Читаем Цифровой журнал «Компьютерра» № 47 полностью

Областью специализации Ноля (а также темой его диссертации) являются криптографические средства защиты информации в миниатюрных и мобильных устройствах. На страницах «КТ» уже не раз рассказывалось о заметных работах этого исследователя по взлому криптоалгоритмов в RFID-чипах Mifare, в радиотелефонах DECT и в системе мобильной связи GSM. На конференции же ESCAR Карстен Ноль рассказывал о вскрытии криптозащиты в широко используемых противоугонных иммобилайзерах на базе чипов HITAG2, изготавливаемых голландской фирмой NXP Semiconductors.

Эта же компания (в прошлом полупроводниковое подразделение Philips), можно напомнить, выпускает и чипы Mifare, массово применяемые по всему миру в проездных транспортных билетах, социальных-льготных картах и бесконтактных баджах-пропусках для автоматизированного контроля доступа на объекты. Поскольку Ноль был одним из тех хакеров, кто несколько лет назад провел обратную инженерную разработку секретной криптосхемы в чипах NXP (продемонстрировав в итоге очевидную слабость скрытого там криптоалгоритма), то для него не составило особого труда и восстановление проприетарного алгоритма в HITAG2. На всё про всё, как говорится, у специалиста ушло – по его собственным оценкам – порядка 6 часов.

Как и обычно это бывает со всеми проприетарными алгоритмами шифрования, стойкость его ко взлому оказалась несравнимо ниже, чем у общепринятого криптостандарта AES. Иными словами, поскольку практически вся безопасность данной системы сводится к секрету устройства фирменного криптоалгоритма, то – как только он становится известен – безнадёжно скомпрометированными оказываются все иммобилайзеры, построенные на основе чипа HITAG2.

Здесь пора напомнить, что несколькими годами ранее совершенно аналогичным образом были скомпрометированы и слабые проприетарные криптоалгоритмы в чипах KeeLoq и Texas Instruments, то есть в наиболее популярных в мире системах, совокупно с HITAG лежащих в основе практически всех иммобилайзеров, применяемых ныне в современных машинах.

В частности, ещё в 2005 году американская команда исследователей из лаборатории RSA Labs и Университета Джонса-Хопкинса продемонстрировала, что у них ушло всего лишь около 1 часа времени на вскрытие криптографии в чипе иммобилайзера от Texas Instruments. Однако по не очень ясным причинам убедить автоиндустрию в слабости применяемой криптографии и в необходимости перехода к сильным стандартным алгоритмам становится делом необычайно сложным.

По многочисленным свидетельствам хакеров-криптографов, вскрывавших слабые алгоритмы в иммобилайзерах, в индустрии упорно считают электронный хакинг относительно малой проблемой в сравнении с более прямыми способами хищения автомобилей: «обычная их реакция такова, что гораздо дешевле использовать грузовик с платформой, чем возиться с электроникой».

Изготовители же чипов, со своей стороны, отреагировали на угрозу вполне адекватно. И в NXP, и в Texas Instruments уже давно разработаны и выпущены соответствующие чипы на основе стойкого криптоалгоритма AES со 128-битным ключом. Однако в автоиндустрии большинство машин по-прежнему всё ещё оснащаются противоугонными системами с 40- или 48-битными ключами. Какова причина этого — просто сила инерции или же что-то ещё, достоверно не известно. Сами же участники процесса выражаются по данному поводу довольно туманными фразами.

Корпорация NXP, к примеру, в таких выражениях прокомментировала ситуацию в одном из своих пресс-релизов по поводу взлома HITAG2 (раздел вопросов-ответов):

«Вопрос: HITAG2 широко используется в автомобильной индустрии для иммобилайзеров; есть ли теперь какая-либо угроза для безопасности автомобилей? Ответ: HITAG2 – это один из вариантов среди различных криптоалгоритмов, используемых для обездвиживания машин. Компанией NXP в 2005 году представлена рынку система HITAG PRO – решение для иммобилайзера, основанное на криптостандарте AES с длиной ключа 128 бит. Предлагаемые нами продукты постоянно согласовываются с запросами и требованиями наших клиентов. Поскольку NXP не даёт комментариев о стратегии клиентов, мы не будем делать никаких заявлений относительно того, какие из криптосистем используют те или иные изготовители машин»….

Не имея фактов и документов, вряд ли имеет смысл гадать о причинах, сдерживающих внедрение сильной криптографии в автомобилях. Но ничто не мешает осмотреться вокруг и заметить, что очень похожие по сути процессы происходят и в других областях. К примеру, в мобильной сотовой связи.

* * *

В блоге ещё одного известного германского хакера, Харальда Вельте (Harald Welte), недавно появилась статья, в которой рассказывается довольно любопытная «история изъятия криптоалгоритма A5/2». Иначе говоря, не найдя в интернете подробного и связного изложения истории о том, когда именно и каким образом слабый криптоалгоритм A5/2 был удалён из сетей GSM-телефонии и из самих GSM-телефонов, Вельте решил сделать это сам. И вот что у него получилось.