Vyšlo na Lupě, 4.1.2010
Vytištěno z adresy: http://www.earchiv.cz/b10/b0104001.php3

Co s prolomeným GSM?

Německý expert Karsten Nohl poukázal na nedostatečnost šifry A5/1, vyvinuté již v roce 1987, ale dodnes používané v GSM sítích pro šifrování hovorů. Ukázal, jak ji prolomit, a zveřejnil i data, která to usnadňují. Podle něj měla být A5/1 nahrazena již před 15 lety, dosud se tak ale nestalo. A tak chce mobilní průmysl dotlačit ke změně alespoň dnes.

Samotný závěr minulého roku kupodivu nebyl nijak skoupý na zajímavé události. Jedna z nich, a to údajné prolomení GSM, se dokonce dostala mezi hlavní zprávy  do večerních zpravodajských relací i v ČR, v úterý 29. prosince.  Řada médií tuto zprávu prezentovala jako zásadní zlom v historii GSM, prezentovaný na konferenci Chaos Communication Congress, konané v závěru roku v Berlíně. Jako kdyby dosud jakékoli odposlouchávání GSM hovorů nepřipadalo v úvahu, ale teď se naopak stalo tak snadným, že ho může dělat skutečně kdokoli. Třeba že vás může odposlouchávat i váš zvídavý soused.

To ale není úplně přesné. Ten, kdo chtěl odposlouchávat GSM hovory, určitě měl šance i dříve. A ten asi nejzvídavější, tedy stát, na to nepotřeboval ani žádnou technologii: jednoduše si dal do zákona, že operátoři mu musí poskytnout přístup do jejich sítí tak, aby mohl odposlouchávat hovory bez jakéhokoli šifrování. Samozřejmě až v případě oprávněného požadavku, na základě rozhodnutí soudu. Vedle toho, díky povinnosti data retention (uchovávání provozních a lokalizačních údajů) operátoři po stát ještě sami a systematicky schraňují i veškeré informace o tom, kdo a komu kdy volal (byť bez zaznamenávání samotného obsahu hovoru).

Pokud jde o „technologická“ řešení, pak i zde existuje více možností. Jednou z nich jsou aktivní útoky, využívající falešné základnové stanice. Když se k některé z nich koncové zařízení připojí, má tento mobilní „man-in-the-middle“ jako na dlani vše, co potřebuje. Nevýhodou je ale nepraktičnost tohoto řešení (hlavně geografické omezení), i možnost odhalení.

Mnohem atraktivnější je čistě pasivní řešení, založené na (pasivním) odposlouchávání  rádiového provozu mezi koncovým zařízením (mobilem) a základnovou stanicí. Jelikož takovouto možnost má skutečně kdokoli v dosahu a je principiálně velmi jednoduchá, je tento rádiový provoz šifrován. Tedy alespoň v digitálních mobilních sítích. V Evropě, stejně jako ve většině dalších lokalit, je v sítích GSM za tímto účelem používána 64-bitová proudová šifra, označovaná jako A5/1 (a jen v některých zemích světa „uměle oslabená“ A5/2, z důvodů exportních omezení).

A právě s touto šifrou (A5/1) je problém, kterého se týká i událost z konce loňského roku.

Co je špatně na A5/1?

Proudová šifra A5/1 je poměrně starého data: byla vyvinuta v roce 1987 a byla na ní aplikována strategie „security through obscurity“, když byla dlouho a záměrně udržována v tajnosti (a i dnes je známa jen skrze reverzní inženýrství a specifické úniky). I přes tento její handicap se ale zdá, že neobsahuje žádnou zásadnější chybu, díky které by ji někdo mohl prolomit „lusknutím prstu“, okamžitě a s nulovými náklady. Jak by ostatně mohly naznačovat nynější palcové titulky o „prolomení GSM“.

