id: Гость   вход   регистрация
текущее время 14:02 28/03/2024
создать
просмотр
редакции
ссылки

Это старая редакция страницы Библиотека / Статьи / Eavesdropping On G S M / Howto Eavesdrop On G S Min Theory за 18/01/2011 10:49.


3. Как возможно теоретически прослушать GSM


Прослушивание GSM как и возможно любой другой коммуникационной системы такого рода может быть разьито на три части:


  1. Перехват сигналов.
  2. Дешифровка перехваченных сигналов.
  3. Интерпретация дешифрованных сигналов.

В этой части эти шаги будут рассмотрены более детально. В четвёртой части будут рассмотрено текущее состояние практических проектов с открытым исходным кодом, применимых к этим шагам.

3.1 Перехват сигналов


Уже первый этап представлял собой значительную трудность в течении многих лет. Специализированное оборудование для захвата сигналов GSM долгое время было очень дорогим и закрытым. GSM может быть использован на множестве диапазонов частот, но наиболее часто встречающиеся — это диапазоны GSM-900 и GSM-1800. Частотные диапазоны разделены на каналы по 200 kHz каждый. При типичном разговоре два из этих каналов будут всё время заняты для связи с сотовой вышкой; один канал в каждом направлении. Эти каналы разделены постоянным промежутком.


Часть пользовательских данных в GSM-сети, например 20 миллисекунд речевых данных передаётся в четырёх пакетах, называемых импульсами данных в GSM. Эти импульсы — модулированные радиоволны, передаваемые в таймслоте размером 576,9 микросекунд. Большинство GSM сетей используют перескок каналов, что используется как мера качества сигнала и приводит к переключению передачи на новый канал после каждого одиночного импульса данных. Сложность в захвате GSM-сигналов состоит в том, чтобы вовремя принять импульсы данных и корректно их демодулировать.


В разделе 4.1 обсуждаются проекты и оборудование, которое может быть использовано для захвата GSM-сигналов.

3.2 Дешифровка перехваченных сигналов


Предполагая, что в GSM-сети доступно шифрование, следующим шагом будет дешифровка перехваченных GSM-сигналов. Для GSM принято три алгоритма шифрования; A5/1 и A5/2 — это потоковые шифры и A5/3 — блочный шифр. Из этих трёх A5/2 наиболее слабый и может быть взломан менее чем за секунду на персональном компьютере с только несколькими миллисекундами шифртекста [5]. Алгоритм A5/3 считается наиболее сильным алгоритмом из трёх. Но A5/3 были вскоре оказался теоретически взломанным [6]. Атаки на него требуют 226 подобранных открытых текстов, зашифрованных связанными ключами. Сейчас это не даёт возможности провести практическую атаку на A5/3, однако вызывает беспокойство, потому что этой уязвимости не было в MISTY — шифре, на котором основан A5/3. На момент написания статьи никакой доступной атаки на A5/3 неизвестно, будущеее покажет, останется ли это так.


A5/1 — алгоритм шифрования, используемый в большинстве западных стран. Это потоковый шифр на трёх регистрах, переключаюемых нерегулярным образом и имеющий суммарное состояние 64 бита, что является удобным для ключа такого же размера. Сессионный ключ вычисляется SIM-картой и внутренней сетью провайдера из случайного запроса и секретного ключа при помощи неопубликованного закрытого алгоритма. Изначально большинство провайдеров использовало алгоритм, называемый COMP128, который был подвергнул реверс-инженеренгу в 1998 Briceno и др. [7]. Так было показано, что COMP128 в действительности предоставляет 54-битный сессионный ключ, дополненный десятью нулями. Неизвестно, какие алгоритмы используются провайдерами в настоящее время для генерации сессионных ключей и продолжают ли они делать их также ослабленными.


Алгоритм A5/1 был первым алгоритмом шифрования, используемым в GSM. Изначально он держался в секрете и раскрывался только производителям GSM под подписку о неразглашении. Однако в 1999 Marc Briceno за счёт реверс-инженеринга GSM-телефонов воссоздал конструкцию алгоритмов A5/1 и A5/2 [7]. С того момента было опубликовано множество атак против A5/1 [8,5,9].


Недавно появились анонсы практически выполнимых атак перебора грубой силой с разменом времени на память, которые будут обсуждаться в главе 4.2. Эти атаки фактически являются улучшенной версией атаки, предложенной Elad Barkan и др. в 2003 [5].


Назад | Оглавление | Дальше