если мы хотим убедиться, что перехватываем разговор вот того мутного типа в черном плаще и шляпе с полями, то нам будет достаточно понаблюдать за движением его губ или мимикой. Если мы используем СОРМ, то наблюдатель с наушниками и наблюдатель с биноклем могут быть разнесены на многие километры. Не говоря уже об очевидной сложности определения того, какой оператор обслуживает человека в черном плаще и каков его номер.

          Материал из этой статьи.
          • 0
            Простите, а с какого это перепугу «случае роумеров — просто невозможно»? Не то что возможно, а ещё и ничем не отличается от прослушивания любого другого абонента.

            На счёт локальности использования мобильной прослуший — в её зону действия попадает тоже много абонентов, и выбрать нужного тоже будет трудно. Таким-же образом можно выбрать только тех кто обсулуживается у ОпСоСов определёнными базовыми станциями, расположеными в интересующем месте.
            • 0
              Прощаю, откуда вы узнаете, какой оператор был у человека в роуминге из неизвестной страны, и в какой сети он зарегистрирован в данный момент?
              Трудно, но можно взять пеленг. Что сильно упростит задачу.
              Отсеивание абонентов по ОпСоСу, даст поток речевой информации, без информации о местоположении (кроме пространственного «где-то в радиусе N километров от базы»).
              • 0
                Проверять все сети — система «прослушивания», и управляется централизовано.
      • +3
        Скорее, на dealextreme :)
    • –1
      Пустить то можно, а вот расшифровывать всё равно прийдётся. Так что с т.з. криптографии нет разницы идёт GSM трафик через твою псевдо-БС или же это просто принятый сигнал между БС и абонентом.
      • 0
        Если мне не изменяет память, то можно перехватывать СМСки и номера, куда происходит звонок. Но не уверен точно насчёт первого.
      • НЛО прилетело и опубликовало эту надпись здесь
        • –1
          Ничего не отключается. Чтоб это сделать надо знать Ki сим карты абонента.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Вы заблуждаетесь. В «чистом виде» отключить шифрование не получится.
    • 0
      В Норд Осте так ФСБ и поступило. Примеров масса. Это из наиболее известных.

      GSM очень прост, но лучше и проще ничего так и не придумали. Как и с SNMP.

      Кстати, если подумать, 64 бита — это совсем немного.
      • +2
        ЕМНИМП, тогда шифрование отключили целиком все операторы в Москве (как раз по запросу спецслужб), так что по идее, каждый мог прослушать все разговоры.
        Сам помню, как в те дни при каждом разговоре появлялся характерный открытый замочек на экране Нокии.
        и именно тогда произошел первый слив базы клиентов МТС.
  • +11
    Меня всегда поражала глупость властьимущих (ну или патенто/телхнологоимущих), живущих в собственном придуманном мире, где их технологии и способы работы являются самыми эффективными и как они реагируют на тыки их же носом в то, что они «не до конца правы»…

    Сильная цитата:
    Даже сейчас представители GSM Association прокомментировали доклад Нола в том духе, что его работа является незаконной, и что взлом возможен только теоретически, но на самом деле воспользоваться им практически невозможно.
    Это просто верх глупости после демонстрации :)
    • 0
      ну они же должны хоть как то отмазываться…
      • +2
        Необоснованные отмазки ещё больше усугубляют ситуацию, особенно, когда эта новость дойдёт до жёлтой прессы (или уже там ??) — там такие истерики могут начать устраивать…
    • 0
      Почему глупость? Может быть наоборот, «умность»? Зачем им протокол, который действительно сложно перехватить и прослушать?
      • 0
        Так 3G (A3/1, Kasumi) сложно «перехватить/прослушать»
    • +5
      Это всего навсего большой бизнес. На рефакторинг всех сетей для поддержки нового стандарта шифрования нужны большие инвестиции, прямой прибыли (да и косвенной наверное тоже) от которых нет никакой. Ситуация будет постепенно раскаляться, произойдет некоторое количество реальных взломов, привалит некоторое количество исков. И как только сумма издержек по искам и потери лояльности клиентов начнут превышать необходимую сумму для рефакторинга — это случится. Это я конечно слишко упрощенно описал, но ситуация примерно такова.
      • +3
        получается взлом совершают люди которым это выгодно, или их спонсируют компании — продавцы сотового оборудования.
    • 0
      А у меня вызывают некоторое уныние люди, которые способны думать только одной извилиной, зато стремятся поведать свои «умозаключения» как можно большему количеству людей.

