id: Гость   вход   регистрация
текущее время 19:47 16/12/2017
Владелец: unknown (создано 18/02/2009 13:32), редакция от 19/02/2009 09:27 (автор: unknown) Печать
Категории: криптография, приватность, криптоанализ, инфобезопасность, алгоритмы, симметричное шифрование, протоколы, прослушивание коммуникаций, спецификации, защита телефонной связи, аутентификация, стандарты, атаки, полный перебор
https://www.pgpru.com/Новости/2009/СозданыОткрытыеДрайвераДляПрослушиванияЗашифрованыхБеспроводныхТелефоновDECT
создать
просмотр
редакции
ссылки

18.02 // Созданы открытые драйвера для прослушивания защищённых шифрованием беспроводных телефонов DECT


Выпускаемые ранее и всё ещё находящиеся в обращении некоторые модели беспроводных телефонов не используют шифрования и могут быть прослушаны с помощью несложного радиооборудования на расстоянии до нескольких километров.


В связи с этим в 1992 CEPT, предшественник ETSI (Европейский Институт Стандартов Телекоммуникаций) предложил к использованию стандарт DECT (Digital Enhanced Cordless Communications). Практически все телефоны, используемые в Европе, защищены сейчас в соответстии с этим стандартом.


Стандарт включает два патентованых (дословно "проприетарных") алгоритма: DECT Standart Authentification Algorythm (DSAA) и DECT Standart Cipher (DSC) – соответственно для обеспечения аутентификации и защиты данных. Эти алгоритмы были доступны только на основании подписки о неразглашении и поэтому не были темой для академических исследований.


Ранее алгоритм DSAA был подвергнут реверс-инжинирингу (обратной реконструкции путём дизассемблирования оказавшихся у исследователей драйверов программной реализации DECT-оборудования) авторами работы о которой пойдет речь далее. Также ими был создан открытый драйвер для PCMCIA DECT карт.


Stefan Luks (Bauhaus University Weimar, Германия), Andreas Schuler (Chaos Computer Club Trier, Германия), Erik Tews (FB Informatik, TU Darmstadt), Ralf-Philipp Weinmann (FSTC University Люксембург) и Matthias Wensel (Chaos Computer Club, Мюнхен, Германия) опубликовали работу "Attacks on the DECT authentification mechanisms".


В ней они проводят полный анализ DSAA, включающий нахождение уязвимостей, которые могут полностью скомпрометировать аутентификацию и осуществить полный взлом системы безопасности DECT, а низкостоимостные атаки позволяют незаметно подменить атакующему базовую станцию и прослушивать все переговоры.


В работе приведено подробное описание протокола DSAA и криптоанализ его компонентов. Обнаружены два типа уязвимостей, основанных как на недостатках механизма аутентификации, так и на сочетании ошибок выполнения и дизайна протокола.


Самым простым типом атаки оказался спуфинг аутентификационных запросов, при помощи модифицированных драйверов для PCMCIA DECT карт и анализа ответов при помощи DECT-снифера, также написанного авторами для GNU-Radio. Ошибочно выполненный генератор псевдослучайных чисел использует всего 24 бита энтропии вместо 64 битов. Это позволяет атакующему сгенерировать все варианты случайных запросов и сохранить их в файле размером всего 68 мегабайт. Поиск по такому файлу не составит труда.
После глушения большим количеством пакетов с запросами в течении короткого отрезка времени телефон переключался на подставную базовую станцию с вероятностью 50%. Никаких предупреждений или сообщений об ошибках на телефоне не высвечивается.


Данную атаку также удалось повторить с использованием беспроводных LAN-карт со специально написанными DECT-драйверами под Linux. Стоимость атаки, позволяющей перехватывать, записывать и перенаправлять звонки, таким образом равна стоимости дешёвой беспроводной LAN-карты. Возможно также использование беспроводной карты в режиме полностью пассивного DECT-снифера. Информация об этом выложена на сайте http://www.dedected.org.


Как сообщает комманда проекта dedected в своём блоге: "Оборудование для прослушивания радиотелефонов может быть спрятано в небольшой сумке, поэтому уголовное преследование за такие действия непрактично. Стоимость атаки также очень невелика. Для всех пользователей DECT технологии и на основании анализа всех полученных нами образцов устройств мы можем лишь сказать – если вы не хотите превратить свои разговоры по радиотелефону в радиостанцию публичного вещания – вам большое и жирное предупреждение "Не используйте DECT!".


Сам протокол DSAA оказался спроектирован на удивление небезопасным образом. Средние 64 бита выхода DSAA зависят только от средних 64 битов ключа. Это приводит к тривиальным атакам на DSAA, когда 128-битный ключ вскрывается за 264 операций.
Хуже того, безопасность DSAA полностью опирается на безопасность шифра cassable. Анализ показал, что он тоже на удивление слаб. Cassable представляет собой каскад из четырёх похожих шифров. Сами шифры по отдельности тривиально взламываются с помощью дифференциального криптоанализа с помощью небольшого числа подобраных открытых текстов. Авторам удалось сконструировать атаку на полный шифр cassable за 246 и при оптимизации 244 операций.


Слабость алгоритма не была показана в официальных документах ETSI. Дифференциальный криптоанализ, представленный авторами полностью взламывает
шифр, положеный в основу алгоритма DECT и позволяет потенциально снизить стойкость за пределы менее 64-битного уровня безопасности при минимальных расходах памяти.


Представители интересов организаций, представляющих стандарт DECT несмотря на предупреждения авторов об уязвимости с 2008 года не предприняли никаких мер по защите стандарта, а лишь ограничились угрозами уголовного преследования в случае публикации средств взлома. Исследователи же отклонили подобные обвинения, заявив, что используют присланные спонсорами и добровольцами образцы телефонов, но сами не занимаются незаконным прослушиванием чужих разговоров, что наказывается в Германии сроком заключения до 5 лет. Кроме того, на основании ставшей известной информации о протоколе DECT написать и распространить соответствующие программные средства не составит труда всем желающим специалистам буквально в течении получаса, несмотря на все запреты.


В качестве временной меры исследователи предлагают включить режим аутентификации для каждого сеанса связи в DECT и отключить переход в неаутентифицированный или даже нешифрованный режим при неудачной попытке установления соединения, как происходит во многих моделях телефонов. В дальнейшем, исследователи предлагают в качестве единственной серьёзной меры защиты разработать открытую альтернативу стандарту DECT, которая хотя и будет обходиться дороже в реализации, но будет полностью основана на открытой стойкой криптографии, весь стандарт будет также полностью открытым и проанализированным любым желающим свободным специалистом из открытого сообщества исследователей в области информационной безопасности.


На сегодя же, даже если протокол DECT и может обеспечить максимум 64-битный уровень безопасности, что может остановить слабого атакующего, но в текущих вариантах полностью уязвим перед атакующим с PCMCIA картой за 30$.


Источник: Cryptology ePrint Archive


 
Несколько комментариев (2) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3