Несколько лет назад вскрылись факты того, что ЦРУ давно внедрилось в швейцарскую компанию Crypto AG, крупнейшего мирового производителя криптооборудования. Сейчас ФСБ навязывает российским гражданам отечественную криптографию, где тоже подозревается наличие бэкдора на уровне алгоритма.
Ещё одна интересная история — с алгоритмами шифрования GPRS, которые до сих пор поддерживаются в большинстве телефонов, включая Apple iPhone, Samsung Galaxy, Huawei P-серии , OnePlus и многие другие.
GEA-1 и GEA-2 — проприетарные алгоритмы шифрования, которые широко использовались в 1990-е и 2000-е годы для шифрования интернет-трафика в мобильных сетях 2G по стандарту GPRS. Ради обратной совместимости почти все современные смартфоны сохраняют поддержку этих протоколов.
Некоторые относительно современные чипсеты и смартфоны с поддержкой GEA-1 и GEA-2:
Международная группа криптографов из Германии, Франции и Норвегии в преддверии криптографической конференции Eurocrypt 2021 подготовила доклад «Криптоанализ алгоритмов GEA-1 и GEA-2 в шифровании GPRS», в котором довольно подробно описывает явную уязвимость в алгоритмах.
Нужно ещё раз подчеркнуть, что алгоритмы были проприетарными, то есть с закрытым исходным кодом. У независимых специалистов не было возможности изучить их до настоящего времени.
Консервативные академические исследователи в своей научной работе не высказывают напрямую мнение, что вот эта конкретная уязвимость сделана специально, то есть задумана и реализована как бэкдор. Но это довольно очевидно. Вот прямая речь Мэттью Грина, адъюнкт-профессора криптографии в университете Джонса Хопкинса:
Для телефонных стандартов 90-х годов было «нормально», что шифрование трафика обеспечивают два проприетарных шифра: GEA-1 и GEA-2. Сотовая связь считалась очень экзотической сферой применения для криптографии.
В те времена действовали строгие правила экспорта криптографических инструментов из США. Принудительное ослабление криптографии при экспорте из США стало стандартной практикой во время холодной войны и сохраняется до сих пор для стран-изгоев.
К примеру, первая версия SSL использовала шифр RC4 и 128-битные ключи, но в начале 1990-х законы США не разрешали экспортировать криптосистемы, использующие 128-битные ключи. Длина самого большого ключа, дозволенного для использования в экспортных версиях ПО, составляла 40 бит. Исходя из этого, компания Netscape разработала две версии своего браузера. Версия для потребителей внутри США предполагала использование ключа размером в 128 бит. Такое положение вещей продолжалось до 1996 года, когда Билл Клинтон перенёс коммерческое шифрование из Списка вооружений в Список торгового контроля. Так и закончились криптовойны.
Суть уязвимости
В данном случае язвимость в шифровании имеет отношение к умышленному ослаблению шифрования для преодоления экспортных ограничений. То есть это своеобразное «эхо войны» — отголосок тех времён, когда к криптографии относились, как к оружию.
По конструкции алгоритма GEA-1 должно быть 264 внутренних состояний. Но дизайн системы спроектирован таким хитроумным образом, что на практике возможно только 240 состояний.
И самое главное, что такой дизайн системы вызван несколькими параметрами, которые очень маловероятно могли быть прописаны случайно.
Кто-то может подумать, что разница между 264 и 240 не такая большая, но она сокращает количество вариантов для подбора секретного параметра в 16 777 216 раз.
2^40 = 1099511627776
2^64 = 18446744073709551616
В процессе реверс-инжиниринга была попытка реализовать аналогичный алгоритм с помощью генератора случайных чисел, но в итоге так и не получилось приблизиться к созданию такой же слабой схемы шифрования, как та, которая была использована на самом деле. Это очевидно показывает, что слабое место в GEA-1 не могло возникнуть случайно.
Благодаря ослабленной защите, атака позволяет на основе перехваченного трафика восстановить ключ, используемый для шифрования данных, а затем расшифровать предыдущий трафик.