      Всё бы ничего, но просто очень часто приходится тратить время на то, чтобы втемяшивать «знатокам реального мира» принципы элементарной логики.
      • +1
        Извините-с, позволите-с, к Вам обратиться… не хочу отрывать вас от очередного втельмяшивания принципов элементарной логики, но просто бросьте клич, а мы, холопы, уж как-нить разберёмся… Где я ошибся? Ассоцияация что-то дельное сказала? Им продемонстрировали взлом… Понимаете, продемонстрировали, а по мнению ассоциации до сих пор теория имеет место быть. Где я не логичен?
        • +1
          Вот например —
          «Меня всегда поражала глупость властьимущих (ну или патенто/телхнологоимущих), живущих в собственном придуманном мире».

          GSM мир они строят для вас, а никак не наоборот. И хотя бы на этом основании не стоит считать их глупее себя.
          Вообще, данная ситуация прогнозировалась давно — коню понятно, что 20-ти летнюю технологию когда-то да заломают.

          И также понятно, что представители от gsm'а еще некоторое время будут жевать что-то невнятное по этому поводу, так как лишний ажиотаж им тут не нужен, а массовое распространения дешевых «прослушек» они сдержат административными мерами на некоторое время (это надо понимать под «практически не применима»).

          Когда рынок созреет для модернизации они с большой помпой предложат опсосам новое «защищенное» сетеобразующее оборудование ну и сами телефончики до кучи. Так как всё это оплачивает в конечном счёте пользователь, а много сразу он не выложит, то и революции не будет. Но почему-то нет сомнений, что отдельные этапы этого действа тоже будут подаваться в рекламе, как что-то доселе небывалое. А отдельные гики тоже, как сейчас будут кричать «да вы идиоты! это всё не так!».

          В общем, главное сразу не считать себя умнее других.
          Зачастую, если попробовать посмотреть с разных сторон, то всё встаёт на места.
          • +1
            А вот это уже комментарий, вот это уже большое спасибо :)))

            Я не считаю, что ассоциация и операторы глупее меня, но просто как-то странно и непонятно всегда выглядят эти неуверенные и довольно провальные объяснения, как будто они сами хотят чтобы их клеймили позором и обвиняли в слабости позиции.

            Спрашивается, для кого они дают такие первые объяснения ??? Для людей, которые первыми и узнали про возможность взлома, т.е. потенциально для гиков, ну или людей интересующихся телекомом и подобными вещами, которые знают, насколько легко порой теория превращается в практику, а тут уже и демонстрации идут и пр. И спрашивается, зачем такое объяснение давать? Для людей, которые всё узнают из программы Максимум-скандалы-интриги-расследования и иже с ними газетой Жизнь и пр. всё равно неважно, что там сказали операторы и «взломщик», поскольку важно только то, на чём журналист расставляет акценты и делает оценки, да ещё и переврёт сто раз. Если знание придёт от операторов с акциями и повышением цен, то опять же там не важно какие вещи говорили операторы и ассоциация сейчас — тогда будет своя жвачка…

            И вот получается, что ассоциация говорит просто какими-то расхожими фразами скажем так гикам, что вот поверьте мне, а то, что продемонстрировали — это так от лукавого… Зачем это? Уж лучше б молчали и придумывали более весомый ответ…

            Где я неправ?
            • 0
              По поводу невнятного мычания можно рассуждать так.
              Вот представьте, что Вы мегакорпорация со своими мега планами целями и задачами. Тут к вам приходят ребята и говорят «вот тут у вас дыра».
              Некоторые возможные варианты ответов:

              1. Да знаете ли, это типа и не дыра вовсе, наши эксперты говорят, что если и дыра, то практически не эксплуатируемая, и т.п…

              2. Наши пользователи на 99.95% полные лохи, они даже не в курсе что означает иконка с открытым замочком. Наше оборудование/софт стоят $$$-млрд и приносит $$$$$$$ прибыли, но мы не собираемся выделять оттуда даже .$ ради того, чтобы 0.05% гико-пользователей самоудовлетворились.

