Читаем Гигабайты власти полностью

Всю вторую половину 1990-х годов в Интернете и СМИ не раз вспыхивали дискуссии как вокруг самой защиты системы мобильной связи GSM, так и вокруг многочисленных случаев ее компрометации. К концу десятилетия почти всем уже, по сути дела, стало ясно, что GSM – это классический пример провала стратегии, именуемой на англоязычном Западе SbO, что в зависимости от чувства юмора расшифровывают либо как Security by Obscurity (безопасность через неясность), либо как Security by Ostrich (безопасность по-страусиному). На протяжении примерно десяти лет постепенно обнажались типичные пороки и неудобства стратегии, согласно которой степень защиты системы в значительной степени увязывается с сохранением в тайне как особенностей конструкции, так и случаев ее компрометации. То, что система GSM от рождения несет в себе перечисленные порочные черты, является вполне естественным. Просто потому, что рождалась GSM в соответствующих исторических условиях и от вполне определенных родителей.

Что такое защита GSM и как она создавалась

В принципе, по своему замыслу, цифровая система GSM вполне могла бы быть чрезвычайно защищенной. В основе ее лежит свод документов под названием «Меморандум о понимании стандарта GSM» или MoU Groupe Special Mobile standard. Этот Меморандум был подготовлен на излете Холодной войны по инициативе ведущих телекоммуникационных компаний Западной Европы. Разрабатывал техническую документацию GSM Европейский институт стандартов по телекоммуникациям (ETSI), а в создании схемы безопасности, в целом призванной защитить новую систему от перехвата, прослушивания и мошенничества, активное участие приняли спецслужбы стран НАТО [КВ93].

Основу системы безопасности GSM составляют три секретных алгоритма (вплоть до конца 2003 г. официально так и не раскрытые, сообщаемые лишь тем, кому это требуется по необходимости – поставщикам оборудования, операторам связи и т.д.):

• A3 – алгоритм аутентификации, защищающий телефон от клонирования;

• А8 – алгоритм генерации криптоключа, по сути дела, однонаправленная функция, которая берет фрагмент выхода от A3 и превращает его в сеансовый ключ для А5;

• А5 – собственно алгоритм шифрования оцифрованной речи для обеспечения конфиденциальности переговоров. В GSM используются две основные разновидности алгоритма: А5/1 – «сильная» версия шифра для избранных стран и А5/2 – ослабленная для всех остальных. (В 2000-е годы для следующего поколения мобильной связи, G3, создан совершенно новый криптоалгоритм, получивший название А5/3. Еще имеется вариант А5/0 – это когда режим шифрования вроде как включен, но в действительности его нет, поскольку вместо битов ключа используются одни нули.)

Мобильные станции (телефоны) снабжены смарт-картой (SIM), содержащей A3 и А8, а в самом телефоне имеется чип с алгоритмом А5. Базовые станции также снабжены чипом с А5 и «центром аутентификации», использующим алгоритмы АЗ-А8 для идентификации мобильного абонента и генерации сеансового ключа шифрования.

Вся эта архитектура при надлежащем исполнении и качественных алгоритмах призвана гарантировать надежную аутентификацию пользователя, обеспечивая защиту мобильных станций от клонирования и прочих методов мошенничества, а также качественное шифрование конфиденциальных переговоров. Собственно говоря, именно это и декларируется компаниями, успешно занимающимися разворачиванием GSM по всему миру и уже охватившими услугами удобной связи многие сотни миллионов человек на планете.

Но реальность такова, что спецслужбы, занятые защитой правительственной связи, одновременно вовлечены и в деятельность противоположного рода: перехват и дешифрование коммуникаций в разведывательных целях. По этой причине, как свидетельствуют очевидцы, вокруг степени защиты GSM бушевали немалые страсти, поскольку спецслужбы стран НАТО имели довольно разные точки зрения на этот счет. Германия настаивала на сильных алгоритмах, поскольку имела самую длинную границу с коммунистическим блоком, другие же страны склонялись к ослабленному варианту. В конце концов в качестве основы криптосхемы для А5 была избрана французская военная разработка [RA94].

Первые утечки, первые тревоги

Как бы строго ни контролировались коммерческие секреты, понятно, что широкое распространение продукции рано или поздно приводит к утечкам информации. В GSM они стали появляться уже в начале 90-х годов. К 1994 году основные детали алгоритма А5 уже были известны. Во-первых, British Telecom передала всю техническую документацию Брэдфордскому университету, забыв заключить соглашение о неразглашении информации. Во-вторых, описание А5 появилось в материалах одной из конференций в Китае. Короче говоря, детали о конструкции алгоритма понемногу стали просачиваться в печать, и в конце концов кембриджские ученые М. Роу и Р. Андерсон опубликовали восстановленную по этим деталям примерную криптосхему в Интернете.