Кто поставил бэкдор
Зачем вообще был нужен бэкдор для расшифровки мобильного трафика GPRS? Дело в том, что в те времена сайты очень редко использовали сертификаты SSL/TLS, поэтому основная часть трафика шла в открытом виде. Так что если у вас был мобильный телефон в конце 90-х или начале 2000-х, то чтобы избежать прослушки, вы полагались на эти алгоритмы — GEA-1 и GEA-2, встроенные в GPRS.
Чтобы соответствовать политическим требованиям, миллионы пользователей во всём мире в течение многих лет во время сёрфинга пользовались ослабленной защитой. Другими словами, правительства разных стран в политических интересах поставили под угрозу безопасность простых граждан.
В основном это разведывательные службы стран Евросоюза. Вот список с официального сайта:
По факту европейские спецслужбы воспользовались американским экспортным законодательством, чтобы внедрить удобный бэкдор для расшифровки мобильного трафика.
В новой версии GEA-2 уже нет такой уязвимости. Тем не менее, получилось расшифровать трафик GEA-2 с помощью более технически сложной атаки. Это в свою очередь означает, что GEA-2 тоже «не обеспечивает достаточно высокий уровень безопасности по современным стандартам».
Судя по всему, бэкдор в GPRS — это один из последних отголосков холодной войны и ограничений на экспорт сильной криптографии. Будем надеяться, что в будущем такие несуразности станут невозможны — и политики перестанут использовать граждан как «заложников» в своих играх. Хотя вероятность такого сценария ничтожно мала.
Современные смартфоны
Хорошая новость заключается в том, что GEA-1 и GEA-2 практически не используются после того, как поставщики сотовых телефонов приняли новые стандарты 3G и 4G.
Плохая новость: хотя ETSI запретил операторам использовать GEA-1 в 2013 году, де-факто поддержка GEA-1 и GEA-2 сохраняется в большинстве современных аппаратов, поскольку GPRS по-прежнему используется в качестве запасного варианта в большинстве стран и сетей сотовой связи.
Сегодня в центре города вы передаёте данные по 4G/LTE, используя протоколы шифрования GEA-3 и GEA-4. Но мобильные телефоны по-прежнему поддерживают GEA-1. И существуют сценарии, когда смартфон можно принудительно переключить в режим GEA-1.
Например, хакер может через оператора связи или фальшивую базовую станцию перевести ваш смартфон в режим 2G/GPRS (GEA-1) — и взломать алгоритм шифрования.
Это не гипотетическая, а реальная угроза. Те фальшивые базовые станции, которыми пользуются спецслужбы, реально ухудшают шифрование смартфонов до уровня 2G/GPRS. Поскольку эти скомпрометированные протоколы поддерживаются в большинстве современных смартфонов, бэкдор по-прежнему работает.
Уязвимости подвержены все смартфоны, поддерживающие устаревший протокол. Схема аутентификации спроектирована таким образом, что через эксплоит GEA-1 можно расшифровать трафик, зашифрованный с помощью более современного шифра, такого как GEA-3
Бэкдор в GSM — наверняка не последний «подарочек» от государства. Эта конкретная уязвимость — эхо холодной войны. Но в реальности практически любое общество вынуждено искать компромисс между свободой и безопасностью.
По логике спецслужб, чем больше надзора за населением — тем лучше для безопасности. Различные средства криптографии, шифрования и анонимности «мешают» им работать. Наверное, для максимального порядка и безопасности граждане должны выходить в интернет по паспорту, в назначенное время и по утверждённому списку URL.
Естественно, любые оставленные государством уязвимости и бэкдоры используются и преступниками: коррупционерами среди сотрудников госорганов, приближёнными лицами у «кормушки», другими преступными группировками.
Здесь ситуация ничем не отличается от положения с «персональными данными» — если гражданин доверил конфиденциальные данные государству, это практически не отличается от их публикации в открытом доступе. Мы постепенно приближаемся к тому, что каждому человек, для сохранения персональных данных в секрете, придётся создавать несколько профилей, периодически меняя цифровые личности.
Есть мнение, что будущее интернета — за пиринговыми mesh-сетями на базе блокчейна, где каждый человек контролирует персональную информацию в рамках своего «контейнера», делегируя отдельные фрагменты данных и властные полномочия избранным нодам в необходимой степени. Что из этого выйдет - увидим в ближайшем будущем.
https://teletype.in/@hacker_place/A6WOJOEtHCJ