Компьютерра - Компьютерра PDA N78 (11.12.2010-17.12.2010)

В частности, ещё в 2005 году американская команда исследователей из лаборатории RSA Labs и Университета Джонса-Хопкинса продемонстрировала, что у них ушло всего лишь около 1 часа времени на вскрытие криптографии в чипе иммобилайзера от Texas Instruments. Однако по не очень ясным причинам убедить автоиндустрию в слабости применяемой криптографии и в необходимости перехода к сильным стандартным алгоритмам становится делом необычайно сложным.

По многочисленным свидетельствам хакеров-криптографов, вскрывавших слабые алгоритмы в иммобилайзерах, в индустрии упорно считают электронный хакинг относительно малой проблемой в сравнении с более прямыми способами хищения автомобилей: "обычная их реакция такова, что гораздо дешевле использовать грузовик с платформой, чем возиться с электроникой".

Изготовители же чипов, со своей стороны, отреагировали на угрозу вполне адекватно. И в NXP, и в Texas Instruments уже давно разработаны и выпущены соответствующие чипы на основе стойкого криптоалгоритма AES со 128-битным ключом. Однако в автоиндустрии большинство машин по-прежнему всё ещё оснащаются противоугонными системами с 40- или 48-битными ключами. Какова причина этого — просто сила инерции или же что-то ещё, достоверно не известно. Сами же участники процесса выражаются по данному поводу довольно туманными фразами.

Корпорация NXP, к примеру, в таких выражениях прокомментировала ситуацию в одном из своих пресс-релизов по поводу взлома HITAG2 (раздел вопросов-ответов):

"Вопрос: HITAG2 широко используется в автомобильной индустрии для иммобилайзеров; есть ли теперь какая-либо угроза для безопасности автомобилей? Ответ: HITAG2 – это один из вариантов среди различных криптоалгоритмов, используемых для обездвиживания машин. Компанией NXP в 2005 году представлена рынку система HITAG PRO – решение для иммобилайзера, основанное на криптостандарте AES с длиной ключа 128 бит. Предлагаемые нами продукты постоянно согласовываются с запросами и требованиями наших клиентов. Поскольку NXP не даёт комментариев о стратегии клиентов, мы не будем делать никаких заявлений относительно того, какие из криптосистем используют те или иные изготовители машин"….

Не имея фактов и документов, вряд ли имеет смысл гадать о причинах, сдерживающих внедрение сильной криптографии в автомобилях. Но ничто не мешает осмотреться вокруг и заметить, что очень похожие по сути процессы происходят и в других областях. К примеру, в мобильной сотовой связи.

* * *

В блоге ещё одного известного германского хакера, Харальда Вельте (Harald Welte), недавно появилась статья, в которой рассказывается довольно любопытная "история изъятия криптоалгоритма A5/2". Иначе говоря, не найдя в интернете подробного и связного изложения истории о том, когда именно и каким образом слабый криптоалгоритм A5/2 был удалён из сетей GSM-телефонии и из самих GSM-телефонов, Вельте решил сделать это сам. И вот что у него получилось.

Большую и тщательно документированную хронологию можно найти на сайте security.osmocom.org. А в кратком изложении суть истории такова.

Под названием A5/2 (если кто не в курсе) принято понимать "эфирный" алгоритм шифрования, который использовался для защиты речи на участке между сотовым телефоном и базовой станцией в определённых сетях GSM примерно до 2005-2007 годов.

A5/2 был введён и специфицирован как криптоалгоритм на основе принципа "безопасность через неясность" (security by obscurity) за закрытыми дверями в конце 1980-х годов. Он преднамеренно был сделан слабее, чем его и без того уже слабый собрат A5/1. Идея заключалась в том, чтобы продавать в страны восточно-европейского блока только оборудование с A5/2, в то время как не настолько слабое шифрование A5/1 использовалось бы в западноевропейских странах.

Алгоритм A5/2 был восстановлен методами обратной инженерной разработки и опубликован в конце 1990-х. Вскоре он привлёк значительное внимание со стороны известных криптографов вроде Иэна Голдберга и Дэвида Вагнера (Ian Goldberg, David A. Wagner). В аналитической статье этих исследователей, появившейся в 1999 году, уже было сделано оценочное предположение, что защиту A5/2 можно вскрывать "влёт" — то есть прослушивать разговоры в реальном масштабе времени.

Понадобилось опубликовать ещё несколько статей на эту тему, прежде чем в августе 2003 года инстанции, внедряющие системы GSM (ETSI/3GPP/GSMA), наконец осознали, что здесь имеется проблема. Причем проблема оказалась даже серьёзнее, чем предполагалось поначалу. Поскольку генерация ключа для A5/1 и A5/2 одна и та же, то есть возможность для "полуактивной" атаки, которая понижает уровень защиты и позволяет вскрывать ранее записанные зашифрованные звонки, защищённые с помощью "сильного" A5/1. Единственным решением этой проблемы было удаление A5/2 из всего оборудования, что гарантировало бы невозможность понижения уровня защиты.

Начиная с 2004 года рабочие группы ассоциаций 3GPP и GSMA, имеющие отношение к безопасности, размышляли об изъятии A5/2, а в следующие годы они убедили таки свои соответствующие инстанции (руководство 3GPP, GSMA), а таким образом и непосредственных членов организации (операторов связи, производителей оборудования), исправить эту проблему.

С тех самых пор отлично известно, казалось бы, что использование одной и той же процедуры генерации ключа для разных алгоритмов позволяет осуществлять атаки через понижение уровня защиты. Тем не менее генерацию ключа для тогда ещё нового и более сильного алгоритма A5/3 оставили немодифицированной. Так что теперь, когда за последние годы уже полностью взломан A5/1 (при непосредственном участии известного нам Карстена Ноля), даже если операторы используют A5/3, та же самая модель с атаками через понижение уровня до A5/1 может применяться снова…

Чтобы сделать эту историю более наглядной, Харальд Вельте особо отмечает следующие колоритные моменты в хронологии изъятия A5/2.

– Понадобилось время с 1999 по 2007 год, прежде чем эта зияющая дыра в безопасности системы была залатана. Воистину оперативная реакция на опасность.

– Неназываемые в документах "североамериканские операторы" были самыми ярыми противниками удаления поддержки A5/2 из своих сетей. Это особенно интересно и странно по той причине, что операторы США всегда имели доступ к A5/1.

– Поскольку неминуемый взлом более безопасного A5/1 вполне предвиделся уже тогда, в 2002 году для GSM был специфицирован новый алгоритм A5/3. Пять лет спустя (в 2007) среди производителей оборудования для GSM-сетей всё ещё не было практически никакой поддержки шифрования по A5/3.

– Понадобилось время до января 2009, прежде чем в GSMA начали обсуждение вопросов тестирования A5/3 с изготовителями мобильных телефонов.

– Понадобилось время до ноября 2009, прежде чем начались первые испытания на совместимость между GSM-сетями, оснащёнными A5/3, и сотовыми телефонами, оснащёнными этим же алгоритмом.