Tajna komórka

Dziś nie można już polegać wyłącznie na standardach sieci GSM. Aby prowadzić bezpieczne rozmowy, należy pomyśleć o dodatkowych zabezpieczeniach.

Dziś nie można już polegać wyłącznie na standardach sieci GSM. Aby prowadzić bezpieczne rozmowy, należy pomyśleć o dodatkowych zabezpieczeniach.

Rozwój technologii obliczeniowej sprawił, że telefonia cyfrowa nie jest już wystarczająco bezpieczna, gdy w grę wchodzą duże pieniądze. Algorytm szyfrujący A5, stosowany w telefonii GSM, został złamany już dawno temu, ponadto sama sieć posiada lukę w bezpieczeństwie – telefon nie sprawdza, do jakiej sieci się loguje. Tęczowe tablice zostały przygotowane także dla najnowszego z algorytmów szyfrowania łącza GSM (A5/3), bardzo szybkie układy FPGA ułatwiają łamanie kluczy (o słabościach bezpieczeństwa sieci GSM pisaliśmy w Computerworld 22/2008).

VoIP + VPN = poufność i dyskrecja

Najtańszym i bardzo skutecznym sposobem na poufny telefon korporacyjny, jest użycie telefonii VoIP wewnątrz kanału transmisji danych VPN. Przed nawiązaniem połączenia VoIP, zestawia się tunel VPN do koncentratora w centrali firmy. Dzięki temu, że rozmowa nie wychodzi poza szyfrowaną i zabezpieczoną sieć firmową, prawdopodobieństwo podsłuchu jest bardzo niskie. Ponadto takie rozwiązanie nie wywołuje ogólnego zainteresowania (w odróżnieniu od certyfikowanych, szyfrowanych telefonów). Aby móc skorzystać z telefonu VoIP, wymagane jest łącze o dobrej przepustowości przy niskich opóźnieniach. VoIP nie będzie działać na łączu GPRS, do komfortowej pracy wymagane jest łącze klasy UMTS.

Tymczasem w biznesie telefon komórkowy zabezpieczony przed podsłuchem jest ważnym narzędziem komunikacji. Gdy w grę wchodzą duże pieniądze, zapewnienie bezpieczeństwa jest więc szczególnie ważne. Zwykle używa się do tego specjalnych telefonów. Telefon szyfrujący rozmowę działa bowiem inaczej niż zwykły telefon komórkowy GSM. Przy zestawianiu połączenia w trybie „tajnym” telefon uruchamia połączenie transmisji danych CSD poprzez sieć GSM do drugiego, takiego samego telefonu, najczęściej w obrębie tej samej sieci. Prędkość transmisji wynosi 9600 bodów, co wystarcza do prowadzenia rozmowy o przeciętnej jakości przy wykorzystaniu nowoczesnych kodeków. Minusem, w porównaniu do typowego połączenia GSM, jest dłuższy czas zestawiania poufnej rozmowy oraz konieczność włączenia usługi transmisji danych CSD.

Do wykrycia ewentualnego ataku typu man-in-the-middle producenci telefonów GSM stosują zaawansowaną kryptografię albo kilkuznakowy skrót, prezentowany na wyświetlaczu telefonu. Aby potwierdzić swoją tożsamość za pomocą wyświetlanego kodu, użytkownicy uzgadniają go głosowo na początku rozmowy. Do szyfrowania wciąż używa się jeszcze AES-128, ale warto rozejrzeć się za rozwiązaniami z dłuższym kluczem. Ponieważ telefon nie wykorzystuje w ogóle kanału GSM, rozmowa taka wymyka się typowym narzędziom podsłuchu. Nawet jeśli strona podsłuchująca zdoła zarejestrować dane przesyłane w tym kanale, nie skorzysta z nich.

Z certyfikatem lub bez niego

Telefony szyfrujące połączenie są używane od kilku lat, także w instytucjach państwowych. Aby mogły być tam wykorzystywane, muszą posiadać pozytywną ocenę Departamentu Bezpieczeństwa Teleinformatycznego ABW. Aktualna lista certyfikacji DBTI dostępna jest pod adresem: www.abw.gov.pl/images/stories/PlikiPDF/lista_LJC_ed35_OKrypto_08-08-2008.pdf. Na niej są wymienione starsze telefony komórkowe ze zmodyfikowanym oprogramowaniem.

Oprócz oficjalnie certyfikowanych przez ABW telefonów, biznes korzysta także z importowanych produktów innych firm. Przykładowo izraelska firma Gold Line Group opracowała oprogramowanie dla telefonów firmy Nokia z systemem Symbian. Szyfrowanie odbywa się za pomocą jednorazowego klucza (256 bitów), zmienianego co sekundę. Program wykorzystuje 4096-bitowy protokół Diffiego-Hellmana oraz 1024-bitowy klucz prywatny, generowany na początku każdego połączenia. Z kolei firma Nabishi UK sprzedaje gotowe telefony komórkowe i stacjonarne, które utajniają rozmowę, a nawet moduł zapewniający bezpieczną komunikację za pomocą dowolnej radiostacji HF i VHF, także w emisji jednowstęgowej. Niekiedy producenci rozwiązań utajniających wybierają modele telefonów innych firm i specjalnie je dostosowują. Tak robi włoska firma Caspertech, a także Navastream. W ofercie obu firm są np. zmodyfikowane telefony z systemem Windows Mobile. Można również spotkać „poufną” wersję telefonu Sagem X8 o nazwie vectroTEL x8.

Producenci rozwiązań szyfrujących dla telefonów GSM

- Gold Line Group

- Nabishi UK

- Caspertech

- Navastream

- Sagem

- Koolspan

- Telenomad*

- Nabishi*

* - telefony satelitarne

Utajnić można także rozmowę przez telefon satelitarny (Thuraya, Iridium, Globalstar). Do tego celu można użyć modułu firmy Telenomad, który stosuje algorytmy Harris Citadel CCX albo AES, oba z kluczem o długości 128 bitów. Mocniejsze zabezpieczenie telefonu satelitarnego oferuje firma Nabishi, sprzedając telefon T2 Thuraya. Jako ciekawostkę warto podać, że producent dopuszcza audyt kodu źródłowego aplikacji przez niezależnych ekspertów.

Korzystając z telefonu satelitarnego, należy mieć świadomość, że obszar, na którym można odebrać emisję związaną z daną rozmową jest znacznie szerszy niż przy sieciach naziemnych. Dlatego ochrona kryptograficzna powinna być o wiele mocniejsza niż mało znany algorytm ze stosunkowo krótkim kluczem.

Karta szyfrująca i smartphone

Ciekawym pomysłem jest karta SD, wyposażona w 32-bitowy procesor RISC. Firma Koolspan przygotowuje kartę TrustChip, zgodną ze standardem SD, wyposażoną w kryptograficzny motor szyfrujący. Karta ta ma być zgodna z systemem Windows Mobile i Symbian i ma szyfrować rozmowę z użyciem algorytmu AES-256. Będzie to znacznie wygodniejszy sposób użycia szyfrowanego telefonu niż zakup kosztownego aparatu z dedykowanym oprogramowaniem. Zapewni także lepsze bezpieczeństwo, gdyż nie jest zależna od programowego generatora liczb losowych, będącego piętą Achillesa rozwiązań szyfrujących dane w urządzeniach mobilnych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200