Problém této šifry je úplně jiný a jaksi „přirozený“: je to představa některých lidí, že konkrétní bezpečnostní řešení  mohou být „na vždy“. Že je stačí jednou vytvořit, a pak je lze libovolně dlouho používat. Tedy že „vydrží“ libovolně dlouho a není třeba je obměňovat. Je to vlastně ignorování skutečnosti, že technologický vývoj jde velmi rychle kupředu, a že to co v určité době nebylo vůbec reálné, se s postupem času stává stále reálnějším – a nakonec i prakticky realizovatelným, s dostatečně nízkými náklady a nízkou další režií (například časovou).

To je bohužel častý nešvar, kterému se zde nevyhnul ani mobilní průmysl.  A tak celé nedávné vystoupení Karstena Nohla, na 26.ročníku bezpečnostní konference Chaos Communication Congress v Berlíně, bylo především „důrazným vzkazem“, adresovaným celému GSM průmyslu, aby se probudil a laskavě udělal to, co měl udělat už dávno: nahradit stářím zeslabenou šifru A5/1 něčím adekvátnějším současné realitě.

Pravdou je, že v 3G/UMT sítích se používá modernější, a hlavně mnohem silnější 128-bitová šifra A5/3.  Jenže drtivá většina hlasového provozu je stále vedena přes klasické GSM, ve kterém je stále používána ještě původní 64-bitová  šifra A5/1, která dodnes  nebyla nahrazena. Podle samotného Karstena Nohla se tak mělo stát již před 15 lety.

Mobilní průmysl to ale celou dobu viděl jinak. A i dnes, již po důrazném „vzkazu“ z Berlína, to hlavní reprezentant celého mobilního průmyslu (GSMA Asociace) vidí v zásadě stále stejně: že se vlastně nic neděje a že ke skutečnému prolomení je ještě hodně daleko. Jak se píše v tiskové zprávě GSMA z 30.12.2009:

Domníváme se, že tento výzkum, který se zdá být částečně motivovaný i komerčními důvody, je ještě hodně daleko od praktického útoku na GSM. Celkově se A5/1 ukázala být velmi efektivním a nezlomným nástrojem pro zajištění důvěrnosti.

Jak A5/1 stárla, až zestárla

Sám Karsten Nohl hovoří o tom, že šifra A5/1 byla shledána nedostatečně silnou již v roce  1994 – a zřejmě i proto dnes poukazuje na to, že měla být nahrazena  již před 15 lety. V následující ukázce z jeho prezentace na Berlínské konferenci je pak naznačena  historie pokusů o prolomení této šifry.

Dá se shrnout asi tak, že již poměrně dávno byly formulovány postupy, jak tuto šifru prolomit (či spíše „rozluštit“?), víceméně hrubou silou a nikoli nalezením chyby v jejím návrhu. Ještě nějakou dobu ale nebyly tyto postupy prakticky realizovatelné. Tedy: jak pro koho, protože vše je otázka nákladů, resp. dostupných zdrojů. Pokud máte dost peněz na výpočetní a paměťovou kapacitu, nemusíte ani moc čekat. 

Třeba již před deseti lety bylo v literatuře (a to i v ČR, viz článek z českého CHIPu z února 2000) popisováno prolomení šifry A5/1 (konkrétně nalezení tajného klíče), a to

za méně než sekundu pomocí obyčejného PC se 128 MB RAM a dvou 73GB pevných disků, a to na základě analýzy známé dvouminutové komunikace.

Dnes by se, podle dostupných odhadů (viz např. tento zdroj), mělo za cca 200 000 USD nechat pořídit specializované a prakticky použitelné odposlouchávací zařízení pro GSM, které  dokáže získat klíč k dešifrování komunikace za jednotky sekund. Což je sice stále příliš na nějaké „domácí špehování“, ale už se to určitě dostává „do dosahu“  různých kriminálních skupin.

S čím ale vlastně nyní přišel Karsten Nohl, když vše už je známo - a za dostatek peněz dostupno - již nějakou dobu?

Prolomení GSM?

