Na začátku prosince publikovali A.Shamir a A. Biryukov útok, který umožňuje v reálném čase a s malými náklady luštit algoritmus A5/1. Profesor Adi Shamir je již legendární kryptolog , jeden z trojice autorů, která publikovala před dvaceti lety RSA algoritmus, vynálezce zařízení TWINKLE (předvedené poprvé loni v Praze) a Alex Biryukov je mladý nadějný matematik, který se jako stipendista loni v květnu zúčastnil konference EUROCRYPT´99, která se konala v Praze. Oba dva pracují ve Weizmannově Institutu v Izraeli.

Abychom lépe pochopili, co oznámení jejich výsledku vlastně pro bezpečnost mobilních telefonů sítě GSM znamená, seznámíme se nejdříve s trochou teorie. Zabezpečení stávajících mobilních telefonů GSM se opírá o autentizaci a zajištění důvěrnosti. Telefonní přístroj v souladu se standardem GSM budeme dále nazývat MT (Mobile Terminal), čipová karta, která se do něj vkládá, se nazývá SIM (Subscriber Identification Module). Po vložení SIM karty do MT máme k dispozici mobilní zařízení ("mobilní telefon"), které se nazývá MS (Mobile Station). Toto zařízení musí být zaevidováno u autentizačního centra (AUC) provozovatele. Norma předpokládá implementaci následujících šifrovacích algoritmů:

nebo A5/2 "slabá verze" komunikačního algoritmu

Některé další detaily viz http://www.scard.org/gsm .

Uživatel stanice MS žádá o přihlášení do sítě po zapnutí MS. Po zadání pinu je spuštěn následující proces - síť od AUC zašle náhodné číslo RND do MS. Zde je číslo RND předáno modulu SIM, který na základě znalosti Ki a v SIM kartě uložených algoritmů A3 a A8 připraví trojici (RND, K3, K8). Hodnoty K3, resp. K8 spočte jako výstup z algoritmů A3 resp. A8 se vstupními parametry RND, Ki, tedy K3 = A3( RND, Ki ) , K8 = A8( RND, Ki ). Tato data jsou předána MT, který část K3 odešle do sítě a klíč K8 uloží zpět do SIM karty. Při požadavku na zahájení šifrovaného spojení je K8 použit jako klíč pro generování hesla algoritmem A5/1 resp. A5/2 .

Útok lze uskutečnit jen tehdy, máme-li k dispozici SIM kartu. Karta se vloží do speciálního klonovacího zařízení spojeného s počítačem (viz obr.). Kartě jsou potom předkládány určité výzvy a analyzovány jsou reakce karty. Celkem je potřeba vznést cca 150 000 speciálně vybraných dotazů. Klonovací zařízení, které zkonstruovali, mohlo vyřídit 6.25 dotazů za vteřinu. K útoku s tímto zařízením je tedy potřeba asi 8 hodin. Pokud útočník vlastnící toto zařízení získá vaši SIM kartu na tuto dobu, je schopen získat klíč Ki v ní uložený a vyrobit klon vaší SIM karty. Může se potom do sítě autentizovat jako vaše SIM karta a účtovat hovorné na váš účet. Detaily tohoto útoku jsou popsány na adrese: http://www.scard.org/gsm/gsm-faq.html .

S pomocí dále popsané procedury se síť GSM snaží zabránit odposlechu hovorů přenášených vzduchem mezi mobilním telefonem a sítí GSM. K tomu slouží proudové šifrovací schéma A5, které využívá dočasný klíč (v našem značení K8), dohodnutý během poslední autentizační fáze.

Data přenášená od MS směrem do sítě a data jdoucí opačným směrem procházejí různými kanály. Data jsou organizována po paketech, v kanálech se seskupují do úseků po 114 bitech a jsou vysílána po doplnění o synchronizační údaje v tzv. burstech.. Tato organizace je zavedena proto, že GSM používá metodu časového sdílení jednoho kanálu (TDMA – Time Division Multiple Access), která v jednom TDMA rámci vyhrazuje osm časových slotů. V každém z nich přitom může probíhat jiná komunikace.

Situace u silnější verze algoritmu je složitější. Problém A5/1 spočívá v tom, že dohodnutý klíč není ve skutečnosti 64bitový, jak se tvrdí, ale pouze 54bitový, a na 64bitový je rozšířen nulami zprava. Toto zúžení klíčového prostoru spolu s dalšími drobnými chybami v návrhu A5/1 je natolik drastickým opatřením, že již dříve bylo ukázáno, že tento algoritmus je teoreticky možné prolomit. Útok byl však časově náročný (zapotřebí bylo něco mezi 2^40 až 2^45 výpočetních kroků) a navíc vyžadoval zachycení 30-ti minutové komunikace, což je pro praktické využití nereálné.

Ve studii profesora A.Shamira a A. Biryukova, která byla minulý měsíc publikována, je popsán útok, který lze realizovat na lépe vybaveném počítači (128 MB RAM a dva pevné disky každý o kapacitě 73 GB), nutné je zachytit prvé dvě minuty hovoru, ve studii popsanou analýzou pak lze nalézt klíč relace za méně než 1 vteřinu ! Protože GSM telefony vysílají frame každých 4.6 milisekundy, znamená to, že dvě minuty konverzace obsahují 120 * 1000/4.6 , tedy méně než 2^15 framů. Počet nutných kroků k nalezení klíče je pak mezi 2^37 až 2^48 . Útok byl verifikován na aktuální implementaci algoritmu A5/1. Soukromí uživatelů GSM telefonů je tak vážně ohroženo. Studii A. Shamira a A. Biryukova lze nalézt na http://cryptome.org/a5.ps .

Podívejme se ještě na jednu všeobecně udávanou vlastnost mobilních telefonů, která tvrdí, že při komunikaci je možná lokalizace uživatele GSM s přesností na několik desítek metrů. Situace ve skutečnosti není tak jednoduchá. GSM se snaží zabránit odposlouchávajícím osobám v lokalizaci konkrétního uživatele MS na základě znalosti jeho síťové identifikace (IMSI) a tím možnosti zaměření jeho mobilní stanice. Při komunikaci se proto přiděluje dočasná identita , kterou si stanice po úspěšném přihlášení do sítě s ní dohodne. Hodnota dočasné identity je přenášena šifrovaná.

Co říci závěrem: šifrová ochrana GSM obsahuje z hlediska ochrany utajovaných skutečností závažné chyby a nedostatky. Rozhodně nelze doporučit u mobilního telefonu GSM ponechání SIM karty bez dozoru . Před předáním do opravy je nutno SIM kartu vyjmout. Při vstupu do některých budov je na západ od naší republiky zvykem mobilní telefon odložit v šatně. Myslím si, že vyjmutí SIM karty, pokud se chceme zdržet delší dobu, není přehnaná opatrnost. Rychlost útoku proti algoritmu A38 totiž závisí především na rychlosti klonovacího zařízení (a samozřejmě rychlostí odezvy MS) a zde se čas útoku 8 hodin dá snížit. Také hovor z mobilního telefonu GSM delší než 2 minuty není možno v současné době z výše uvedených důvodů považovat za bezpečný. Nemyslím si, že tuto dobu bude možné nějak významně zredukovat. Připomeňme si, že útok na A5/1 není založen na rychlosti samotné analýzy (ta je pouze 1s), ale na shromáždění patřičných dat k analýze (2 minuty provozu). Rychlejší počítač tedy tuto hranici bezpečnosti nezmění.