CC BY
331
25 декабря 2011 г. 3:52
ТЕХНОЛОГИИ ИНФОРМАЦИОННОГО ОБЩЕСТВА
Алгоритмы шифрования в публичных беспроводных сетях
Рассмотрены характеристики криптоалгоритмов, используемые в системах безопасности публичных бвслроводных сетей, таких kokGSM, WiMах, UMTS, DECT. Приведена структура и рассмотрены уязвимости алгоритмов и протокола шифрования трафика в сетях стандарта GSM. Проанализированы характеристики криптостойкости шифров и эффективности атак в беспроводных сетях новых поколений.
Орлов В.Г., Маэуркевич Д О.,
МТУ СИ
Современный мир живет в эпоху бурного развития технологий беспроводного доступа, чему способствует неуклонный прогресс в микроэлектронике, позволяющий выпускать всеболее сложные и при этом всеболее дешёвые средства беспроводной связи. Мобильных телефонов во всём мире уже значительно больше, чем обычных проводных аппаратов. Развитие беспроводной связи сопровождается непрерывной сменой технологий, в основе которых лежат стандарты сотовой связи GSM и CDMA, а также стандарты передачи данных IEEE 802. Они в чостносги определяют некоторый уровень информационной безопасности, который считается базовым, и обеспечивается комплексом программно-аппаратных средств сетевого и абонентского оборудования. Базовый уровень должен обеспечивать как потребности оператора по защите собственной служебной информации, так и потребности пользователей, по защите передаваемой ими информации. Однако практика показывают, что не всегда заявленный уровень защиты обеспечивает адекватное противодействие постоянно растущим угрозам информационной безопасности, в связи, чем представляет интерес анализ криптографических средств используемых в публкмных сетях радиодоступа.
В сетях стандарта GSM понятие "безопасность" означает, наряду с исключением несанкционированного использования системы, обеспечение секретности переговоров подвижных абонентов [ 1 ].
Для шифрования оцифрованной речи в GSM используются две основных разновидности алгоритма А5: А5/1 — "сильная" версия шифра и А5/2 — ослабленная для стран попадающих под экспортные ограничения в области криптографии. Формально алгоритмы А5/1 и А5/2 являются секретными и официально от имени Международной ассоциации GSM не публиковались, однако, описание алгоритмов восстановлено методом реверс-инжиниринга при их анализе. А5 реализует поточный шфр на основе трёх линейных регистров сдвига (19, 22, и 23 бита) с неравномерным движением (рис 1}. Начальное заполнение этих регистров в сумме даёт 64-битовый сеансовый ключ шифрования трафика в GSM. Укороченные длины регистров, а также слабые прореженные полиномы обратной связи обусловили слабую теоретическую криптостойкость А5 и к
2003 г. криптоаналитиками были разработаны практические методы вскрытия А5\2.
По опубликованным данным алгоритм А5\2 легко вскрывоется до начала телефонного обмена на этапе вызова, причём это проделывается на основе лишь пассивного прослушивания лини [2]. Мгновенная атака на А5\2 основано на особенности шифрования в GSM, которое осуществляется только после процедуры помехоустойчивого кодирования, существенно повышающего избыточность открытого текста. Для вскрытия одного сообщена требуются секундные вычисления на персональном компьютере.
С учеам этого Международная ассоциация GSM (GSMA) с
2004 г. ввела запрет на использование А5/2 и расширила список стран, которым разрешено использование А5/1. Однако теоретические исследования криптоаналитиков более сильного алгоритма А5/1 показали наличие и в нём многочисленных конструктивных дефектов снижающих его стойкость до стойкости шифра с 40-биго-вым ключом.
Реакцией на взлом алгоритмов А5/2 и А5/1 явилось принятие нового варианта алгоритма шифрования А5/3, который может использоваться кок в обычных, так и в модернизированных сетях GSM, поддерживающих технологии GPRS и 3G (EDGE и HSCSD). Базой для А5/3 служит алгоритм KASUMI, полученный из блочного алгоритма MISTY. Для шифрования голосового трафика А5/3 используется в режиме гаммировония, преобразуя 64-битовый вход в 64-битовый выход под управлением ключа шифра (СК) длиной 128 бит, а при передаче данных с использованием протокола GPRS применяется алгоритм GEA3. А5/3 реализуется на аппаратном уровне и учитывает особенности обработки сигналов в сотовой связи. С момента совместной разработки алгоритма А5/3 организацией 3GPP и комитетом по алгоритмам безопасности ETSI опубликованы рад материалов по оценки его криптостойкости. В частности в [2] представлены результаты успешной атаки на KASUMI методом бумеранга (сложность — 276), что свидетельствует о недостаточной безопасности шифрования в 3G сетях. [ 1 ] В 2010 году израильские криптоаналитики представили донные исследований о потенциальной возможности взлома KASUMI на основе использования "ключевых атак" и очень скромных вычислительных ресурсов. Примечательно, что данная атака неэффективна против оригинального алгоритма MISTY [3J.
В таблице 1 приведены характеристики наиболее известных атак на алгоритм А5 и требуемые вычислительные ресурсы для взлома зашифрованного речевого трафика.
