dxdt.ru: занимательный интернет-журнал

В СМИ сегодня пишут (вот, например, на “Ленте”), что “хакер взломал GSM”. Речь идёт о работе Карстена Нола (Karsten Nohl), а точнее, речь о завершении важного этапа работы. Подробности реального положения дел такие: атаки на алгоритм шифрования A5/1, используемый GSM для защиты переговоров в радиоэфире, известны уже лет десять. Правда, известны они были скорее в теории, а не на практике. Для получения доступного практичного механизма перехвата и дешифровки GSM-разговоров (SMS, конечно, тоже) в пассивном режиме не хватало предвычисленной базы данных (таблиц ключей), делающей возможным раскрытие произвольного ключа за разумное время.

Нол в 2008-2009 гг. создал проект по генерации нужных таблиц, предложив поучаствовать в создании распределённой вычислительной сети добровольцам. В итоге, сейчас нужные таблицы вычислены общими усилиями и, как утверждают, доступны в P2P-сетях. Тут нужно отметить, что полная “таблица ключей” для A5/1 – требует очень большого объёма для хранения, и огромного машинного времени для вычисления. Поэтому использовался отработанный на “взломах” хешированных (например, MD5) паролей метод: в БД сохранются не все возможные “ключевые варианты” (в таком случае, дискового пространства потребовалось бы слишком много), а лишь определённая их часть, представленная в виде “сжатой” структуры (так называемые rainbow tables), многократно ускоряющей перебор ключей. Это известный в криптологии подход, позволяющий найти “алгоритмический компромисс” между количеством вычислений и объёмом памяти. В данном случае подход, похоже, качественно реализовали на практике (что далеко не всегда удаётся).

Интересно, что для генерации таблиц ключей использовались системы с современными графическими ускорителями (3D-ускорители для игрушек), которые, как известно, позволяют многократно ускорить многие криптографические операции. Вот какая польза от компьютерных игр. (Между прочим, летом 2008-го года с помощью кластера из нескольких сотен Sony PlayStation исследователи реализовали на практике уязвимость в SSL, выпустив полностью валидный, но при этом поддельный SSL-сертификат.)

Кстати, имея соответствующее радиооборудование, получать ключи для дешифрования GSM-трафика можно было и раньше, в активном режиме, используя запрос к телефону с фиктивной базовой станции. Сейчас же речь идёт о быстром пассивном методе: записали трафик из эфира и за какие-то минуты (быстрее?) расшифровали, вычислив ключ.

Генераторы случайных чисел (а они могут быть только аппаратными) часто строят на использовании различных естественных физических эффектов в полупроводниковых электронных устройствах. Как обычно, эти устройства подвержены хитроумным атакам, проводимым через “побочные каналы”.

Например, в работе, доступной по ссылке (Markettos, Moore), исследователи наводят в цепи питания защищённого микроконтроллера “паразитный сигнал” (гармонику) и тем самым эффективно убивают “случайность” генерируемых в микроконтроллере чисел. Речь идёт, главным образом, о микросхемах, используемых в банковских системах (смарт-карты, банкоматы) для генерации случайных чисел (идентификаторов транзакций, ключей шифрования и т.п.).

Атакуемая микросхема генерирует случайные числа, используя набор идентичных электронных осцилляторов. Энтропия строится из сдвигов фаз, естественным образом возникающих между колебаниями осцилляторов из-за влияния на их работу различных внешних факторов (температура и т.п.) и нестабильности самих схем. То есть, каждый “колебательный элемент” в отдельности обязательно будет выдавать колебания, немного отличающиеся от колебаний других, соседних, хоть все они и настроены на одну частоту. Эти различия и служат входной информацией для построения последовательности случайных чисел.

Точно предсказать (смоделировать) различия в работе множества подобных физических осцилляторов на практике невозможно. Поэтому, на первый взгляд, описанная технология генерации “случайности” достаточно надёжна.

Однако введение “модулирующего” сигнала подходящей частоты (близкой, к частоте, на которую настроены “колебательные контуры” генератора случайных чисел) в питание микросхемы приводит к тому, что отдельные осцилляторы быстро синхронизируются между собой с высокой точностью – в результате схема в целом перестаёт выполнять свою функцию, а генерируемые числа становятся легко предсказуемыми. Пишут, что в одной из конфигураций число вариантов уменьшили с 2³² (около 4 млрд) до всего лишь 225. Вполне радикально, так сказать.

Атака “неразрушающая”, модулирующий сигнал находится в пределах норм электропитания микросхемы. Более того, наводить колебания в “питающих каналах” можно дистанционно, облучая, скажем, банкомат СВЧ-полем.

(Лирическое отступление: справедливости ради надо заметить, что, строго говоря, в большинстве своём упомянутые полупроводниковые генераторы тоже не выдают истинно случайные числа, так как используют процессы, теоретически предсказуемые для атакующего, вооружённого большими вычислительными мощностями и подробной информацией об окружающей среде.)

