размышления на тему отключения шифрования в GSM-сети
Как-то раз автору данной заметки пришло письмо с вопросом:
«В преддверии саммита (а участники саммита посетят мой город, Самару), выключено шифрование у мобильных операторов. На «нокиях» появился разомкнутый замок, на «сонэриках» - восклицательный знак в треугольнике... Народ истерит по форумам, и, зачастую, выдает за компетентное мнение такой очевидный бред, что глаза вянут читать.
Нельзя ли рассказ небольшой получить, что и как в действительности происходит? Спасибо :)»
часть первая – матчасть
Итак, короткий ликбез на тему, что же такое "выключенное шифрование" в GSM-сети.
При регистрации GSM-телефона в сети выполняется аутентификация SIM-карты. В ходе этой процедуры, в частности, генерируется так называемый ключ шифрования трафика Kc Практически все данные, передаваемые между вашим телефоном и базовой станцией, шифруются при помощи одного из алгоритмов шифрования из семейства A5, чаще всего используется алгоритм A5/1. Значение Kc используется для инициализации сдвиговых регистров, используемых в этом алгоритме, после чего алгоритм может зашифровать поток данных произвольной длины, не требуя дополнительных входных параметров извне. На практике, периодически происходит перерегистрация телефона в сети, в ходе которой может быть сгенерирован (и использован) новый Kc. Естественно, в процессе разговора все сказанное вами оцифровывается в телефоне, там же зашифровывается, и передается на базовую станцию (BTS). Там сигнал расшифровывается, и дальше в сторону BSC (контроллера базовых) голосовой поток идет уже нешифрованым.
Когда в описании одного из многочисленных комплексов GSM-слежения вам встретится фраза "возможен перехват до 16/256/1024 одновременных разговоров на интерфейсе Abis" - знайте, что речь идет именно о интерфейсе между BTS и BSC, где голосовой поток уже расшифрован. Организация собственно физической "врезки" в этот интерфейс очевидно оставляется на откуп пытливому пользователю спец. железа (или они работают только там, где Abis сделан на радиорелейках?)
Впрочем, я отвлекся. Что же означает пресловутый "замочек"?
"Замочек" означает, что базовая станция "сказала" телефону, что она не поддерживает шифрование трафика. Телефон продолжает функционировать, но предупреждает пользователя о том, что оборудование, способное перехватывать сигнальный трафик между телефоном и базовой, может отследить используемые конкретным абонентом частоты и номера тайм-слотов и перехватить и записать все его разговоры.
Если шифрование используется, то общение конкретного телефона с базовой все равно можно перехватить. Правда, расшифровать его будет не так-то просто. В 2006 году была опубликована статья с known-cyphertext атакой на алгоритм A5/1, которая обещала "подбор ключа за 10 минут при условии доступности некоего объема предварительно рассчитанных данных".
Беда в том, что этот объем данных - это примерно двести дисков по 250 Гб, причем их расчет займет примерно год на ~1000 компьютерах.
часть вторая – разбор полетов
После буликации в LiveJournal первой части этой заметки, читатели завалили автора кучей примерно однотипных вопросов:
Приведем самые типичные:
«Так а почему отключили?»
«К сожалению, от меня ускользает смысл этого «отключения шифрования». Дать возможность террористам узнать о разговорах заложников, что ли? Неужели так дешевле и удобнее, чем через COРM?»
«Но вопрос действительно остается: если спецслужбы могут спокойно брать трафик там где он уже расшифрован, то какой смысл снимать шифрование с радиоканала?»
«Какой смысл отключать шифрование между БС и телефоном, если спецслужбы все равно могут спокойно на BSC все мониторить?»
Отвечаю сразу всем.
Сразу оговорюсь, что я - не специалист по безопасности, не имеют отношения к ФСБ/МВД/МВС/... и все нижеследующее - мои досужие домыслы. Итак, что нам известно? Мы знаем, кто отключает шифрование - это делают спецслужбы. Мы знаем официальный ответ на вопрос "зачем?" - чтобы легче было обеспечивать безопасность общественных мероприятий. Мы знаем, что у тех же спецслужб есть альтернативные способы прослушивать разговоры - тот же СОРМ/lawful interception.
