Интернет магазин китайских планшетных компьютеров

Компьютеры - A3 (шифр) - Возможные атаки

Атаки на COMP128

Атака BGW

13 апреля 1998 года Marc Briceno, Ian Goldberg и David Wagner опубликовали статью, в которой описали способ получения секретного ключа Ki путём посылания SIM карте около 150000 запросов. Атака использует узкое место алгоритма.

После второй итерации первого раунда байты X, X, X, X зависят только от входных байт с такими же индексами. Байты X и X являются байтами ключа, то есть X = Ki и X = Ki, а байты X и X являются байтами запроса RAND от базовой станции, т.е X = RAND и X = RAND.

Теперь мы меняем байты i+16, i+24 входа алгоритма COMP128, оставляя оставшиеся входные байты постоянными. Так как одна итерация не является взаимно-однозначной, можно ожидать коллизию байтах выхода с номерами i, i+8,i+16,i+24 после второй итерации. „Парадокс дней рождений“ гарантирует, что коллизия произойдёт довольно быстро. Коллизии в узком месте может быть обнаружены, ибо они вызовут коллизию выходов алгоритма COMP128, причём каждая коллизия может быть использована для получения двух байт ключа i, i+8.

На это потребуется 2 = 2 определённых входных запросов COMP128 для нахождения двух байтов ключа. Теперь проводим 2R атаку для каждой пары байт ключа. Таким образом, для получения всего 128 битного ключа Ki потребуется 8 * 2 = 2 запросов.

Стоит отметить, что для проведения атаки требуется физический доступ к SIM карте, кардридер и компьютер. Для проведения атаки потребуется послать около 150000 запросов к SIM карте. Кардридер, который был использован группой учёных из ISAAC, выполнял 6,25 запросов в секунду, а вся атака заняла, таким образом, 8 часов. Для анализа ответов от SIM карты требуется значительно меньше времени, чем для отправки запросов.

Атака BGW over-the-air

Marc Briceno, Ian Goldberg и David Wagner также уверены в том, что атаку BGW можно провести дистанционно, не имея физического доступа к SIM-карте. К сожалению, они не стали проводить эксперимент, так как это было бы нарушением законов США. Однако эксперты в области GSM, к которым обратились исследователи из ISAAC, подтвердили возможность практической реализации атаки. Свойства протоколов GSM позволяют выполнять атаку BGW, если удастся создать фейковую базовую станцию BS. Фейковой BS не требуется поддерживать весь протокол GSM, а лишь часть его функций. Атака BGW over-the-air основана на том, что мобильной станции MS требуется ответить на каждый запрос, сделанный сетью GSM. Если сигнал от фейковой BS перекроет сигнал от легальной BS, атакующий сможет посылать запросы целевой MS и воссоздать Ki из ответов, полученных от MS. Стоит отметить, что MS должна быть доступна атакующему на всё время, в течение которого будет проводиться атака. Неизвестно, как много времени занимает атака BGW over-the-air. По оценкам, от восьми до тринадцати часов.

Атаку можно провести в метро, когда сигнал легальной BS не доступен, а телефон включён. Пользователь даже не будет знать о происходящей атаке, лишь факт того, что батарея телефона разряжается быстрее чем обычно, может его насторожить. Атака также может быть проведена по частям: вместо восьмичасовой атаки злоумышленник может посылать запросы в течение меньших периодов времени каждый день, например, когда пользователь идёт на работу.

Marc Briceno, Ian Goldberg и David Wagner подчеркивают тот факт, что несмотря на сложность и затратность такого вида атак, не следует игнорировать возможность их реализации.

Распределённая атака

В мае 2002 группа исследователей из IBM Watson Research Center совместно с исследователями из Swiss Federal Institute of Technology Zurich опубликовали распределённую атаку на COMP128. Она основана на простом анализе потребляемого тока) и позволяет получить ключ за несколько минут. Атака использует малую производительность процессора SIM карты. Так, первая подстановка с помощью таблицы T0 выбирает одно из 512 значений, для выбора одного значения требуется 9 бит. Однако процессор SIM может обратиться только по 8-битному адресу. Для этого таблица должна быть разбита на две части. Исследователи IBM Watson Research Center предположили, что таблица разбита на две равные части. Анализируя энергопотребление SIM карты при различных запросах, исследователи определяли, к какой части таблицы T0 был адресован запрос. Анализируя адресацию и энергопотребление запросов при изменении первого байта RAND им удалось найти K. Проводя похожий анализ для других байт RAND, ключ Ki восстанавливается полностью.

В итоге, атака может быть проведена путём посылки 1000 случайных или 255 определённых запросов. В конце концов атаку свели до 8 самоприспосабливающихся запросов, что позволяет получить Ki за 2 секунды. Однако атака возможна лишь при физическом доступе к SIM карте.

Получение Ki из AuC

Точно такая же атака с целью получения Ki из SIM может быть проведена по отношению к AuC. AuC должен отвечать на все запросы сети GSM и выдавать триплеты, используемые для аутентификации MS. По сути процедура аналогична атаке BGW на SIM. Отличие лишь в том, что AuC намного быстрее SIM обрабатывает запросы, потому что ему нужно обрабатывать в разы большее количество запросов. Безопасность AuC играет большую роль, независимо от того, возможен ли этот тип атак.

Фейковая базовая станция

Важно отметить, что аутентификация в GSM — односторонняя: телефон аутентифицируется базовой станцией, но базовая станция телефоном не аутентифицируется. Этот факт делает возможными атаки, когда третья сторона притворяется легальной BS для одной или нескольких MS. Одним из предположений при разработке GSM заключалось в том, что такого рода атаки будут очень дорогими по сравнению с другими типами атак. Однако стоимость BS быстро упала и в настоящее время нетрудно найти эмуляторы BS. Более того, использование шифрования для текущего вызова происходит не автоматически — сеанс связи устанавливается нешифрованным и лишь потом MS высылается команда, шифровать сеанс или нет. Команда начала шифрования посылается нешифрованной и никак не проверяется внутри сети GSM. Таким образом, используя фейковую BS, можно создать ситуацию, когда сеанс связи MS с фейковой BS не является шифрованным, и легко прослушивается; а связь между фейковой BS и легальной BS является шифрованной. В таком случае, отследить такого рода атаку непросто.