              Как думаете, какой ответ лучше подойдет для корпоративого блога? :)
  • +28
    Читать чужие смс — РЕАЛЬНО! ))) Слушать переговоры тоже! ))) теперь, когда A5/1 взломан.
    • +3
      Ну WPA тоже взломан, однако к возможности пользоваться чужой точкой доступа, закрытой WPA, это ничуть не приблизило.

      Дилетанты просто слабо ощущают разницу между «компрометацией шифра» и возможностью это практически использовать. Зато можно вволю пошуметь про Голактеко Опасносте!!11
      • 0
        от компроментации шифра до реального использования шаг совсем небольшой.
        • 0
          Небольшой, но далеко не всегда он делается.
      • НЛО прилетело и опубликовало эту надпись здесь
        • –2
          Вы путаете взлом беспроводной сети и взлом роутера. В вашем случае взломали роутер (а значит какую-то сборку линукс или фрибсд, которые обычно на них стоят) и скорее всего, не через wi-fi, а через интернетовский кабель.
          • НЛО прилетело и опубликовало эту надпись здесь
            • +1
              Хорошо, пусть ваши соседи взломали и роутер и wi-fi. Предложите им написать статью на хабр, это должны быть реально незаурядные люди.
              • 0
                «реально незаурядные» предпочитают не светиться где попало
        • 0
          Я достаточно хорошо знаю ситуацию с WPA, чтобы вам не поверить.
          Во-первых, как уже сказали ниже, вы путаете взлом роутера со взломом WPA, а это не одно и то же.
          Во-вторых, то что вы описываете можно сделать и без взлома WPA.
          • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        может товарищ «не диленант», «разбирающийся в ситуации с WPA» объяснит, в чем-таки разница между компроментацией шифра, когда раскрываются ВСЕ его ключевые параметры, и возможностью это практически использовать (честно говоря я не представляю, как можно обладая ключами так, чтобы нельзя было это практически использовать). И более того, интересно было посмотреть ссылку, по которой можно увидеть какие-то доказательства «компроментации WPA», а именно какую-то работу, в которой описывается алгоритм, который позволяет опять-таки вычислить ВСЕ ключевые параметры за разумное время?
        • 0
          С удовольствием. 100USD в webmoney или paypal вас устроит цена за лекцию?
          • 0
            Я в этом и так прекрасно разбираюсь. И я знаю во-первых, что вы не сможете объяснить разницу, которую я попросил, поскольку это одно и тоже (знаем все ключи=> можем расшифровать, поскольку зная ключи мы ничем не отличаемся от системы, которая расшифровывает сообщения). А во-вторых я знаю, что вы не кинете мне ссылку, которую я попросил, потому как еще никому не удалось для общего случая придумать алгоритм вскрытия ключа, который мог бы работать за приемлемое время. И уж извините, но пожалуй откажусь от возможности получить лекцию у такого профана как вы.
  • 0
    Телефония явно куда-то не туда отошла. Я понимаю, у них свои проблемы, свои нюансы. Но бля, нахрена такая негибкость там? Есть офигенно много удобных технологий, почему бы не разработать гибкий стандарт?
    • 0
      Чем гибче стандарт, тем сложнее с совместимостью оборудования разных производителей. Даже при негибких стандартах бывают проблемы.
      • +2
        В наше время мощнейших микроконтроллеров и процессоров большую часть обработки можно перенести на софт, а поддержка будет сводится к заливке соответствующей прошивки. При негибких стандартах проблемы бывают ооочень редко, но это тупик. Один раз создав GSM, обновление его потребует полностью нового стандарта, полностью измененного оборудования и т. д. и т. п. Так что преимущества явно перевешивают проблемы с совместимостью.