Попробуем сравнить возможности перехвата разговоров при помощи СОРМ и при помощи мобильной станции слежения в условиях отключенного шифрования. СОРМ позволяет легко перехватывать весь трафик определенного абонента, независимо от его положения. Мобильная станция позволит перехватить весь трафик в определенном месте, независимо от того, какие абоненты его генерируют. На этом стоит акцентировать отдельное внимание: в условиях тотального отключения шифрования в конкретной местности мобильная станция сможет перехватывать трафик любых абонентов, независимо от того, какая сеть их обслуживает. Даже абоненты, которые приехали издалека и находятся сейчас в роуминге, будут попадать под перехват. Очевидно, что получить подобный "уровень сервиса" с помощью СОРМ достаточно сложно (надо отслеживать положение абонентов и вести координированный перехват во всех сетях сразу), а в случае роумеров - просто невозможно.
Интерфейс lawful interception, как правило, географически привязан к месторасположению коммутатора. Мобильная станция ... эээ ... мобильна. Я могу себе представить ситуацию, в которой перехват разговора по мобильному телефону надо соотносить с результатами визуального наблюдения. Проще говоря, если мы хотим убедиться, что перехватываем разговор вот того мутного типа в черном плаще и шляпе с полями, то нам будет достаточно понаблюдать за движением его губ или мимикой. Если мы используем СОРМ, то наблюдатель с наушниками и наблюдатель с биноклем могут быть разнесены на многие километры. Не говоря уже об очевидной сложности определения того, какой оператор обслуживает человека в черном плаще и каков его номер.
Даже если lawful interception позволяет "слушать разговоры на BSC", у нас все равно либо слишком много BSC (3-4 оператора в большом городе, 1-2 BSC от каждого из них), либо (если location areas большие) у нас получает слишком много "левых" (ведущихся вдалеке от интересующего нас места) разговоров в перехвате.
Наконец, перехват с мобильной станции (точнее, нескольких) позволит взять пеленг на говорящего. А СОРМ - нет.
Вот такие у меня получаются домыслы.
Дмитрий (_adept_) Астапов
«В преддверии саммита (а участники саммита посетят мой город, Самару), выключено шифрование у мобильных операторов. На «нокиях» появился разомкнутый замок, на «сонэриках» - восклицательный знак в треугольнике... Народ истерит по форумам, и, зачастую, выдает за компетентное мнение такой очевидный бред, что глаза вянут читать.
Нельзя ли рассказ небольшой получить, что и как в действительности происходит? Спасибо :)»
часть первая – матчасть
Итак, короткий ликбез на тему, что же такое "выключенное шифрование" в GSM-сети.
При регистрации GSM-телефона в сети выполняется аутентификация SIM-карты. В ходе этой процедуры, в частности, генерируется так называемый ключ шифрования трафика Kc Практически все данные, передаваемые между вашим телефоном и базовой станцией, шифруются при помощи одного из алгоритмов шифрования из семейства A5, чаще всего используется алгоритм A5/1. Значение Kc используется для инициализации сдвиговых регистров, используемых в этом алгоритме, после чего алгоритм может зашифровать поток данных произвольной длины, не требуя дополнительных входных параметров извне. На практике, периодически происходит перерегистрация телефона в сети, в ходе которой может быть сгенерирован (и использован) новый Kc. Естественно, в процессе разговора все сказанное вами оцифровывается в телефоне, там же зашифровывается, и передается на базовую станцию (BTS). Там сигнал расшифровывается, и дальше в сторону BSC (контроллера базовых) голосовой поток идет уже нешифрованым.
Когда в описании одного из многочисленных комплексов GSM-слежения вам встретится фраза "возможен перехват до 16/256/1024 одновременных разговоров на интерфейсе Abis" - знайте, что речь идет именно о интерфейсе между BTS и BSC, где голосовой поток уже расшифрован. Организация собственно физической "врезки" в этот интерфейс очевидно оставляется на откуп пытливому пользователю спец. железа (или они работают только там, где Abis сделан на радиорелейках?)
Впрочем, я отвлекся. Что же означает пресловутый "замочек"?
