» »

Šifrirni algoritem A5/1, ki se uporablja za šifriranje GSM pogovorov, je padel

Slo-Tech - Kot je znano, GSM telefoni za šifriranje pogovorov (med telefonom in bazno postajo) uporabljajo algoritma A5/1 (močnejši) in A5/2 (šibkejši).

Šifrirni algoritem A5/1 je bil razvit leta 1987, A5/2 pa leta 1989. Oba sta bila razvita na skrivaj in ob sodelovanju tajnih služb, šibka zasnova pa je bila namerna.

Prvi uspešni napad na algoritem A5/1 je izvedel Jovan Golić maja 1999 neodvisno od njega pa tudi Marc Briceno, ki je izvedel reverzni inženiring na GSM telefonu. Biryukov in Shamir pa sta dokazala, da ga je mogoče razbiti v manj kot sekundi z uporabo računalnika z vsaj 128 Mb RAM ter dvema 73 Gb diskoma.

Kljub vsemu so bili ti napadi zgolj teoretični, dejanska oprema za njihovo izvedbo pa zelo draga in dostopna zgolj državnim organom. Se je pa zato leta 2007 na internetu izoblikoval The A5 Cracking Project, katerega namen je bil izgradnja odprtokodne GSM prisluškovalne naprave za manj kot 1000 EUR. Namen projekta je bil javno pokazati na ranljivosti v algoritmu A5/1 in A5/2, vendar pa do objave natančnih postopkov za prisluškovanje ni nikoli prišlo, saj je na enega ključnih članov raziskovalne skupine pritisnila britanska tajna služba MI5.

Kljub temu pa projekt ni zamrl. Oživili so ga pri CCC pod imenom AirProbe, v okviru katerega je potekal poseben podprojekt, ki se je ukvarjal z izgradnjo mavričnih tabel, s pomočjo katerih je mogoče zlomiti A5/1 zaščito.

V prvem projektu so raziskovalci za izgradnjo mavričnih tabel uporabili posebno strojno opremo, FPGA, ki pa je za običajne smrtnike nekoliko težje dosegljiva. Pri drugem projektu pa so mavrične tabele začeli graditi s pomočjo GPU in bili precej bolj uspešni. Vmes je sicer prihajalo do precej banalnih težav (zaradi napake v algoritmu je bilo na neki točki potrebno vse mavrične tabele zavreči), a projekt se je uspešno približal koncu.

Včeraj sta namreč na konferenci 26c3 imela Karsten Nohl in Chris Paget predstavitev izsledkov projekta (na voljo so tudi prosojnice).

Skupina 24 prostovoljcev je namreč zgradila okrog 2TB mavričnih tabel. Razvijalci tokrat niso ponovili napake prejšnjega projekta, ki je mavrične tabele hranil le pri dveh raziskovalcih (ki ju je potem "obiskala" MI5) in mavrične tabele hranijo distribuirano - na voljo so torrent datoteke za prenos.

Po besedah Karstena Nohla je v tabelah dovolj podatkov, da je z njimi mogoče dekodirati praktično vsak telefonski klic. Kljub temu gradnja mavričnih tabel še poteka (na internem poštnem seznamu projekta trenutno potekajo pogovori s skupino prostovoljcev, ki lahko ponudi sistem s 100 GPU), saj bo z večjimi mavričnimi tabelami dešifriranje telefonskih pogovorov potekalo hitreje, mogoče pa bo dešifrirati tudi zelo kratke pogovore oz. kratka SMS sporočila. Demonstracija dešifriranja GSM pogovorov je sicer napovedana za v sredo.

Dejstvo je, da je A5/1 algoritem že star in da se za zaščito 3G mobilnih komunikacij uporablja algoritem A5/3, gre za posebej prilagojeno različico algoritma Kasumi. Vendar pa je na internem poštnem seznamu projekta kar nekaj debat tudi o A5/3. Na voljo je že tudi nekaj načinov kako A5/3 zaobiti, pred kratkim pa so se pojavile tudi informacije o tem, da so tudi v tem algoritmu našli resne ranljivosti s pomočjo katerih bo mogoče prisluškovati tudi GPRS in UMTS komunikacijam. O podrobnostih bomo vsekakor še poročali.

