Безопасность GSM

Сотовые

TMSI), который изменяется от звонка к звонку. Таким образом нет необходимости передавать международный идентификатор мобильного абонента (International Mobile Subscriber Identity — IMSI

) по радио-интерфейсу, что затрудняет задачу идентификации и определения местонахождения пользователя для подслушивающего.

Защита PIN-кодом

Первый и самый простой уровень защиты против мошеннического использования мобильного телефона — личный идентификационный номер (

SIM-карта

может быть разблокирована путём введения восьмиразрядного десятичного кода, известного как PUK (Personal Unlock Key), который также хранится в SIM-карте. После 10 неправильных попыток введения PUK кода SIM-карта блокируется окончательно.

Установление подлинности

Процедура установления подлинности или аутентификации (authentication) выполняется под управлением и по инициативе

VLR

отправляет в MS специальное случайное число RAND, которое является одним из входных параметров алгоритма A3, используемого в SIM-карте для вычисления значение отклика SRES. Другим входным параметром алгоритма A3 является секретный ключ Ki, содержащийся в SIM-карте. Ключ Ki не доступен для считывания из SIM, и это является одним из основных аспектов безопасности GSM.

VLR, в котором регистрируется абонент, отправляет запрос в AuC домашней сети абонента, в ответ на который AuC присылает набор триплетов, каждый из которых содержит RAND, SRES и ключ шифрования Kc. RAND является случайным числом, SRES вычисляется в AuC алгоритмом A3 на основе секретного ключа Ki и RAND, а Kc является ключом шифрования радиоинтерфейса и вычисляется алгоритмом A8 на основе Ki и RAND. Эти триплеты в дальнейшем будут использованы VLR для установления подлинности и шифрования. Таким образом, все вычисления с использованием ключа Ki происходят внутри AuC, на стороне сети, и внутри SIM, на стороне абонента, что исключает утечку Ki и перехват злоумышленником. В современном оборудовании связи ключи Ki прогружаются в AuC в зашифрованном виде, и это исключает доступ к ключам даже со стороны технического персонала оператора. Процедура установления подлинности может выполняться при исходящих, входящих вызовах, при регистрации в сети, пакетной передаче данных, отправке или получении SMS, а также при обновлении местоположения (location update). Каждый оператор связи самостоятельно определяет, в каких случая VLR будет выполнять аутентификацию.

Процедура установления подлинности начинается после того, как между MS и MSC организован прозрачный канал для обмена служебной информацией. VLR выбирает первый триплет и отправляет в мобильную станцию его RAND вместе с номером триплета, который в дальнейшем будет обозначаться как CKSN — Ciphering Key Sequence Number, он же — номер ключа шифрования Kc. На стороне MS, по алгоритму A3 вычисляется SRES, который возвращается в VLR, где сравнивается со значением SRES из состава триплета, полученного из AUC. Идентичность двух SRES является признаком подлинности абонента. Триплет в VLR помечается как использованный, и в следующий раз будет использован другой триплет. После того, как все триплеты будут израсходованы, VLR запрашивает у AuC новую порцию триплетов. Секретный алгоритм A3 предоставляет возможность относительно простой генерации SRES из RAND и Ki, но затрудняет определение Ki из SRES и RAND или пар SRES и RAND, чем обеспечивается высокая стойкость к компрометации.

Шифрование

Как только подлинность абонента была проверена, таким образом защищая и абонента и сетевого оператора от влияния мошеннического доступа, пользователь должен быть защищен от подслушивания. Это достигается путём шифрования данных, передаваемых по радиоинтерфейсу, с использованием второго ключа Kc и изначально секретного алгоритма A5. Kc генерируется в ходе проверки подлинности, используя Ki, RAND и секретный алгоритм A8, который также хранится в SIM-карте. Подобно алгоритму A3, A8 не уникален, и он может также быть выбран оператором. Ключи Kc для каждого пользователя вычисляются в AuC домашней сети и передаются в VLR в составе набора триплетов, где каждому триплету и, соответственно, ключу Kc присваивается номер ключа — CKSN. В некоторых реализациях алгоритмы A3 и A8 объединены в единственный алгоритм A38, который использует RAND и Ki, чтобы сгенерировать Kc и SRES. В отличие от A3 и A8, которые, возможно, различны для каждого индивидуального оператора, A5 выбирается из списка из 7 возможных вариантов.

