Ostatnią znaną wersją jest algorytm COMP128-4, oparty na algorytmie MILENAGE, stosowanym także w systemie UMTS, który posługuje się jedną z najbardziej zaawansowanych technologii szyfrujących AES. Specyfikacje GSM zalecają jednak niewiązanie tego algorytmu z grupą COMP128 i stosowanie dla niego nazwy GSM-MILENAGE. Algorytm MILENAGE jest otwarty, tzn. jego opis jest dostępny w specyfikacjach 3GPP.

W świetle powyższych zmian niezrozumiałym pozostaje fakt, że większość operatorów sieci GSM nadal stosuje wyłącznie złamany algorytm COMP128-1. Wprowadzenie nowych algorytmów A3/A8 nie powinno bowiem (z technicznego punktu widzenia) przedstawiać większych trudności, ponieważ większość centrów autentykacji (AuC) pozwala na zaimplementowanie i jednoczesne stosowanie w sieci wielu różnych algorytmów.

Algorytm używany przez konkretnego abonenta może być w takim przypadku identyfikowany za pomocą numeru IMSI przypisanego do konkretnej karty SIM. Stwarza to dogodną możliwość stopniowej wymiany algorytmów poprzez wprowadzanie nowych kart SIM i jednoczesne wycofywanie z sieci starych.

Nowe wersje algorytmu A5

Już w 1997 r. przewidziano w zaktualizowanych normach systemu GSM zwiększenie liczby możliwych wersji algorytmu szyfrującego A5 do siedmiu (A5/1-A5/7). Jednak dopiero złamanie silnego szyfrowania A5/1 zaowocowało stworzeniem nowego szyfru strumieniowego dla GSM. W roku 2002 opublikowano nową, dużo silniejszą wersję algorytmu A5 (nazwaną A5/3). Wersja ta oparta jest na tzw. algorytmie Kasumi9 – tym samym, który jest używany w sieciach trzeciej generacji UMTS. Klucz szyfrujący ma długość 64 bitów. Kod algorytmu jest tym razem otwarty, więc można mieć nadzieję, że jego ewentualne słabe punkty mogły zostać poznane i wyeliminowane przed wprowadzeniem algorytmu do stosowania w sieciach GSM. Jak do tej pory, niewiele sieci GSM wprowadziło ten algorytm do użytku i w niewielu telefonach został on zaimplementowany.

A co z innymi systemami?

System GSM obejmuje obecnie ponad 80% światowego rynku telefonów komórkowych. Na drugim miejscu znajduje się niestosowany już w Europie amerykański system IS-95, oparty na wielodostępie CDMA (Code Division Multiple Access), którego penetracja wynosi ok. 10%.

Z racji transmisji w tzw. widmie rozproszonym standard CDMA jest dużo bardziej odporny na podsłuch niż systemy oparte na wielodostępie TDMA, takie jak GSM, znajdujący się na trzeciej pozycji amerykański D-AMPS (3,6%), czy też japoński PDC (2,3%). Trudność w systemach CDMA sprawia już samo wykrycie sygnału, który swoim poziomem praktycznie nie odróżnia się od szumu radiowego. Niestety nic nie jest doskonałe a systemy te również mają pewne kłopoty z bezpieczeństwem – wszystkie stosowane w nich algorytmy służące autentykacji i szyfrowaniu głosu oraz danych okazały się podatne na ataki kryptoanalityczne już w połowie lat 90. Na przykład telefony standardu CDMA podlegają klonowaniu w podobny sposób jak karty SIM w systemie GSM.

Doświadczenia związane z realizacją funkcji bezpieczeństwa w systemach drugiej generacji, zebrane w trakcie ich wieloletniego użytkowania, zostały wykorzystane do kolejnego podniesienia poprzeczki w systemie trzeciej generacji UMTS, który w zasadzie dopiero się rozwija. Sieci tego systemu działają już jednak w wielu krajach, m.in. w Polsce. Główne elementy modelu bezpieczeństwa UMTS zostały przeniesione z systemu GSM [2].