        Посмотрите, например, как устроен тот же XMPP. Возможности — не ограничены благодаря расширениям, но базовая функциональность работоспособна везде и всегда. И совместимость великолепна.
        • +1
          Обработка почти всей логики GSM давно в софте. Другое дело что софт раньше крутился на особенно экзотических платформах, разработка для которых требовала немеряных ресурсов.
          10 лет назад, когда я этим занимался, на софт 2 из почти десятка типов железок, составляющих GSM оборудования, вендор, на которого я работал тогда, потратил несколько тысяч человеко-лет.

          В 3G аналогичные по фичам части 3G/LTE пишутся в 5 раз меньшими командами, за счет того, что телко разработка в последнии годы смерджилась обратно с обычным IT (теперь используются обычные железки (даже от ATCA отказываются)), реюзаются где можно IETF стандарты, короче — все как Вы и написали.
        • 0
          И совместимость великолепна

          «Позвоните» jingle'ом с GTalk на Psi :-)
          • 0
            Ну XMPP это “…Message Passing Protocol”. И сообщения (то для чего он разрабатывался) великолепно приходят откуда угодно и куда угодно. Я имел в виду что-то аналогичное, только для телефонии разработать. Ну вот товарищ сверху рассказал про LTE, вот это круто :)
  • +6
    Исследование основывается на пассивной распределенной атаке на алгоритм A5/1. Этот криптоалгоритм считается небезопасным экспертами уже давно, т.к. использует короткие ключи. Для уменьшения времени, требуемого для атаки, Нол разработал программное обеспечение, которое находится в свободном доступе по адресу reflextor.com/trac/a51. Это программное обеспечение использует графический адаптер с поддержкой CUDA для осуществления вычислений и распределяет задачи между различными компьютерами в сети. Для осуществления атаки также понадобится 2 USRP2 антенны. В обычных условиях потребуется несколько минут, чтобы собрать достаточно данных для взлома шифра, но, поскольку, звонки записываются и повторяются позже, возможно восстановить все содержимое разговора.
    www.securitylab.ru
    • +6
      Собственно он просто забацал готовую таблицу, которая ускоряет процесс взлома. Некий аналог Rainbow Tables.
    • 0
      Ок, софт есть. А что из железа нужно для его работы? Какова цена вопроса? Мне интересно, насколько должна быть хорошо финансирована «хорошо финансируемая криминальная организация»?
      • 0
        Не больше пары штук баксов.
        • 0
          Нужен комп, Tesla или GeForce с CUDA, две антенны. Собственно, всё.
          • 0
            антенны, видимо, куда-то втыкаются?
            • 0
              Видимо в комп :) Антенна не всмысле кусок железки, а соответствующая обвязка. Это может быть USB-устройство или PCI-карта. Да что угодно :)
              • 0
                Под антеннами видимо подразумеваются два устройства USRP.
    • 0
      Видя скорость роста производительности мобильных устройств становится немного страшно, что при таком раскладе и сохранении GSM в таком виде взлом и последующее прослушивание можно будет осуществлять с помощью программы за 99$ на мобильнике :)
      • 0
        Это до того, как она попадёт на торренты. Потом мобильник можно будет просто выкинуть.
        • 0
          ну мы же все честные :)))
          • +1
            А попробуй обмануть, когда тебя подслушвают все кому не жалко $99 :)
            • 0
              Тсс… они нас слушают.
  • 0
    Как заявил Карстен Нол — «Сейчас образцы кода уже доступны на многих сайтах, в сетях BitTorret, на форумах». Пока нашел только таблицы и бинарники table generator. Может у кого поконкретнее ссылки имеются?
    • 0
      Что именно Вы не можете найти?
  • 0
    На практике чем это грозит?
    • 0
      Ваша фирма использует корпоративные сотовые? Если да, то ваши конкуренты однажды заинтересовавшись смогут по крайней мере узнать базу клиентов и переговоры менеджеров по поводу внутрикорпоративных дел… Вот хотя бы для этого… Останавливает, я так понимаю пока только цена вопроса и некоторая сырость технологии (ну я это сказал всвязи с «При совершенствовании метода время дешифровки может быть сокращено до нескольких минут.» — всё же корпоративного трафика чрезмерно много, чтобы можно было позволить каждый разговор обрабатывать по несколько часов).
      • –2
        Для копроративных клиентов давно есть удобный Blackberry.
        • +1
          ну голосовой траффик он не шифрует.
          а data-траффик шифруется только если ent.server стоит на стороне организации.
          Для услуг BB в России, МТС и Билайн требуют, чтобы ent.server стоял на площадке провайдера, откуда уже шел бы канал в почтовую инфру организации.
          Несложно догадаться, для каких целей служит данное требование.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              ага. поэтому все известные мне ВВ ввозились или из Германии или из Британии с офигенно дорогим международным роумингом, «для личных нужд»
              кстати, если сравнивать наше законодательство по шифрованию и, допустим, казахское — то наше еще совсем даже ничего! У казахов на все, что больше 128, требуется лицензия и оборудование шифровальной комнаты. Учитывая алгоритмы шифрования в маршрутизаторах, каждая серверная подпадала под это законодательство. Лет 5 назад по к.м. так было, сейчас может чего и изменилось.
              • 0
                Вы простите, откуда будете? Если из России — мой знакомый ездил в москву конфигурить сеть оператору, хотел пустить часть трафика по IPSec — НЕ ДАЛИ. Оказывается, в России нельзя использовать IPSec? Кто владеет достоверной инфой по этому поводу?
                • 0
                  Из России. Но я не в курсе современного законодательства в области связи. За 5 лет могли выпустить какое-нить запретительное распоряжение. По идее, достоверная инфа должна быть у минкомсвязи www.minsvyaz.ru/

