Dva israelci Alex Biryukov a Adi Shamir z Weizmannova institutu ohlásili, že se jim
podařilo pokořit algoritmus A5.1 používaný pro šifrování přenosů v sítích GSM.
Celé dílo se jim podařilo pomocí normálního počítače s 128 MB RAM a dvěmi disky
o kapacitě 2/73GB. Znamená to konec bezpečnosti a soukromí v GSM sítích?
Nu, nic není tak jednoduché a vyplatí se chvíli nad problémem zabádat, než
bezhlavě přebírat zprávu, kterou vypustily včerejší vydání tiskových agentur.
V globálním pohledu jde o významný krok - ačkoliv nevím jistě, kam ten krok směřuje a k čemu je, když přeci v podstatě nikdo nechce, aby šifra pro GSM byla zlomena. Před cca. rokem byla zlomena lehčí varianta šifry, tedy A5.2 používaná ve státech, kam exportní direktivy nedovolují exportovat lepší šifru A5.2 - jmenovitě například Čína, TchajWan či Česká republika.
Vůbec první rány A5 dostalo v roce 1994, kdy se na internetu objevily první části šifrovacího algoritmu. Od té doby dostává další a další.
Povězme si nejdříve něco o A5.
- A5 je streamová šifra používající tři hodinami řízené příznaky LFSR (Linear Feedback Shift Registers) na hodnotách 19, 22 a 23.
- A5 má tedy celkem 64 úrovní, což je součet oněch tří registrů, příznaků (19+22+23). Klíč o délce 64 bitů je používán pro inicializaci obsahu těchto registrů.
- 22 bitové TDMA číslo frame je vloženo do registrů.
- 114 bitové streamy jsou vytvořeny pro každý TDMA frame a jsou XORovány uplinkem a downlinkem transportního kanálu
Vizte obrázek fungování šifrování šifrou A5.
Co z toho vyplývá?
Je nesmyslem, že efektivní délka A5 klíče je 40 bitů, je ale pravda, že maximální délka je 64 bitů a pokud někdo používá menší délku, je počet bitů doplněn nulami. GSM MoU toto doporučuje a tedy je to možné, běžně se používá délka 40 bitů ve variantě A5.2 a je to případ i našich operátorů. Například ale pro Rusko není povoleno vůbec dodávat A5 šifru s efektivní délkou klíče.
Šifra A5 byla v minulosti napadána jako nedostatečná především z laických kruhů, které se neuvědomují nároky na šifrovací prostředky pro komunikaci v reálném čase. Šifra A5 zabezpečuje kódování plného hlasového i datového toku v reálném čase a za použití minimálního výpočetního výkonu pro za/rozšifrování. Tato šifra je svým nasazením naprosto rozdílná od šifer pro offline komunikaci, jako jsou DES atd, její síla je také v technickém zabezpečení pozadí jejího přenosu.
Právě síla šifry A5 byla důvodem, proč Velká Británie do roku 1993 bránila jejímu běžnému používání výrobci, než došlo ke kompromisu a rozdělení na silnou verzi A5.1 a slabší verzi A5.2 používanou mimo země EU a několik výjimečných případů (Hong-Kong). Není tedy pravda, že naši operátoři nákupem A5.2 ušetřili - oni neměli jinou možnost.
Abychom demonstrovali sílu šifry A5, použijeme následující tabulku. Zde je zaznamenán časový průběh lámání šifry A5 pomocí brute-force, tedy hrubou silou vyzkoušení všech možností.
V první tabulce je doba potřebná k vyzkoušení všech možností u šifry s uvedenou efektivní délkou. Předpokládáme počítač schopný vyzkoušet milion kombinací za vteřinu, což není tak špatný výkon.
| Délka klíče v bitech | 32 | 40 | 56 | 64 | 128 |
|---|---|---|---|---|---|
| Čas pro otestování všech možností klíče | 1.19 hodin | 12.7 dnů | 2 291 roků | 584 542 roků | 10.8 x 10^24 roků |
Jen pro představu, 128 bitová šifra, kterou representuje například International Data Encryption Algorithm (IDEA), by potřebovala více času, než jak dlouho existuje vesmír.
Také vidíme, že jak pro 40 bitů A5.2, tak pro 56 bitů A5.1 šifry je zapotřebí poměrně značný výpočetní výkon, aby byly překonány v rozumném čase.
Tabulka číslo dvě znázorňuje počet počítačů potřebných na zlomení šifry v uvedené době.
| délka klíče v bitech | 1 den | 1 týden | 1 rok |
|---|---|---|---|
| 40 | 13 | 2 | - |
| 56 | 836 788 | 119 132 | 2 291 |
| 64 | 2.14x10^8 | 3.04x10^6 | 584 542 |
| 128 | 3.9x10^27 | 5.6x10^26 | 10.8x10^24 |
Co je důležité - GSM síť není určena pro přenos utajených informací - podle bezpečnostních specifikací EU je určena pro přenos neutajených zpráv s krátkodobou platností, tedy žádné tajné hovory by přes GSM jako takové neměly být vyřizovány. Šifrovací telefony pro GSM jsou ku koupení - taková 128 bitová šifra IDEA pro GSM splní všechny bezpečnostní požadavky pro online přenos, taky za ni ale řádně zaplatíte.
Podle dostupných informací, které proběhly internetem i podle informací získaných od samotných izraelských lamačů šifry, nejde o rozkódování šifry jako takové - to je u moderních šifer prakticky nemožné. V tomto případě se podařilo během relativně krátké doby prolomit šifru naprogramováním čipů Xilinx na řešení problému 2na56 - jenže podle všeho jde o variantu šifry, která se dnes již nepoužívá.
Ostatně, stejně to komentoval Mike Houghton z GSM Alliance (americké sdružení GSM operátorů): "Je to, jako byste oznámili, že se vám podařilo nabourat se do Fordu model 1995. Jenže my dnes jezdíme modelem 1999." Pravda, v českých podmínkách to přirovnání kulhá, Fordů 1995 je tu dost, ale pravdou je, že cracknutý kód se již nepoužívá.
Pro praktické použití to zatím ale není - takovéto řešení očekává, že monitorujete přímo komunikaci mezi mobilním telefonem a základnovou stanicí, tedy musíte sledovat mobilní telefon a handoverovat stejně jako on. Dešifrovací zařízení tedy předpokládá značnou mobilitu - ani výkonný počítač, ani radiostanice se záběrem 200 kHz pásma nepatří mezi nejmobilnější. Dále je třeba počítat s frekvenčními skoky, změnou timeslotů a ani handover vám jako crackerovi život nezpříjemní.
Zlomení šifry A5 zatím dokázalo jediné - zlomit ji lze. To se ostatně říkalo hned z kraje, technologický pokrok ale značně stlačil dobu, za kterou ji lze zlomit. Senzace se ale nafoukla, média vybrala kusy citátů a poněkud pokroutila podstatu problému. Skandál je na světě, jen nikdo jaksi neví, proč je to vůbec skandál a tak se hromadně kydá špína na lidi, kteří před lety A5 vymysleli jako údajně slabou šifru. Důkazem má být to, že její starší verzi crackli dva izraelci...
Jestli se něčeho bát nemusíte, pak je to odposlech a dekodování hovoru na vzdušeném rozhraní, tedy na šifře A5. A než se A5 bude dát crackovat hrubou silou on-line, budeme tu mít UMTS a zabezpečení na jiné úrovni....