Mimogrede, poleg mavričnih tabel in ustrezne programske opreme (ki je v okviru projekta AirProbe javno objavljena), je za prestrezanje GSM komunikacij potrebno imeti tudi ustrezno strojno opremo. V okviru projekta AirProbe uporabljajo USRP (strojna oprema je odprtokodna, saj so načrti prosto dostopni), ki stane okrog 900 EUR.

Bo naslednji algoritem bolj varen?

27 komentarjev

eee ::

Kul. Zbiram ekipo, da skupaj nabavimo opremo. PM me >:P

Machiavelli ::

Lets do it!
Nigaaazz

Gandalfar ::

ter seveda .. koliko casa imajo obvescevalne sluzbe ze dostop do tega?

BaToCarx ::

Grandalf Od zacetka ane, sej one direkt iz baznih postaj :P / bo ze Mathhai povedal...

Kaj zdej bodo paranoiki na "smarthphones" zaceli delat aplikacije za enkripcijo govora? Ali kar ga kar ugasnili in pobrali baterijo ven. haha :D

gokky ::

@Gandalfar: Obveščevalne službe imajo dostop do vsebine GSM pogovorov že več ali manj od vsega začetka. Bistvo je,da si sedaj že praktično vsakdo lahko privošči "poslušanje", tako, kot smo si lahko privoščili poslušanje NMT. Manjša razlika je verjetno v kaznivosti (NMT pogovor je bil že sam po sebi radijsko odprt, tu pa gre za razbijanje komunikacije).

@BaToCarx: Paranoiki so že prej izklapljali telefone in jemali baterije ven ob zaupnih pogovorih. Že mulci obvladajo "poslušanje" z namestitivijo aplikacije na smartphone.

eee ::

Že mulci obvladajo "poslušanje" z namestitivijo aplikacije na smartphone.

Kva?

Matthai ::

Tajne službe in mafijske organizacije GSM poslušajo že zelo dolgo časa. Kako pa mislite, da je italijanska mafija izsledila sodnika Falconeja?

Aja, pa če bo kdo kupoval opremo - zadeva ni tolk preprosta, da bi lahko malo poklikal in poslušal. V bistvu gre za kup enih skript, ki jih je treba znati pognati.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Zgodovina sprememb…

  • spremenil: Matthai ()

dronyx ::

Ko sem v 90 letih delal kot pripravnik v neki firmi, ki se je med drugim ukvarjala tudi z NMT telefoni (predhodniki GSM), so imeli tam inštrument Schlumberger, ki je prikazal v frekvenčnem spektru vse aktivne pogovore. Ti si se samo pomaknil z gumbom na posamezni pogovor in ga lahko poslušal, kot bi delal z radio amatersko postajo.:)):)):))

Očitno se da tako enostavno po novem poslušati tudi GSM telefone, čeprav po frekvencah sodeč in glede na uporabo celične tehnologije, moraš biti precej blizu uporabniku telefona, ker je domet kratek.

Glede tajnih služb: Seveda imajo vsaka svoje "črne kombije" z opremo za prisluhe (imsi catcherji), je pa to zelo draga oprema, ki je amaterjem nedostopna. Se jo pa da enostavno nevtralizirati tako, kot so počeli nekateri paranoični naši politiki, ki so kupovali telefone z vgrajenimi kodirniki (scramblerji). Slabost tega je pa v tem, da potrebuje tudi sogovornik takšno napravo, če želiš secure komunikacijo.
Only the weak use their brains - the strong use their balls!