FW. 1. Схема алгоритма шифрования А5/1
62
T-Comm, #10-2011
ТЕХНОЛОГИИ ИНФОРМАЦИОННОГО ОБЩЕСТВА
Таблица 1
Характеристики атак на алгоритмы шифроіания речевого трафика в сетях GSM
Вил аіаки на шифр Авторы Принцип действия Сложность
Атака прямым перебором ключей - Ключом является сессионный ключ длиной 64 бита, номер кадра считается известным. ы 2
Атака прямым перебором управляющего регистра (только для ASH) - Для вскрытия системы достаточно прямым перебором найти заполнение управляющего регистра. і* 2 (=0.015 сек.)
Атака на длину ключа. - Длина ключа равна 64 бит. 10 из которых специально обнулены, вследствие чего система ослабляется на три порядка. я 2
Атака на алгоритм шифрования .45/1. 1997 г. Йован Галич Предложен способ определения первоначального заполнения регистров но известному отрезку гаммы длиной всего 64 бита. Этот отрезок получают из нулевых сообщений. 40 2
Атака на алгоритм шифрования АЫ2. 1999 г.. Д. Натер. А. Г'оллберг Предложено перебором определить начальное (аиолнснис /?4. 17 2
Атака на регистры сдвига (реализуема на персональном компьютере 1999 г.. Али Шамир. Алекс Ьирюков. Дэвид Вагнер Использует специфичные слабости в структуре регистров сдвига, необратимый механизм их движения, а также частые перезагрузки регистров, применяемые в GSM. so 2
Следует особо отметить, что использование самых мощных алгоритмов шифрования при поддержке в сети оператора (для совместимости) слабого алгоритма А5/2 и потенциально слабого А5/1 не обеспечивает надёжной защиты вследствие уязвимостей в протоколе генерации сеансового ключа шифрования в сетях GSM. Шифрованные звонки могут быть вскрыты с применением активной атаки, используя, в соответствие с протоколом, отсутствие зависимости процесса генерации сеансового ключа от выбранного варианта алгоритма (сильный или слабый). В связи с этим возможна организация атаки с искусственным переводом сеанса связи в режим применения слабого шифра А5/2, и после вскрытия секретного ключа мобильного терминала использовать его для вскрытия шифрованного обмена с сильным криптоалгоритма.
В локальных беспроводных сетях и сетях доступа с радиотехнологией DECT для шифрования данных используется поточный алгоритм шифрования DSC (DECT Standard Gpher). Алгоритм DSC конфиденциален и поставляется сетевым операторам по контракту с ETSI. В настоящее время из публикаций известны его отдельные структурные элементы — четыре сдвиговых регистра (рис 2), с помощью которых формируется шифрующая последовательность Key Stream Segments (KSS, 80 бит), накладываемая на поток донных при передаче и снимаемая при приеме. Мажоритарная функция генерации выходного бита шифрующей последовательности не известна. В качестве входного параметра при формировании KSS используется общий для базовой станции и радиотелефона ключ шифрования Gpher Key (СК).
В беспроводных сетях передачи донных (WiMAX) вопросы безопасности регламентируются стандартом IEEE 802.16, который определяет использование алгоритм DES для шифрована донных в режиме сцепления блока шифров Шифр DES (Data Encryption Standard) был принят в качестве стандарта США в 1977 г. Его основные параметры: размер блока 64 бита, длина ключа 56 бит, 16 раундов. Шифр основан на "сети Фейстеля", которая представляет собой определенную многократно повторяющуюся структуру, называющуюся ячейкой Фейстеля. При переходе от одной ячейки к другой меняется ключ, причём выбор ключа зависит от конкретного ал-
горитма. Этот шифр подвергался тщательному криптоанализу в течение более трёх десятков лет и, не смотря на многочисленные атаки, не был взломан. В настоящее время не известны алгоритмы взлома DES существенно более эффективные, чем прямой перебор ключей. Однако высокий уровень развития вычислительных средств позволяет сегодня вскрывать DES за приемлемый временной интервал. При достаточно большом времени жизни ключа ТЕК (Traffic Encryption Key — ключ шифрования трофика) и интенсивном обмене сообщениями возможность взлома шифра представляет реальную угрозу безопасности. Для устранения главного недостатка DES
— малой длины ключа используют алгоритм Triple DES (3DES) построенный на основе тройной реализации программы DES. При этом длина ключа увеличивается до 168 бит, что существенно повышает безопасность значительного парка оборудования использующего DES.
В 2001 г. в США был принят новый стандарт на блоковый шифр
— AES (Advanst Encryption Standart) в основу которого положен шифр Rijndael. Шифр AES/ Rijndael характеризуется размером блока 128 бит и длиной ключа 128,192 и 256 бит. [4] AES включён в
11111*1111І
R1 17tts
І з 121 |о| R2 19 Ms
"Ті
ж
Mol R3 2! Ms
=3г
*H II1111111 kl I I II I 1 M
і..........................X........г
Рис 2 Элементы структуры алгоритма DSC
Т-Comm, # 10-2011
63