Se svým týmem pracoval Karsten Nohl posledních 5 měsíců nejen na metodě, ale hlavně na datech, která následně umožňují mnohem snazší „prolamování“ šifry A5/1. S maximálním zjednodušením si to lze představit jako obrovskou tabulku, kterou stačí vypočítat jednou, ale pak ji lze opakovaně využívat pro již relativně snadný „překlad“ zašifrovaných dat na původní nezašifrovaná data.

Rozhodující část výpočetní složitosti celého prolomení, jinak implementovaná v drahém a složitém  dešifrovacím zařízení, zde vlastně byla přenesena do jednorázového vypočítání celé rozsáhlé tabulky (anglicky: code book). Stalo se tak  s využitím výkonného hardwaru, zabudovaného do herních konzolí a výkonných grafických karet, a nasazeného tak, aby se dosáhlo vysoké míry paralelismu. Na (jednom) běžném PC by prý výpočet trval déle jak 100 000 let.

Výsledná tabulka byla navíc optimalizována tak, aby se zmenšil její objem – z původních 128 Petabytů na pouhé 2 TB, což je při dnešních kapacitách pevných disků již zvládnutelné. Výsledná optimalizovaná tabulka je označována jako „rainbow book“. No a to možná nejpodstatnější, čím se tento pokus liší od nejméně jednoho předchozího pokusu se stejným zaměřením: výsledek byl zveřejněn.

Praktickým důsledkem je tedy to, že případná zařízení pro odposlech půjde zkonstruovat s podstatně nižšími náklady. Například sám Karsten Nohl v rozhovoru pro CNET odhaduje, že za 30 000 USD lze již dnes postavit dešifrovací zařízení, schopné nalézt klíč dříve než za minutu. Jeho cílem ale není stavět takováto zařízení, natož je používat – ale poukázat na to, že v dnešním GSM není nic, co by kriminálním živlům významněji bránilo  odposlouchávat cizí hovory, ale i datové přenosy a různé „mobilní autentizace“. Neměli bychom totiž zapomínat na to, že GSM dnes není jen o telefonii, ale i o datových přenosech, a v neposlední řadě i o různých „mobilních klíčích“ k často velmi cennému majetku.

Co bude dál?

Zajímavou otázkou je nyní to, jak se k celé věci postaví sám mobilní průmysl. První reakce ze strany GSMA, zmiňovaná výše, naznačuje spíše snahu bagatelizovat celý problém. Měli bychom ji ale hodnotit i ve světle dnešních PR praktik, které velí spíše zatloukat, než přiznat problém. Podstatná bude dlouhodobější reakce, která by mohla vykrystalizovat na nadcházejících jednáních odborných orgánů a bezpečnostních komisí GSMA, a mohla by nějak „prosáknout“ na nadcházejícím každoročním kongresu mobilního sektoru v Barceloně (v polovině února).

Pro potřebné technologie přitom mobilní svět nemusí chodit daleko, k dispozici má 128-bitovou šifru A5/3, kterou již používá v 3G/UMTS sítích, a která je z dnešního pohledu považována za „dostatečně silnou“.  Nicméně jak těžké bude ji nasadit i ve 2G sítích (GSM sítích)? Bude to vůbec možné, aniž by se musela měnit koncová zařízení? Jak těžké to bude, kolik to dá práce, jak dlouho to bude trvat, a hlavně: kolik to bude stát? To se asi teprve ukáže.

Celá věc má ale ještě jeden zajímavý háček, a tím je samotná otázka toho, zda vůbec mají být naše mobilní hovory šifrovány (již samotnou mobilní sítí). Třeba v pevné telefonii nijak šifrovány nejsou, a nebyly šifrovány ani v analogových mobilních sítích. Nebude nakonec řešením konstatování, že šifrování hovorů vlastně není až tak důležité – a že když někdo chce důvěrnost při své mobilní komunikaci, musí si ji zajistit sám? Což samozřejmě může, a někteří to dnes již také dělají  – ale již na vlastní náklady.