Zgodovina sprememb…

  • spremenil: dronyx ()

Jux ::

Dve ugotovitve:
1. Glede na to da se GSM providerji tako počasno odzivajo na zahteve glede varnosti pomoje obstaja zelo zanimiva niša za varne VoIP komunikacije prek GSM/3G omrežja, torej nek Skype type klient, ki za enkripcijo pogovorov uporablja PKI. Lahko da bo ravno nesposobnost operaterjev kriva da bodo postali zgolj še operaterji podatkovnih povezav (in ne več sms, mms, klici, itd..).
2. Tole IMO močno vpliva na primernost GSM aparatov kot medijev za plačila, če sam komunikacijski kanal ni zaščiten. Ker če hočeš zimplementirat plačila z mobilnikom, uporabiš lowest common tech denominator - torej GSM omrežje in njegove pritikline, ter zmogljivosti tvoje SIM kartice, kar pa očitno ni varno, če lahko z nekaj 1000 evri uspešno prestrezaš in razumeš ves GSM promet.
web&blog&etc: http://lukabirsa.com

Zgodovina sprememb…

  • spremenil: Jux ()

Looooooka ::

no policija tega ne rabi.
ce majo dovoljenje za prisluskovanje grejo lepo do GSM operaterja.
in a bo naslednji algoritem bolj varen...ja pa kaj se.
ce bo spet narejen v sodelovanju z _insert_your_favourite_secret_service_here_ pol bo itak isti drek.(oz zelo optimisticno je verjetn ze upanje, da bojo sli zadevo menjat...ever).

Matthai ::

Ko sem v 90 letih delal kot pripravnik v neki firmi, ki se je med drugim ukvarjala tudi z NMT telefoni (predhodniki GSM), so imeli tam inštrument Schlumberger, ki je prikazal v frekvenčnem spektru vse aktivne pogovore. Ti si se samo pomaknil z gumbom na posamezni pogovor in ga lahko poslušal, kot bi delal z radio amatersko postajo.

Ja, če si imel pa navadno radijsko postajo, je bilo pa nekaj več ročnega dela. :D

Očitno se da tako enostavno po novem poslušati tudi GSM telefone, čeprav po frekvencah sodeč in glede na uporabo celične tehnologije, moraš biti precej blizu uporabniku telefona, ker je domet kratek.

Niti ne. Z dobro anteno dela tudi do 30 km stran. Blizu je treba biti samo v primeru aktivnega prisluškovanja z npr. openBTS.

Glede tajnih služb: Seveda imajo vsaka svoje "črne kombije" z opremo za prisluhe (imsi catcherji), je pa to zelo draga oprema, ki je amaterjem nedostopna.

Ja, ampak sedaj se je oprema drastično pocenila. :D Se pa da marsikaj zanimivega narediti tudi s kakšnimi starimi Nokiami... 8-)

Se jo pa da enostavno nevtralizirati tako, kot so počeli nekateri paranoični naši politiki, ki so kupovali telefone z vgrajenimi kodirniki (scramblerji). Slabost tega je pa v tem, da potrebuje tudi sogovornik takšno napravo, če želiš secure komunikacijo.

Točno to je rpoblem. In točno to je namen tega projekta - da se prisili politike / proizvajalce / operaterje, da v telefonijo vgradijo močno zaščito. No, to je seveda iluzija, se bo pa morda sedaj odprl trg za take rešitve. Najlepše bi bilo seveda če bi se pojavile enostavne end-to-end šifrirne rešitve, ki bi si jih ljudje začeli množično nalagati na telefone...

no policija tega ne rabi.
ce majo dovoljenje za prisluskovanje grejo lepo do GSM operaterja.

Točno tako!

Zato je namen tako oslabljenega algoritma izključno v tem, da omogoči nelegalno prisluškovanje tajnim službam. Policija namreč vedno lahko dobi odredbo in gre do operaterja.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Zgodovina sprememb…

  • spremenil: Matthai ()

McMallar ::

Ko sem v 90 letih delal kot pripravnik v neki firmi, ki se je med drugim ukvarjala tudi z NMT telefoni (predhodniki GSM), so imeli tam inštrument Schlumberger, ki je prikazal v frekvenčnem spektru vse aktivne pogovore. Ti si se samo pomaknil z gumbom na posamezni pogovor in ga lahko poslušal, kot bi delal z radio amatersko postajo.

Ja, če si imel pa navadno radijsko postajo, je bilo pa nekaj več ročnega dela.


Niti ne. Samo frekvenco si moral najti (razen, če si mislil to).

