Zanedlouho bude moci naše hovory odposlouchávat i průměrně inteligentní soused. Skutečnost nebo jen další plané hrozby?
Zabezpečení mobilních sítí druhé generace v podstatě neexistuje. Komunikace se šifruje pouze na rozhraní Um, tedy mezi základnovou stanicí BTS a mobilem, a to již dvacet let starým algoritmem A5/1. Generátor vytváří proudovou šifru, která se bit po bitu logicky sčítá s původními daty. Šifra tedy pracuje na první fyzické vrstvě, kterou lze přímo odposlechnout.
Útoků na šifru A5/1 bylo v historii publikováno již několik. V březnu roku 2008 jsme vás informovali o dvojici bezpečnostních odborníků, kteří na konferenci Black Hat (konference, kde se odborníci a zástupci společností setkávají s hackery) presentovali zařízení v ceně 1000 dolarů schopné dekódovat komunikaci během 30 minut.
Šifra A5/1 se inicializuje pomocí 64-bit klíče a známého 22-bit čísla rámce. Současná implementace navíc přidává 10 nul, proto je skutečná efektivita klíče pouze 54 bitů. GSM pracuje v základu s tzv. bursty - data se vysílají v blocích o délce 114 bitů. Jeden ze servisních burstů má vždy známou podobu, útočník tedy zná původní a zachytí podobu šifrovanou (tzv. known-plaintext attack). To mu umožní sestavit tabulku použitých klíčů a kódovou knihu.
A právě tvorbu tabulky oznámil před několika dny na konferenci v Berlíně kryptografik Karsten Nohl (přečtěte si jeho přednášku v angličtině). Kódová kniha šifry A5/1 má hrubou velikost 128 petabajtů (128 tisíc terabajtů) a její výpočet by procesoru s jedním výpočetním vláknem zabral minimálně sto tisíc roků. Běžné procesory však byly nahrazeny grafickými procesory (především nVidia) založenými na architektuře CUDA. Karta nVidia GTX280 anebo ATI HD5870 jsou schopny díky vysoké paralelizaci vypočíst 500 klíčů za vteřinu. Čas pro sestavení tabulky se tak při 40 CUDA procesorech a další optimalizaci zkrátí na pouhé tři měsíce. Celková velikost se díky optimalizaci a tzv. rainbow tables smrskla na celkovou velikost pouhé 2 TB. Na výpočtu se navíc může podílet každý, stačí si stáhnout potřebný program. Sdílení tabulky pak má probíhat pomocí bittorentu.
Karsten Nohl je ten vpravo a za prolomení ochrany GSM se rozhodně nestydí (foto: www.thetechherald.com)
Jistě vás ale napadá, že ona tabulka není všespasitelná a k úspěšnému zachytávání cizích hovorů něco chybí. Ano, musíme mít radiové zařízení, které v dané frekvenci komunikaci zachytí. Bohužel také v tomto ohledu předkládá Nohl několik konkrétních a především laciných řešení. Například zařízení Ettus Research USRP2 zachytí spektrum až o šířce 25 MHz, přičemž jeden komunikační kanál má šíři pouhých 200 kHz (a v jednom kanále probíhá maximálně 8 hlasových/datových spojení). Signálový procesor pro dekódování lze nahradit open-source softwarovým řešením OpenBTS.
Z tohoto pohledu jsou na tom sítě třetí generace podstatně lépe. Šifrování probíhá pomocí 128bit klíčů a především samotné zachycení komunikace v praxi zůstává na rozdíl od GSM podstatně tvrdším ořechem. Komunikace mezi základnovou stanicí a mobilním telefonem totiž neprobíhá ve frekvenčních kanálech a v pevně daných časových slotech, ale využívá celou šíři pásma (v případě klasického UMTS to je 5 MHz). Na fyzické vrstvě dochází k tzv. rozprostření pomocí ortogonálních kódů. Pokud na druhé straně dojde k inverzní operaci pomocí kódu jiného, získá příjemce pouze šum. Vše navíc útočníkovi komplikuje časová nepravidelnost komunikace.
Bezpečnost sítě GSM je opravdu špatná a pokud se již nyní tak neděje, v brzké budoucnosti se dočkáme "služeb expertů", kteří za úplatu odposlechnou kohokoli a kdykoli. Pokud ale přes telefon nedomlouváte rozvrat státu anebo převody miliardových částek na zahraniční konta, může vám být v podstatě toto nebezpečí zcela lhostejné. A jak se domlouvají ti, kteří opravdu nechtějí být odposloucháváni? Využívají upravené telefony, které provádí v reálném čase šifrování end-to-end, tedy přímo mezi sebou. Ale to je již na další, samostatný článek.