Bezpieczeństwo zasadza się więc na rozdziale funkcji terminala od funkcji abonenckich, które reprezentuje karta USIM (analog karty SIM w GSM) i przydzielony jej klucz abonencki, tzw. master key, który rezyduje także po stronie sieci w bazie AuC. Wprowadzono jednak również nowe elementy, takie jak obustronna autentykacja czy też sprawdzenie integralności przesyłanej informacji.

Model bezpieczeństwa UMTS ma docelowo obejmować pięć grup procedur:

• procedury bezpieczeństwa dostępu do sieci zapewniają abonentowi bezpieczne korzystanie z usług trzeciej generacji oraz zabezpieczają przekaz informacji na interfejsie radiowym;
• procedury bezpieczeństwa domeny sieciowej umożliwiają bezpieczną wymianę informacji pomiędzy węzłami sieci UMTS, chroniąc system przed atakami na łącza naziemne;
• procedury bezpieczeństwa użytkownika zabezpieczają przed niepowołanym dostępem do telefonu i jego funkcji;
• procedury bezpieczeństwa aplikacji zapewniają bezpieczną wymianę informacji pomiędzy aplikacjami rezydującymi w terminalu użytkownika oraz po stronie sieci (np. na serwerach operatora, dostawców usług lub dostawców treści);
• procedury widoczności poziomu bezpieczeństwa i jego konfigurowalności dla poszczególnych usług zapewniają użytkownikowi informacje o poziomie zabezpieczeń i umożliwiają włączanie/wyłączanie konkretnych funkcji bezpieczeństwa.

Większość słabych punktów, jakie posiada system GSM, została w systemie UMTS wyeliminowana. Porównanie różnych aspektów bezpieczeństwa w obu systemach pokazano w tabeli 1.

Czy sieci komórkowe są bezpieczne?

Odpowiedź na to pytanie zależy od tego, który z wielowymiarowych aspektów bezpieczeństwa mamy na uwadze. Poziom bezpieczeństwa jest często wynikiem kompromisu pomiędzy wygodą użytkownika, kosztem zabezpieczeń, ich zaawansowaniem technologicznym oraz funkcjonującymi regulacjami prawnymi.

W artykule pokazaliśmy, że wszystkie zabezpieczenia, jakie oferował model bezpieczeństwa GSM, zostały złamane lub, w najlepszym razie, naruszone. W kolejnym, ostatnim artykule z tego cyklu spróbujemy pokazać, jakie zagrożenia wiążą się z użytkowaniem telefonii komórkowej w firmie i jakie działania w tym zakresie powinien podejmować CSO.

<hr>

Literatura

1. A. Simon, M. Walczyk, "Sieci komórkowe GSM/GPRS. Usługi i bezpieczeństwo", Wydawnictwo Xylab, Kraków 2002, ISBN 83-917724-0-3.
2. J. Kołakowski, J. Cichocki, "UMTS. System telefonii komórkowej trzeciej generacji", WK¸, Warszawa, 2003.

<hr>

Przypisy

1. Bezpieczeństwo poprzez niejawność.
2. Internet Security, Applications, Authentication and Cryptography.
3. Po takim wywołaniu łatwo już uzyskać prawdziwą tożsamość użytkownika w postaci jego numeru IMSI.
4. Od momentu wykrycia tej możliwości ataku IBM współpracuje z wytwórcami kart SIM w celu zapewnienia odpowiednich zabezpieczeń dla nowo produkowanych kart.
5. Zgodnie z normami systemu GSM szyfrowanie informacji nie jest obowiązkowe.
6. Dosł. "człowiek pośrodku (transmisji)".
7. Dla wersji A5/2 algorytmu szyfrującego złożoność czasowa wynosi 216. Wartość ta czyni tę wersję algorytmu całkowicie bezużyteczną, mając na uwadze obecny stan rozwoju sprzętu komputerowego.
8. W oryginalnym eksperymencie klucz Kc uzyskiwano w ciągu 1 s po obróbce 2-minutowego fragmentu transmisji lub w ciągu kilku minut po obróbce 2-sekundowego fragmentu transmisji.
9. Słowo kasumi oznacza w jęz. japońskim mgłę.