размышления на тему отключения шифрования в GSM-сети

Как-то раз автору данной заметки пришло письмо с вопросом:

«В преддверии саммита (а участники саммита посетят мой город, Самару), выключено шифрование у мобильных операторов. На «нокиях» появился разомкнутый замок, на «сонэриках» - восклицательный знак в треугольнике... Народ истерит по форумам, и, зачастую, выдает за компетентное мнение такой очевидный бред, что глаза вянут читать.
Нельзя ли рассказ небольшой получить, что и как в действительности происходит? Спасибо :)»

часть первая – матчасть

Итак, короткий ликбез на тему, что же такое "выключенное шифрование" в GSM-сети.

При регистрации GSM-телефона в сети выполняется аутентификация SIM-карты. В ходе этой процедуры, в частности, генерируется так называемый ключ шифрования трафика Kc Практически все данные, передаваемые между вашим телефоном и базовой станцией, шифруются при помощи одного из алгоритмов шифрования из семейства A5, чаще всего используется алгоритм A5/1. Значение Kc используется для инициализации сдвиговых регистров, используемых в этом алгоритме, после чего алгоритм может зашифровать поток данных произвольной длины, не требуя дополнительных входных параметров извне. На практике, периодически происходит перерегистрация телефона в сети, в ходе которой может быть сгенерирован (и использован) новый Kc. Естественно, в процессе разговора все сказанное вами оцифровывается в телефоне, там же зашифровывается, и передается на базовую станцию (BTS). Там сигнал расшифровывается, и дальше в сторону BSC (контроллера базовых) голосовой поток идет уже нешифрованым.

Когда в описании одного из многочисленных комплексов GSM-слежения вам встретится фраза "возможен перехват до 16/256/1024 одновременных разговоров на интерфейсе Abis" - знайте, что речь идет именно о интерфейсе между BTS и BSC, где голосовой поток уже расшифрован. Организация собственно физической "врезки" в этот интерфейс очевидно оставляется на откуп пытливому пользователю спец. железа (или они работают только там, где Abis сделан на радиорелейках?)

Впрочем, я отвлекся. Что же означает пресловутый "замочек"?

"Замочек" означает, что базовая станция "сказала" телефону, что она не поддерживает шифрование трафика. Телефон продолжает функционировать, но предупреждает пользователя о том, что оборудование, способное перехватывать сигнальный трафик между телефоном и базовой, может отследить используемые конкретным абонентом частоты и номера тайм-слотов и перехватить и записать все его разговоры.

Если шифрование используется, то общение конкретного телефона с базовой все равно можно перехватить. Правда, расшифровать его будет не так-то просто. В 2006 году была опубликована статья с known-cyphertext атакой на алгоритм A5/1, которая обещала "подбор ключа за 10 минут при условии доступности некоего объема предварительно рассчитанных данных".

Беда в том, что этот объем данных - это примерно двести дисков по 250 Гб, причем их расчет займет примерно год на ~1000 компьютерах.

часть вторая – разбор полетов

После буликации в LiveJournal первой части этой заметки, читатели завалили автора кучей примерно однотипных вопросов:

Приведем самые типичные:

«Так а почему отключили?»

«К сожалению, от меня ускользает смысл этого «отключения шифрования». Дать возможность террористам узнать о разговорах заложников, что ли? Неужели так дешевле и удобнее, чем через COРM?»

«Но вопрос действительно остается: если спецслужбы могут спокойно брать трафик там где он уже расшифрован, то какой смысл снимать шифрование с радиоканала?»

«Какой смысл отключать шифрование между БС и телефоном, если спецслужбы все равно могут спокойно на BSC все мониторить?»


Отвечаю сразу всем.

Сразу оговорюсь, что я - не специалист по безопасности, не имеют отношения к ФСБ/МВД/МВС/... и все нижеследующее - мои досужие домыслы. Итак, что нам известно? Мы знаем, кто отключает шифрование - это делают спецслужбы. Мы знаем официальный ответ на вопрос "зачем?" - чтобы легче было обеспечивать безопасность общественных мероприятий. Мы знаем, что у тех же спецслужб есть альтернативные способы прослушивать разговоры - тот же СОРМ/lawful interception.

Попробуем сравнить возможности перехвата разговоров при помощи СОРМ и при помощи мобильной станции слежения в условиях отключенного шифрования. СОРМ позволяет легко перехватывать весь трафик определенного абонента, независимо от его положения. Мобильная станция позволит перехватить весь трафик в определенном месте, независимо от того, какие абоненты его генерируют. На этом стоит акцентировать отдельное внимание: в условиях тотального отключения шифрования в конкретной местности мобильная станция сможет перехватывать трафик любых абонентов, независимо от того, какая сеть их обслуживает. Даже абоненты, которые приехали издалека и находятся сейчас в роуминге, будут попадать под перехват. Очевидно, что получить подобный "уровень сервиса" с помощью СОРМ достаточно сложно (надо отслеживать положение абонентов и вести координированный перехват во всех сетях сразу), а в случае роумеров - просто невозможно.

Интерфейс lawful interception, как правило, географически привязан к месторасположению коммутатора. Мобильная станция ... эээ ... мобильна. Я могу себе представить ситуацию, в которой перехват разговора по мобильному телефону надо соотносить с результатами визуального наблюдения. Проще говоря, если мы хотим убедиться, что перехватываем разговор вот того мутного типа в черном плаще и шляпе с полями, то нам будет достаточно понаблюдать за движением его губ или мимикой. Если мы используем СОРМ, то наблюдатель с наушниками и наблюдатель с биноклем могут быть разнесены на многие километры. Не говоря уже об очевидной сложности определения того, какой оператор обслуживает человека в черном плаще и каков его номер.

Даже если lawful interception позволяет "слушать разговоры на BSC", у нас все равно либо слишком много BSC (3-4 оператора в большом городе, 1-2 BSC от каждого из них), либо (если location areas большие) у нас получает слишком много "левых" (ведущихся вдалеке от интересующего нас места) разговоров в перехвате.

Наконец, перехват с мобильной станции (точнее, нескольких) позволит взять пеленг на говорящего. А СОРМ - нет.

Вот такие у меня получаются домыслы.



Дмитрий (_adept_) Астапов


Сетевые решения. Статья была опубликована в номере 07 за 2007 год в рубрике мнение

©1999-2024 Сетевые решения