Enigma 2 – telefon dla ludzi, którzy mają potężnych wrogów

Większość testowanych przez nas w ostatnich czasach telefonówniewiele się od siebie różni. Ot duży dotykowy ekran,wielordzeniowy procesor, jakiś Android czy inne Windows Phone napokładzie – i to tyle. Tym razem przyszło mi jednak testowaćtelefon zupełnie inny, którego producent nawet nie zamierza trafićw gusta masowego użytkownika. Enigma 2 firmy Tripleton to telefon,który służyć ma tylko jednej rzeczy: bezpiecznej komunikacji. Tejfunkcji podporządkowane jest wszystko inne, więc zamiast robićkolejną słuchawkę z Androidem, do której doklei sięoprogramowanie szyfrujące, od podstaw zaprojektowano urządzenie,które kwestię szyfrowania rozwiązuje na poziomie sprzętowym i niepotrzebuje do prowadzenia rozmów Internetu.

Dzięki uprzejmości wrocławskiego sklepu z artykułami dlaszpiegów SpyShop otrzymaliśmy do testów dwa egzemplarze Enigmy 2.Czemu dwa? Dlatego, że bezpieczną komunikację można zrealizowaćwyłącznie w modelu end-to-end, w którym proces szyfrowania ideszyfrowania odbywa się bez żadnego pośrednika, między dwomakomunikującymi się terminalami. Zanim jednak opowiem Wam, jakTripleton poradził sobie z zabezpieczeniem komunikacji, zajmę siętrochę samym telefonem.Powrót do przeszłościPierwsze wrażenie jest kiepskie. Co tu mamy – powrót doprzeszłości? Słuchawka Tripletona wygląda jak Nokie czySony-Ericssony sprzed 10 lat. Miękka, plastikowa obudowa z czarnegotworzywa sztucznego ze srebrnego koloru ramką, 2,4-calowy ekranik orozdzielczości 320x240 pikseli, fizyczna klawiatura z krzyżakiem, az tyłu kamera 3 Mpix z lampą błyskową. Z lewej strony obudowyzaślepka ukrywająca slot kart microSD (producent załącza kartę 2GB, ale karta 32 GB też została rozpoznana), z prawej zaślepka namicroUSB (to jedyny powiew nowoczesności w obudowie, dzięki niemutelefon można ładować ze standardowej ładowarki) i przyciskiregulacji głośności i szybkiego uruchomienia kamery. W środku –bateria 950 mAh.

Po włączeniu telefonu (można sobie przypomnieć, jak szybko siękiedyś włączały telefony) widzimy interfejs przypominający to,co Nokia oferowała w telefonach z systemem S40 – prosty interfejs,grupujący poszczególne funkcjonalności w kategorie. Kalendarz,stoper, kalkulator, klient poczty, notatnik, przelicznik kursówwalut, nawet jakieś gry w Javie, a do tego, by było naprawdęretro, przeglądarka WAP.

Twoja przeglądarka nie obsługuje Flasha i HTML5 lub wyłączono obsługę JavaScript...jwplayer("Enigma2").setup( { height: 366, width: 608, duration: 139, autostart: false, plugins: "gapro-1", "gapro.accountid":"UA-3114185-1", "gapro.idstring":"Enigma2.mp4", image: "http://gallery.dpcdn.pl/imgc/Lab/51887/g_-608x405-_-_52653x20140311153546_0.png", "controlbar.position":"bottom", modes: [ { type: "flash", src: "http://storage.dobreprogramy.pl/video/player57/player.swf", config: { provider: "http", "http.startparam":"start", levels: [ { bitrate: 3000, file: "http://storage.dobreprogramy.pl/video/lab/Enigma2-720p.mp4", width: 1280 } ] } }, { type: "html5", config: { provider: "video", levels: [ { bitrate: 3000, file: "http://storage.dobreprogramy.pl/video/lab/Enigma2-720p.mp4", width: 1280 } ] } } ] });Telefon zapewnia rudymentarną obsługę multimediów – odtwarzamuzykę w formacie MP3, klipy wideo w formacie MPEG4 (ale płynnośćodtwarzania zaczyna pozostawiać sporo do życzenia już dlarozdzielczości 480p). Do dyspozycji mamy też radio FM. Jeślichodzi o łączność bezprzewodową, to jak się domyślacie, nie maco tu liczyć na LTE, ale co może wielu zaskoczyć, nie ma teżWi-Fi. Mamy do dyspozycji tylko trzypasmowe GSM (900, 1800 i 1900MHz) oraz Bluetootha.

