18.02 // Созданы открытые драйвера для прослушивания зашифрованых беспроводных телефонов DECT

//Созданы открытые драйвера для прослушивания зашифрованых беспроводных телефонов DECT.

Выпускаемые ранее и всё ещё находящиеся в обращении некоторые модели беспроводных телефонов не используют шифрования и могут быть прослушаны с помощью несложного радиооборудования на расстоянии до нескольких километров.

В связи с этим в 1992 CEPT, предшественник ETSI (Европейский Институт Стандартов Телекоммуникаций) предложил к использованию стандарт DECT (Digital Enhanced Cordless Communications). Практически все телефоны, используемые в Европе, защищены сейчас в соответстии с этим стандартом.

Стандарт включает два патентованных (т.н. "проприетарных") алгоритма: DECT Standart Authentification Algorythm (DSAA) и DECT Standart Cipher (DSC) – соответственно для обеспечения аутентификации и защиты данных. Эти алгоритмы были доступны только на основании подписки о неразглашении и поэтому не были темой для академических исследований.

Ранее алгоритм DSAA был подвергнут реверс-инжинирингу авторами работы о которой пойдет речь далее. Также ими был создан открытый драйвер для PCMCIA DECT карт.

Stefan Luks (Bauhaus University Weimar, Германия), Andreas Schuler (Chaos Computer Club Trier, Германия), Erik Tews (FB Informatik, TU Darmstadt), Ralf-Philipp Weinmann (FSTC University Люксембург) и Matthias Wensel (Chaos Computer Club, Мюнхен, Германия) опубликовали работу "Attacks on the DECT authentification mechanisms".

В ней они проводят полный анализ DSAA, включающий нахождение уязвимостей, которые могут полностью скомпрометировать аутентификацию и осуществить полный взлом системы безопасности DECT, а низкостоимостные атаки позволяют незаметно подменить атакующему базовую станцию и прослушивать все переговоры.

В работе приведено подробное описание протокола DSAA и криптоанализ его компонентов. Обнаружены два типа уязвимостей, основанных как на недостатках механизма аутентификации, так и на сочетании ошибок выполнения и дизайна протокола.

Самым простым типом атаки оказался спуфинг аутентификационных запросов, при помощи модифицированных драйверов для PCMCIA DECT карт и анализа ответов при помощи DECT-снифера, также написанного авторами для GNU-Radio. После глушения большим количеством пакетов с запросами телефон переключался на подставную базовую станцию с вероятностью 50%. Никаких предупреждений или сообщений об ошибках на телефоне не высвечивается.

Данную атаку также удалось повторить с использованием беспроводных LAN-карт со специально написанными DECT-драйверами под Linux. Стоимость атаки таким образом равна стоимости дешёвой беспроводной LAN-карты.

Сам протокол DSAA оказался спроектирован на удивление небезопасным образом. Средние 64 бита выхода DSAA зависят только от средних 64 битов ключа. Это приводит к тривиальным атакам на DSAA, когда 128-битный ключ вскрывается за 2⁶⁴ операций.
Хуже того, безопасность DSAA полностью опирается на безопасность шифра cassable. Анализ показал, что он тоже на удивление слаб. Cassable представляет собой каскад из четырёх похожих шифров. Сами шифры по отдельности тривиально взламываются с помощью дифференциального криптоанализа с помощью небольшого числа подобраных открытых текстов. Авторам удалось сконструировать атаку на полный шифр cassable за 2⁴⁶ и при оптимизации 2⁴⁴ операций.

В целом протокол DECT может обеспечить максимум 64-битный уровень безопасности, что может остановить слабого атакующего, но в текущих вариантах полностью уязвим перед атакующим с PCMCIA картой за 30$.

Источник: Cryptology ePrint Archive