Sem pa v prejšnji službi dobil na testiranje aplikacijo za Nokio N95, ki je s pomočjo pre-shared ključa v realnem času kriptirala pogovor. Kakšna je bila dejanska dosežena varnost pa ne morem komentirati, saj nisem našel načina, kako bi to preveril. Hotel sem samo reči, da tudi takšne rešitve že obstajajo (oz. so pred več kot dvemi leti).

Bi pa verjetno postal hitro zanimiv PGP (GPG) preko GSM, če bi ga kdo implementiral.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Looooooka ::

McMallar
http://zfoneproject.com/
in verjetn ti bo vsec ze kdo je to implementiral.
Glede na to, da gre vse na VOIP (in da tud ce je OS telefona proprietary piece of crap...je VOIP aplikacija se najhitrejsi fix za ta problem) se verjetn splaca uporabljat kj takega.
Ce ze cutis potrebo, da zalis Janso al pa Kucana v GSM pogovorih...

McMallar ::

Super. Očitno je stvar zaključil. Pred leti je predaval na eni konferenci v Mons hotelu. Govoril je o tem, da dela na takšnem projektu, nisem pa potem spremljal dogajanja.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

nba76 ::

OMG, I kako se da zaščititi pred tem??
BEN WALLACE #3

BaToCarx ::

@nba76 pomisli ne? :D

Btw kaj niso vsi tile gsm al karkoli telefoni v resnici data send in je zvok kot nek mp3 kodek... recimo ura pogovora je ene 5-10mb? Zdej kaj preprecuje agency_of
_spys da se ne shranjuje VES pogovor + sms shit in tako dalje? Za insret_random_bullshit_excuse tako da koga briga ce te slisi sosedov francek? :D

Matthai ::

McMallar
http://zfoneproject.com/
in verjetn ti bo vsec ze kdo je to implementiral.

ZFone še ni dokončan, pa tudi v praksi ima kar nekaj problemov. Predvsem mu manjka precej piljenja. Vprašanje tudi, če bo končna aplikacija free. A ZRTP protokol je javen, kar je super. Vprašanje je samo kdaj bo implementiran v smartphone in v Ekigo (vsaj slednje čakam že kar nekaj časa).
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Fave ::

Aja, pa če bo kdo kupoval opremo - zadeva ni tolk preprosta, da bi lahko malo poklikal in poslušal. V bistvu gre za kup enih skript, ki jih je treba znati pognati.


Najbrž ni daleč dan, ko bo to nekdo spravil v user frendly programčič.
My mind's a hyper tool that fixes everything.

Matthai ::

Ja, saj to je namen AirProbea. Ampak počasi....it is opensource programm. :D
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

KoKi ::

http://reflextor.com/ - It works!

:)
# hackable

HAM ::

Fave ::

A ima kdo ta USRP?
Ali je program spisan za USRP1 ali USRP2?

USRP1 ima USB priključek, medtem, ko ima SRP2 mrežni priključek in je zmogljivejši.

Če kdo to zadevo obvlada, bi bilo super, če bi jo predstavil v Kiberpipi ali kjerkoli drugje.
My mind's a hyper tool that fixes everything.

Matthai ::

Mogoče enkrat, ko bo čas... 8-)

P. S. Program za zajem dela v USRP 1 in 2. V 2 dela še celo bolje.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Fave ::

My mind's a hyper tool that fixes everything.

Matthai ::

Žal samo teoretično. Bo novica.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Fave ::

Prejemam A51 Digest od a51-request@lists.reflextor.com. Tu pa tam preberem. Nisem še videl linka, ki bi jasno pokazal, kako v real life poslušat GSM A5/1.

http://eprint.iacr.org/2010/013.pdf - Še detajlno razloženo (A5/3)
My mind's a hyper tool that fixes everything.

Zgodovina sprememb…

  • spremenil: Fave ()

Matthai ::

Bo.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Skupina, ki se ukvarja s kriptoanalizo GSM, izdala program Kraken

Oddelek: Novice / Zasebnost
82029 (1357) Matthai
»

Razbit šifrirni algoritem Kasumi (A5/3)

Oddelek: Novice / Varnost
62808 (2125) Fave
»

Še en napad na GSM A5/1 algoritem

Oddelek: Novice / Varnost
83557 (2807) Matthai

Več podobnih tem