W tym momencie warto zdradzić cenę telefonu. 7650 złotych. Tak,tyle kosztuje Enigma 2 w SpyShopie. Oczywiście, aby ją realniewykorzystać, trzeba kupić co najmniej dwie takie słuchawki. Wzamian otrzymujemy najbezpieczniejszy telefon na świecie. Jak to sięjego producentowi udało zapewnić?

Przyznam, że na początku byłem sceptyczny. Jaksię zapewne domyślacie, nie miałem jak sprawdzić bezpieczeństwarozmów prowadzonych przez te telefony (nie licząc pogawędek znieocenioną Xyrcon, podczas których mówiliśmy o handlu wszystkimco złe i/lub nielegalne na tym świecie – i nikt nas niearesztował). Nie dysponujemy w redakcji jammerami GSM i hakerskimistacjami bazowymi, wykorzystywanymi do przechwytywania połączeńtelefonicznych. Sam Tripleton bardzo mało mówi o konstrukcjiEnigmy, jakby wyznając zasadę security through obscurity.[img=enigma-42][join][img=enigma-43]

Co gorsze, z marketingowychbroszur można się co najwyżej dowiedzieć o stosowaniu1024-bitowego asymetrycznego szyfrowania RSA, 256-bitowegosymetrycznego szyfrowania AES i izolacji systemu dźwięku podczasprowadzenia szyfrowanych rozmów. Towarzyszące reklamowym opisomwizerunki ludzi w niezbyt ciekawie skrojonych garniturach i ciemnychokularach przypominają po prostu kiepski film szpiegowski, więc niedziwcie się, że początkowo byłem dość sceptyczny wobecdeklaracji producenta.

Wymiana e-maili i rozmowytelefoniczne z polskim dystrybutorem Enigmy 2 doprowadziły jednak dozmiany mojej opinii. Dostałem w swoje ręce od producenta oznaczonyjako „Poufne” dokument poświęcony rozwiązaniomkryptograficznym w Enigmie 2, jak również zgodę na rozkręceniejednej ze słuchawek, tak byśmy mogli zajrzeć do środka.Zrobiliśmy to jako chyba pierwsza redakcja na świecie – pozostałerecenzje urządzenia kończyły się na powtarzaniu reklamowychbroszur.

Sam standard GSM zapewniapodstawowe mechanizmy uwierzytelniania i szyfrowania komunikacji, alenie ma co się oszukiwać – są one kpiną, a nie mechanizmamibezpieczeństwa. Operatorzy w każdym praktycznie państwie muszązapewniać władzom mechanizmy monitorowania siecitelekomunikacyjnych (albo pożegnają się z licencją na prowadzonądziałalność), a narzędzia typu IMSI-catcher, pozwalające naprzechwycenie połączeń i deszyfrowanie w czasie rzeczywistymsłabiutkiego kryptosystemu A5/1 i jeszcze od niego słabszego A5/2od już kilkunastu lat są wykorzystywane przez policję, służbyspecjalne, cyberprzestępców, korporacyjnych szpiegów i innychnadmiernie ciekawskich ludzi. Czasem zresztą nawet nie trzebaniczego deszyfrować – wielu operatorów podczas dużego obciążeniaich sieci po prostu wyłącza szyfrowanie, aby odciążyć swojesystemy. Jak więc widać, nie ma co liczyć na to, że użytkownicyzwykłych telefonów GSM mogą zapewnić sobie poufnośćkomunikacji.

Jak poradził sobie z tymTripleton? Bezpieczeństwo połączenia telefonicznego realizowanegoza pomocą słuchawek Enigma 2 zapewniane jest w dwóch etapach:uwierzytelnienia i szyfrowania rozmowy. Pierwszy z nich pozwala miećpewność, że rozmawiamy z tym, kim zamierzamy rozmawiać, drugi, żenikt postronny nie będzie w stanie rozmowy podsłuchać. Opiszę (wpewnym uproszczeniu) jak etapy te przebiegają, i dlaczego przekonanyjestem, że jest to rozwiązanie bezpieczne.

