Podsłuchiwanie rozmów w telefonii komórkowej: wystarczy dziewięć sekund i zwykła karta graficzna

Rozmowy telefoniczne prowadzone przez sieci 2G można podsłuchać– o tym, że stosowany w nich szyfr A5/1 jest słaby, wiadomo byłoprzynajmniej od 2009 roku. Teraz jednak badacze z Singapuru pokazali,że korzystając z niedrogiego GPU, do kupienia w każdym sklepiekomputerowym, zabezpieczenia sieci 2G może złamać każdy w kilkasekund.

W powstałym w 1987 roku strumieniowym szyfrze A5/1 używany jestdo inicjalizacji 64-bitowy tajny klucz, a do szyfrowania złożonogenerator strumienia kluczy, działający na 114-bitowych impulsachdanych. Wykorzystanie trzech rejestrów przesuwających z liniowymsprzężeniem zwrotnym (LFSR) miało uczynić szyfr odpornym nawszystkie podstawowe ataki słownikowe i wyczerpywania przestrzenikluczy.

Już jednak w 2009 roku niemieccy hakerzy Karsten Nohl i SaschaKrißler pokazali, jak za pomocą ataku typu time-memory tradeoffłamać klucze A5/1 w ciągu około 5 minut. Potrzebne do tegotęczowe tablice zostały udostępnione publicznie, wydawało się,że w zasadzie w kwestii tego szyfru wszystko jest pozamiatane. Nieprzeszkodziło to jednak Stowarzyszeniu GSM wydać oświadczenia, wktórym stwierdzono, że łamanie tego szyfrowania w praktyce jestniemożliwe, zarówno ze względu na trudność w rejestrowaniusygnału radiowego, jak i kwestie własności intelektualnej.

Specyfikacja A5/1 nigdy bowiem nie została udostępnionapublicznie – jak żartowali hakerzy, którzy dokonaliodwrotnej inżynierii tego szyfru, powstał on zgodnie z doktrynąMake stuff up and pray no one sees it(wymyśl sobie i módl się, by nikt tego nie zobaczył – przyp.red.). Nie przeszkodziło to jednak już rok później wprzygotowaniu profesjonalnego sprzętu do podsłuchiwania połączeńGSM w czasie rzeczywistym, który trafić miał do zainteresowanychsłużb.

Teraz łamanie w czasieprawie-rzeczywistym stało się dostępne już dla wszystkich. Atakprzygotowanyprzez Jiqianga Lu i jego kolegów z Instytutu A*STAR w Singapurzejest znacznie bardziej wyrafinowany, niż zwykłe siłoweprzeszukiwanie przestrzeni kluczy. Jak wyjaśnia badacz, wykorzystanokryptograficzne słabości szyfru, by stworzyć iteracyjną tabelęwyszukiwań – zbiór łańcuchów odnoszących tajny klucz dowyjścia szyfru. Wynikowy plik zajmuje 984 GB.

Wystarczy już pierwszy impulszaszyfrowanych danych z połączenia, by napastnik mógł znaleźćwłaściwy łańcuch w tęczowej tablicy i odtworzyć go, uzyskującw ten sposób tajny klucz z prawdopodobieństwem 34%. Przy zebraniuośmiu zaszyfrowanych impulsów prawdopodobieństwo uzyskania kluczarośnie do 81%. Czas takiego ataku online wynosi 9 sekund.

Badacze podkreślają, że swojetęczowe tablice stworzyli na komputerze z trzema kartami NVIDIAGeForce GTX690. Zajęło to 55 dni. Na bardziej współczesnymsprzęcie można zrobić to oczywiście znacznie szybciej. Teraz ichzdaniem najwyższy czas skończyć z komunikacją zaszyfrowaną poA5/1, wciąż wykorzystywaną po tych wszystkich latach od odkryciaKarstena Nohla.

Sceptycy mogą powiedziećoczywiście, że to nie jest poważny problem, gdyż sieci 3Gwykorzystują już bezpieczniejszy szyfr KASUMI (A5/3) – tyle żesieci 2G wciąż są masowo wykorzystywane w komunikacjimiędzymaszynowej, w Internecie Rzeczy. Możliwość szybkiegołamania takiej łączności otwiera drogę do scenariuszy, w którychuzbrojeni w laptop i kartę z software’owo zdefiniowanym radiemhakerzy będą w stanie przejąć kontrolę nad sieciami łączącymirozmaite cyberfizyczne systemy.