                  у нас, кстати, из Мск идет 2 канала mpls в Германию, по которому гонится корп.трафик — ничего не запрещали, но мы не оператор ни разу.
        • 0
          Еще более удобны для них всяческие криптотелефоны.
        • 0
          …ключи от которого у ФСБ (или ФСО), а, значит, уже не только у них.
          • 0
            Ключей к шифру им afaik так и не досталось, только доступ к серверам.
    • НЛО прилетело и опубликовало эту надпись здесь
      • НЛО прилетело и опубликовало эту надпись здесь
    • +1
      Не то чтобы грозит, но можно ожидать через какое-то время
      рекламы от ОПСОСов —

      «GSM Корпоративный / 128 crypt: Только так вы обеспечите себе конфиденциальность!»

      Внизу мелкими буквами цена в несколько раз дороже, чем на любой другой тарифный план.
  • +2
    А yandex знал, что такое A5
    Вот только навалились на него толпой и заставили забыть
    roem.ru/2009/11/17/addednews12790/

    А гугл помнит
    www.google.com/search?hl=ru&q=A5+D1
  • –1
    отправь смс с кодом 25654 на 6465 и получишь свой собственный дешифратор звонков!)
  • 0
    Нас и так слушают, ну или если захотят прослушаю и без взлома, куда уже хуже…
    Хотя конечно за пример и презентацию взлома — конечно респект.
  • –1
    Куча спама и рекламы «читай чужие смс» были, сейчас будет «слушай чужие звонки»
  • 0
    #nmap -n -p80 -sV reflextor.com

    Starting Nmap 4.53 ( insecure.org ) at 2009-12-30 13:49 MSK
    Interesting ports on 92.51.146.111:
    PORT STATE SERVICE VERSION
    80/tcp closed http
    • 0
      тада, только захотел скачать торент-файлы, а тут бац!
  • 0
    Про эту новость только что рассказали по каналу Вести.
    История вышла за пределы ИТ-сообщества.
    Ждем последующей реакции.
  • 0
    Пора переходить на wi-max и скайп

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.