Kluczowym elementem kryptosystemu używanego w Enigmie 2 jestspecjalna karta SIM, umieszczana w dodatkowym slocie słuchawki.Zawiera ona kontroler firmy NXP, zawierający koprocesorykryptograficzne, m.in. sprzętowy generator liczb losowych ibezpieczne repozytorium par kluczy. Są one odizolowane od resztysystemu i chronione za pomocą rozwiązań technicznych, które wwypadku wykrycia ingerencji w kartę mają ją zniszczyć.

Po naciśnięciu przez użytkownika przycisku z ikoną kluczyka,wywołującego bezpieczne połączenie, rozpoczyna się procesuwierzytelniania, podczas którego słuchawka inicjalizującąrozmowę (S1) generuje token z generatora liczb losowych i dodaje godo 2048-bitowego certyfikatu, zapisanego w karcie krypto-SIM. Wynikzostaje wysłany do słuchawki odbierającej rozmowę (S2), którasprawdza certyfikat pod kątem jego obecności na czarnej i białejliście połączeń, by sprawdzić, czy przez daną parę telefonówdopuszczalna jest rozmowa.

Jeśli tak jest, to S2 odsyła do S1 swój certyfikat, dodany dowartości tokenu wysłanego przez S1, i wygenerowanego przez siebietokenu, zaszyfrowany kluczem RSA 2048 bit i podpisany skrótemSHA-256. Następuje sprawdzenie przez S1 odesłanego certyfikatu wrazz tokenem, by upewnić się, że pasują do siebie i nikt niepróbował przejąć sesji. W kolejnym kroku S1 generuje klucz sesji(znów za pomocą sprzętowego generatora) i trzeci już token, kluczsesji i dwa ostatnie tokeny zostają połączone, zaszyfrowane ipodpisane, by wreszcie trafić do S2.

[break]S2 po pozytywnym zweryfikowaniu podpisów deszyfruje klucz sesji,który następnie będzie wykorzystany do szyfrowania rozmowy iodsyła w analogiczny sposób ostatni z tokenów S1, by potwierdzić,że otrzymała w bezpieczny sposób klucz sesji. Wtedy zaczyna sięrozmowa. W obu słuchawkach dochodzi do fizycznego odcięcia układówaudio od procesora GSM za pomocą analogowych przełączników, którekontrolowane są przez procesor modułu szyfrującego. Dzięki temu,jak utrzymuje Tripleton, nie ma możliwości, by nieszyfrowany dźwiękzostał przekazany drogą radiową.

Samo szyfrowanie dźwięku odbywa się za pomocą algorytmu AES256-bit, w którym klucz sesji wykorzystywany jest do wygenerowaniaklucza szyfrującego, przy współudziale wektorów inicjalizacjipodawanych z generatora liczb losowych. Zakodowany (sprzętowymkodekiem audio) strumień dźwięku trafia do procesorakryptograficznego, który szyfruje go, dzieli na bloki (zdopełnieniem), przygotowuje do przekazania przez złącze szeregowe,a następnie tak zabezpieczone pakiety wysyła do procesora pasmabazowego, który przekazuje przez połączenie komórkowe je dalej, zzawrotną, a przecież wystarczającą do rozmowy szybkością –9,6 Kb/s.

W ten sposób sieć GSM zostaje wykorzystana jedynie jako mediumłączności między dwiema słuchawkami. Za cały procesuwierzytelniania i szyfrowania połączenia odpowiadają wyłącznieEnigmy.

A jak w praktyce wygląda jakość szyfrowanego połączenia? Jakna tyle operacji kompresji i szyfrowania – zaskakująco dobrze.Proces uwierzytelniania zajmuje jakieś 5 sekund, po którychsłuchawka odbiorcza wyświetla powiadomienie o przychodzącymszyfrowanym połączeniu. Wbrew temu, co jednak producent pisze okomunikacji w czasie rzeczywistym, opóźnienie jest odczuwalne,wynosi około pół sekundy. Rozmowa przez Enigmę wymaga więcpewnej wprawy, nie wchodzenia sobie w słowo, czekania, aż drugastrona zakończy swoją wypowiedź.

Dodatkowo Enigma 2 pozwala na wymianę szyfrowanych SMS-ów.Uwierzytelnienie zachodzi podobnie jak w wypadku rozmowy głosowej, adostęp do wiadomości na urządzeniu chroniony jest hasłem.