"Замочек" означает, что базовая станция "сказала" телефону, что она не поддерживает шифрование трафика. Телефон продолжает функционировать, но предупреждает пользователя о том, что оборудование, способное перехватывать сигнальный трафик между телефоном и базовой, может отследить используемые конкретным абонентом частоты и номера тайм-слотов и перехватить и записать все его разговоры.
Если шифрование используется, то общение конкретного телефона с базовой все равно можно перехватить. Правда, расшифровать его будет не так-то просто. В 2006 году была опубликована статья с known-cyphertext атакой на алгоритм A5/1, которая обещала "подбор ключа за 10 минут при условии доступности некоего объема предварительно рассчитанных данных".
Беда в том, что этот объем данных - это примерно двести дисков по 250 Гб, причем их расчет займет примерно год на ~1000 компьютерах.
часть вторая – разбор полетов
После буликации в LiveJournal первой части этой заметки, читатели завалили автора кучей примерно однотипных вопросов:
Приведем самые типичные:
«Так а почему отключили?»
«К сожалению, от меня ускользает смысл этого «отключения шифрования». Дать возможность террористам узнать о разговорах заложников, что ли? Неужели так дешевле и удобнее, чем через COРM?»
«Но вопрос действительно остается: если спецслужбы могут спокойно брать трафик там где он уже расшифрован, то какой смысл снимать шифрование с радиоканала?»
«Какой смысл отключать шифрование между БС и телефоном, если спецслужбы все равно могут спокойно на BSC все мониторить?»
Отвечаю сразу всем.
Сразу оговорюсь, что я - не специалист по безопасности, не имеют отношения к ФСБ/МВД/МВС/... и все нижеследующее - мои досужие домыслы. Итак, что нам известно? Мы знаем, кто отключает шифрование - это делают спецслужбы. Мы знаем официальный ответ на вопрос "зачем?" - чтобы легче было обеспечивать безопасность общественных мероприятий. Мы знаем, что у тех же спецслужб есть альтернативные способы прослушивать разговоры - тот же СОРМ/lawful interception.
Попробуем сравнить возможности перехвата разговоров при помощи СОРМ и при помощи мобильной станции слежения в условиях отключенного шифрования. СОРМ позволяет легко перехватывать весь трафик определенного абонента, независимо от его положения. Мобильная станция позволит перехватить весь трафик в определенном месте, независимо от того, какие абоненты его генерируют. На этом стоит акцентировать отдельное внимание: в условиях тотального отключения шифрования в конкретной местности мобильная станция сможет перехватывать трафик любых абонентов, независимо от того, какая сеть их обслуживает. Даже абоненты, которые приехали издалека и находятся сейчас в роуминге, будут попадать под перехват. Очевидно, что получить подобный "уровень сервиса" с помощью СОРМ достаточно сложно (надо отслеживать положение абонентов и вести координированный перехват во всех сетях сразу), а в случае роумеров - просто невозможно.
Интерфейс lawful interception, как правило, географически привязан к месторасположению коммутатора. Мобильная станция ... эээ ... мобильна. Я могу себе представить ситуацию, в которой перехват разговора по мобильному телефону надо соотносить с результатами визуального наблюдения. Проще говоря, если мы хотим убедиться, что перехватываем разговор вот того мутного типа в черном плаще и шляпе с полями, то нам будет достаточно понаблюдать за движением его губ или мимикой. Если мы используем СОРМ, то наблюдатель с наушниками и наблюдатель с биноклем могут быть разнесены на многие километры. Не говоря уже об очевидной сложности определения того, какой оператор обслуживает человека в черном плаще и каков его номер.
Даже если lawful interception позволяет "слушать разговоры на BSC", у нас все равно либо слишком много BSC (3-4 оператора в большом городе, 1-2 BSC от каждого из них), либо (если location areas большие) у нас получает слишком много "левых" (ведущихся вдалеке от интересующего нас места) разговоров в перехвате.
Наконец, перехват с мобильной станции (точнее, нескольких) позволит взять пеленг на говорящего. А СОРМ - нет.
Вот такие у меня получаются домыслы.
Дмитрий (_adept_) Астапов
Сетевые решения. Статья была опубликована в номере 07 за 2007 год в рубрике мнение