Перед шифрованием происходит фаза переговоров, в ходе которой определяется, какая версия A5 будет использована. Если сеть и мобильная станция не имеют общих версий A5, связь должна продолжиться в открытом режиме или соединение должно быть разорвано. Алгоритм A5 использует 64-битный ключ Kc и 22-битный номер фрейма TDMA для вычисления двух 114-битных слов шифрования — BLOCK1 и BLOCK2, использующихся при передаче и приёме соответственно. Слова шифрования — EXORed со 114 битами данных в каждой посылке. Поскольку зашифрованные данные вычислены, используя номер фрейма TDMA, то слова изменяются от посылки к посылке и не повторяются на протяжении гиперфрейма (приблизительно 3,5 часа).

Перед тем, как начать шифрование, мобильная станция (MS) отправляет в VLR номер ключа шифрования CKSN, который хранится в её памяти с момента последней процедуры аутентификации. CKSN не содержит секретных данных, а служит лишь для того, чтобы MS могла сообщить сети, какой ключ Kc она «помнит». После этого VLR отправляет в MS команду на включение шифрования и передаёт в базовую станцию (BTS) ключ Kc из того триплета, который соответствует номеру CKSN, полученному от MS. Таким образом между MS и VLR достигается договорённость о выборе ключа шифрования без передачи самого ключа по радиоинтерфейсу.

Временный идентификатор подвижного абонента (TMSI)

Некоторые передачи на линии радиосвязи не могут быть защищены шифрованием. Например, после начального назначения мобильная станция должна передать свой идентификатор сети прежде, чем шифрование может быть активизировано. Это очевидно позволило бы подслушивающему определять местоположение абонента, перехватывая это сообщение. Эта проблема решена в

TMSI

действителен только в пределах области, которую обслуживает определенный VLR.

Атаки на GSM

Несмотря на то что GSM разрабатывался как стандарт с высоким уровнем защиты от мошеннической деятельности, существуют различные типы атак на GSM.

Изначально безопасность GSM сетей основывалась на принципе «безопасность через неясность», но уже к 1994 году основные детали алгоритма A5 были известны.

Атака на основе открытых текстов

При передаче зашифрованного трафика по GSM в нем присутствует системная информация, заранее известная криптоаналитику. С помощью этой информации может быть применена атака на основе открытых текстов. В декабре 2010 года на всемирном конгрессе хакеров Sylvain Munaut и Karsten Nohl продемонстрировали взлом ключа Kc и последующую расшифровку голосового трафика^[1]^{[источник не указан 3111 дней]}. Для ускорения атаки путём перебора ключа по известному открытому тексту они использовали метод предвычислений с созданием радужных таблиц.

Атака сотового оператора на неотказуемость (англ. non-repudiation)

Хотя сотовые операторы категорически отрицают наличие технической возможности удаленной инициации исходящего звонка и отправки SMS с телефона абонента, явление имеет массовый характер, и, проблема описана на значительном количестве интернет ресурсов^[2]^[3]. То, что это не связано с оборудованием или программным обеспечением у абонента, указывает факт возможности отключения услуги через USSD-команду. Нарушение принципа неотказуемость в сотовой связи имеет далеко идущие социальные последствия, как в доказывании совершенных правонарушений по данным сотовой связи, так и использовании при авторизации на сайтах и Интернет-банкинге.

См. также

Ловец IMSI
WPA
Фрод
GSM-терминал
GSM-модем

Примечания

↑ Архивированная копия (неопр.). Дата обращения: 7 октября 2018. Архивировано из оригинала 26 апреля 2018 года.
↑ Телефон самостоятельно совершает звонки без вашего ведома (рус.). Яндекс Дзен | Блогерская платформа. Дата обращения: 12 октября 2020.
↑ Список секретных команд для «Билайн», запрещающих любые списания и раздражающие уведомления (рус.). Яндекс Дзен | Блогерская платформа. Дата обращения: 12 октября 2020.

[Blackhat_2010_Attacking_Phone_Privacy_Karsten_Nohl-1] Архивированная копия (неопр.). Дата обращения: 7 октября 2018. Архивировано из оригинала 26 апреля 2018 года.

[2] Телефон самостоятельно совершает звонки без вашего ведома (рус.). Яндекс Дзен | Блогерская платформа. Дата обращения: 12 октября 2020.

[3] Список секретных команд для «Билайн», запрещающих любые списания и раздражающие уведомления (рус.). Яндекс Дзен | Блогерская платформа. Дата обращения: 12 октября 2020.

[1]

[2]

[3]