Algorytmowi RSA za wiele zarzucić nie można. Znanych jest kilkametod, pozwalających na uproszczenie złożoności ataku, alewygląda na to, że użycie ich w wypadku Enigmy nie jest techniczniemożliwe. Siłowy atak wymaga rozłożenia 617-cyfrowej liczby naczynniki pierwsze, i na razie, chyba że dojdzie do przełomu wtechnice komputerowej, nie zapowiada się, by doszło do tego wprzewidywalnym czasie. Jak do tej pory największym sukcesem jestzłamanie RSA-768, liczącej 232 cyfry liczby, z którą poradziłsobie zespół kryptoanalityków w 2009 roku. Wówczas toszacowano, że jednordzeniowy Opteron z 2 GB RAM potrzebowałby na tęoperację niemal 2 tysięcy lat (i to przy optymistycznychzałożeniach). W realnym ataku wykorzystano sporo matematycznychtricków i setki maszyn, pracujących łącznie przez niemal 2,5roku. Autorzy tego osiągnięcia oceniali wówczas, że złamanieRSA-1024 jest jakieś tysiąc razy trudniejsze.

Z AES-256 też nie jest za wesoło. Bruce Schneier powiedziałkiedyś, że nie wierzy, by ktokolwiek zdołał kiedyś odkryć atakpozwalający na odczytanie ruchu Rijndael (nazwa algorytmuzastosowanego w AES). Z czasem pojawiły się ataki przeciwkoosłabionym, wykorzystującym mniejszą liczbę rund szyfrowaniaodmianom AES, ale dla pełnowartościowego szyfru odzyskanie kluczaAES-256 wymaga jedynie 2^254,4 operacji.

Jak widać, zastosowane w Enigmie 2 algorytmy są nie dougryzienia w świetle współczesnej wiedzy i techniki. W tejsytuacji jedyne, co by mogło zbawić potencjalnych napastników, tobłędy w implementacji. Ich wystąpienie nie jest zupełnieniemożliwe. Z opublikowanych w 2012 roku badańdotyczących kluczy publicznych dostępnych w Sieci okazało się, żedwa klucze na tysiąc zbadanych w praktyce nie oferują żadnegobezpieczeństwa – właśnie ze względu na błędy w implementacji.

Prawdopodobieństwo, że mogło do czegoś takiego dojść wtestowanym przeze mnie urządzeniu wskutek błędu jest jednak, wświetle wspomnianego raportu, znikome. Pozostaje oczywiściezłośliwa furtka, której wykluczyć nikt nie może... trzeba jednakpamiętać, że sprzętowa furtka to obosieczna broń. Jeślibrytyjski wywiad zmusił Tripletona do umieszczenia czegoś ciekawegow Enigmie 2, to raczej można założyć, że inne wywiady o tymwiedzą. To zaś uczyniłoby z Enigmy 2 narzędzie bezwartościowetakże dla Brytyjczyków, których służby specjalne należąprzecież do klientów Tripletona.

Cena tego telefonu może dla przeciętnego użytkownika wydawaćsię przerażająca, ale przecież to nie Kowalski ma być odbiorcą.Wszyscy ci, dla których bezpieczeństwo komunikacji jest kwestiąstrategiczną, nie będą mieli problemów z takim wydatkiem. Moimzdaniem jednak, płacąc ponad 7 tysięcy za urządzenieelektroniczne, które reklamowane jest jako sprzęt dla JamesówBondów tego świata, mógłbym otrzymać coś solidniej zbudowanego.Nie żądam tu odporności na kule karabinowe, ale Enigma powinna byćw stanie wytrzymać upadek na beton podczas walki wręcz czy pościgu– tymczasem jej obudowa jest krucha, jak w tych tanichjednorazowych komórkach, które bohaterowie filmów szpiegowskichłamią po rozmowie telefonicznej i wyrzucają do kosza.

Pozostałe słabe punkty to brak Wi-Fi i jakiejś sensowniejszejprzeglądarki oraz względnie krótki czas pracy na baterii (5,5 hrozmowy dla szyfrowanych połączeń, 7,5 h dla normalnych połączeń– to niewiele w czasach, gdy łatwo kupić można słuchawkizapewniające ponad 24 h rozmowy). Jako że sprzęt wyposażony jestw kamerkę, chciałoby się też mieć możliwość szyfrowanegowysyłania MMS-ów.