Странные вещи творятся в мире. То есть странно не то, ЧТО происходит, а КАК это преподносится. Вот, скажем, недавняя новость с очередным взломом системы мобильной связи GSM.

Что произошло? Израильские математики-криптографы¹ из института Technion (г. Хайфа) Элад Баркан, Эли Бихам и Натан Келлер отыскали серьезнейшую, неведомую прежде слабость в системе защиты GSM и показали, что эту брешь можно весьма эффективно эксплуатировать для проведения самых разных атак — от тривиального прослушивания разговоров до подделки SMS или динамического клонирования телефонов жертв.

А вот КАК эта новость стала известна миру (где в настоящее время, кстати, используется почти 900 миллионов телефонов GSM — чуть больше 70% от всех аппаратов сотовой связи). Ну, прежде всего, публично эта работа была представлена еще в середине августа, на международной криптографической конференции CRYPTO 2003 в Санта-Барбаре. Есть информация, что профессионалы-криптографы прореагировали на доклад с огромным интересом (по словам ветерана Бихама, «были удивление, шок, потом поздравления» в связи с получением неожиданного результата). А в прессе при этом — ничего. То есть вообще ни слова. Я сам, уже давно питая слабость к данной теме, увидев в программе конференции новую работу о вскрытии GSM (да еще только по шифртексту), несколько дней обшаривал Интернет в поисках хоть какой-то дополнительной информации. Абсолютно безуспешно.

И лишь много позже, спустя почти две недели, известие все же прошло в локальной израильской прессе, а затем его донесли миру Reuters и все остальные. В самом кратком (и довольно мутном, надо сказать) изложении новостных агентств суть работы выглядела так. Профессор Эли Бихам и аспиранты Элад Баркан и Натан Келлер обнаружили слабость в системе шифрования сетей GSM. По свидетельству Бихама, новая атака позволяет злоумышленнику подключаться к разговору в тот момент, когда соединение только еще устанавливается, а на приемной стороне звучит звонок. После чего разговор может быть подслушан.

К обсуждению произошедшего тут же подключились представители Ассоциации GSM, которые в официальном заявлении сдержанно признали, что новый метод взлома действительно «идет дальше предыдущих академических статей, однако не содержит в себе ничего нового или удивительного для сообщества GSM; Ассоциация GSM полагает, что практические следствия данной статьи ограничены, а недавний апгрейд криптоалгоритма A5/2, доступный с июля 2002 года, направлен на то, чтобы закрыть брешь в безопасности, выявленную израильскими учеными».

Сами же израильские ученые, в частности Бихам, надо сказать, категорически не согласны с выводами Ассоциации. Однако, чтобы стала яснее суть расхождений, следует вспомнить предысторию того, как тщательно оберегавшаяся схема защиты GSM (официально, похоже, не раскрытая по сию пору) многие годы текла-текла, а к 1999 году протекла в Интернет окончательно. Тогда американский хакер Марк Брисено, более известный в Сети как Lucky Green, сделал полную обратную инженерную разработку криптоалгоритмов защиты GSM A3/А8 (аутентификация) и A5 (cобственно шифрование). Приглашенные Лаки Грином криптографы Дэвид Вагнер и Иэн Голдберг очень быстро выявили в криптосхемах кучу слабостей, внесенных явно искусственно на этапе разработки для (по выражению Брисено) «избыточной компрометации» системы. Было показано, что «подпорчены» не только откровенно слабый «экспортный» вариант A5/2 (который теоретически можно вскрывать, что называется влет), но и предположительно сильный A5/1, в котором принудительно обнуляются биты ключа, понижая общую стойкость шифра.

Чуть позже в том же 1999 году израилькие криптографы Шамир и Бирюков показали, что даже не принимая в расчет обнуленные биты ключа, алгоритм A5/1 можно вскрывать, если известна, правда, начальная часть разговора. Впрочем, такая атака справедливо была сочтена нереалистичной, да и вся дискуссия происходила не в большой прессе, а в интернет-форумах. Короче, поднявшийся было шум кое-как замяли — жизнь пошла дальше. Ну и вообще, речь-то ведь шла только о несанкционированном властями прослушивании, поскольку шифрование GSM идет лишь в эфире — между телефоном и базовой станцией, а дальше сигнал идет через сеть в расшифрованном виде. Так что имея ордер на прослушивание, компетентные органы всегда могут спокойно подсоединяться непосредственно у операторов связи (но это такая морока, как говорил один киноперсонаж). Всю эту историю «Компьютерра» освещала подробно в начале 2000 года (см. «КТ» #331, www.computerra.ru/offline/2000/331/2857).

В целом же можно говорить, что за прошедшие с той поры годы практически никаких сколько-нибудь серьезных результатов в области компрометации GSM более не публиковалось. Видимо, поэтому теперь в дискуссионных интернет-форумах первая реакция людей, не слишком осведомленных о сути новой работы, была по преимуществу ироничной: «Ах, как мило видеть — кто-то вновь повторяет открытия, давным-давно уже сделанные Лаки Грином»... Однако в действительности все обстоит совершенно не так.

На самом деле, по словам калифорнийского криптографа Дэвида Вагнера, прекрасно знакомого с предметом «изнутри», нынешнее исследование — это совершенно новая работа, очень серьезно отличающаяся от того, что было сделано раньше, и продемонстрировавшая выдающийся анализ.

1(назад) Elad Barkan, Eli Biham, Nathan Keller: «Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communications», Advances in Cryptology — CRYPTO 2003, Lecture Notes in Computer Science — 2729, Springer.