Rozmowy przez telefony satelitarne deszyfrowane w czasie rzeczywistym

Telefony satelitarne odgrywają ważną rolę w filmachsensacyjnych – i nie jest to rola wyssana z palca. Może i siecitelefonii komórkowej pokrywają dziś niemal wszystkie zasiedloneprzez człowieka tereny, to jednak właśnie łączność satelitarnajest jedyną dostępną dla oficerów wojska, kapitanów statków czynaukowców, przebywających w strefach walk, na morzach, czyoddalonych od świata lokalizacjach. Dlatego też pytanie obezpieczeństwo telefonii satelitarnej budziło sporezainteresowanie, w końcu zwykle jest tu co podsłuchiwać. Odpowiedźjest już znana: powszechnie używany w telefonii satelitarnejalgorytm szyfrowania GMR-2 można łatwo złamać, by następniepodsłuchiwać rozmowy w czasie rzeczywistym.

Trzech chińskich badaczy, Jiao Hu, Ruilin Li oraz Chaojing Tang,opublikowało wzeszłym tygodniu wyniki swoich badań nad bezpieczeństwem szyfruGMR-2, wykorzystywanym przez większość sieci telefoniisatelitarnej, w tym ogromnie popularny we flotach handlowychInmarsat. Specyfikacja tego szyfru nigdy nie została ujawnionapublicznie, poznaliśmy go dopiero dzięki pracyzespołu niemieckich informatyków, którzy stosując metodyodwrotnej inżynierii zdołali go zrekonstruować z publiczniedostępnych aktualizacji firmware do telefonów satelitarnych.

Niemieccy badacze poszukując słabości w GMR-2, odkryli, żewystarczy by napastnik znał pierwsze 50 bajtów niezaszyfrowanychdanych, a już możliwe staje się odtworzenie klucza sesji,korzystając z mocy obliczeniowej przeciętnego peceta. Oczywiściekwestią otwartą pozostawało pozyskanie tych niezaszyfrowanychdanych – ale była to konkretna słabość kryptosystemu,ocenionego jako daleko gorszy niż np. standardowy AES.

Teraz Chińczycy pokazali znacznie bardziej praktyczną metodęataku na GMR-2. Zdołali odwrócić proces szyfrowania, wydobywającklucz bezpośrednio z kryptogramu. Ich metoda polega naprzeprowadzeniu kilka tysięcy razy ataku inwersyjnego w paśmiesatelitarnym 3,3 GHz, co ma zwrócić 64-bitowy klucz szyfrujący.Taki atak obejmuje przechwycenie kilkunastu bajtów ze strumieniaklucza (wystarczy do tego jedna ramka) i na ich podstawie stworzenialist kandydatów na bajty klucza szyfrującego, korzystając zustalonych algebraicznych właściwości GMR-2.

Potem pozostaje już tylko odfiltrowanie rezultatów izweryfikowanie poprawności wygerowanych kluczy. Złożoność atakujest śmiesznie niska: w 10 tys. eksperymentów, ponad 97% kluczybyło unikatowo zdeterminowanych już przez 15 bajtów strumieniaklucza, reszta wymagała sprawdzenia 16 bajta. Cały atak inwersyjnyzajmuje dwie setne sekundy – wystarczająco niewiele, by mówić ołamaniu komunikacji w czasie rzeczywistym.

Operatorom platform telefonii satelitarnej pozostaje teraz jedynieulepszyć stosowane kryptosystemy. Może tym razem, zamiast korzystaćze słabych, własnościowych rozwiązań, skorzystają zesprawdzonych standardów, takich jak AES? Trzeba jednak pamiętać,że mówimy o branży wyjątkowo opornej, jeśli chodzi obezpieczeństwo. Inny używany w telefonii satelitarnej szyfr, GMR-1,okazał się być wariantem znanego z telefonii GSM szyfru A5/2,złamanego już kilkanaście lat temu – i jakoś to nikomu nieprzeszkadzało. Może więc łatwy dostęp do treści komunikacjisatelitarnej jest po prostu w interesie tych, którzy opisaną przezchińskich badaczy metodę znali już wcześniej?