The Register пишет про итальянских исследователей, которые с помощью лазерного “виброметра” научились читать вводимые на клавиатуре компьютера символы. Кроме того, в этой же статье эти же исследователи “читают” PS/2-клавиатуры через линии электропитания.

В первом случае используется анализ звука, производимого каждым нажатием клавиши пользователем, во втором – анализируют электрические “наводки” в электросети, также связанные со срабатыванием клавиш клавиатуры. Для автоматизации распознавания кодов символов используют специальное ПО, вполне ожидаемо работающее со словарём. Интересно, что атаки реализованы с минимальными затратами, измеряемыми сотнями долларов США.

В общем, технологии становятся всё доступнее и доступнее. В данном случае важнее не дешевизна лазеров и высокочувствительных электроизмерительных приборов, а доступность и дешевизна вычислительной мощности. При этом обе атаки известны очень и очень давно. Например, ещё около сорока лет назад анализ акустических шумов, сопровождавших работу шифровальных машин в посольствах США, позволял (по крайней мере, скажем так, теоретически) вычислять используемые ключи. В качестве приёмников шума могли служить скрытые микрофоны, установленные за пределами “шифровальной комнаты”, но внутри посольства (понятно, что разным помещениям в посольствах назначены разные уровни доступа, поэтому где-то “жучок” может установить “человек с улицы”, скажем, уборщик или курьер). Собственно, акустические и электромагнитные “каналы утечек”, описанные в статье, уже давно вошли в учебники по защите информации, а сложное экранирование помещений, предназначенных для работы с секретной информацией, стало реальностью уже не один десяток лет назад.

Но интерес-то статьи в другом: рядовые пользователи не экранируют свои квартиры (ну, за редким исключением) и используют самые обычные клавиатуры (часто вообще – беспроводные). При этом с помощью клавиатур вводятся и “банковские пароли”, и номера кредитных карт. И вот уже почти настал такой момент, когда на оборудование по дистанционному “съёму информации” с ПК этих пользователей уже не нужно тратить десятки тысяч евро, а достаточно спаять “лазерный микрофон” за $200 и раздобыть не самую мудрёную программу-анализатор. (Да, конечно, как и прежде требуется высококвалифицированный специалист, чтобы всё заработало.)

Вот так. Ждём появления средств защиты для массовых пользователей.

(Между прочим, готовое решение – работает против “виброанализатора”: на клавиатуру достаточно привинтить вибратор, который будет ставить помеху по сложному алгоритму. Вполне годится виброзвонок от мобильного телефона.)

На сайте GPGPU, посвящённом вычислениям с использованием графических ускорителей, – подборка ссылок на криптологические продукты, касающиеся перебора MD5 по большей части.

Очевидно, у Касперских действительно уже есть какие-то хитрые криптологические ходы в запасе, чтобы раскрыть ключи шифрующего пользовательские файлы вируса Gpcode. Иначе публиковать приглашение к факторизации 1024-битного ключа RSA “всем миром” – это несколько странно.

А если есть ходы, то получается такой хороший PR (все кому не лень перепечатали ж пресс-релиз) и позже получается закрытый ключ (после применения “хитрых ходов”). Собственно, они же и сами честно пишут:

Имеющейся у компании на сегодняшний день информации достаточно, чтобы специалисты смогли приступить к факторизации ключа.

Понятно, что приступать к факторизации, имея на руках только 1024-битный ключ (если он хороший, конечно) – было бы поспешным решением со стороны специалистов.

Почему всегда полезно записывать представляющий интерес шифрованный цифровой трафик, даже если там используется стойкая криптография, а ключей нет? Потому, что этот трафик, возможно, удастся дешифровать позже, получив дополнительную информацию.

Например, недавно обнаруженная ошибка в Debian OpenSSL привела к тому, что число возможных вариантов ключей, используемых для шифрования с помощью затронутых ошибкой продуктов, снизилось до нескольких сотен тысяч. Ошибка существовала полтора года. Если у кого есть записи старых сессий авторизации или ещё каких-то зашифрованных сеансов связи, то теперь обладатель записей может присесть за компьютер и попробовать расшифровать записи за разумное время простым перебором ключей.

При этом стоимость устройств хранения информации стремительно падает. Если ротировать записанные данные в соответствии со сроком актуальности зашифрованной информации (а её часто можно определить), то хранилище будет обходиться в копейки.

Оказывается, в Debian OpenSSL на днях обнаружили суперсерьёзный дефект: генератор псевдослучайных последовательностей оказался легко предсказуем из-за того, что использовался малый набор возможных инициализирующих значений. Генератор, понятно, служит для генерации криптографических ключей. При этом ошибку, прожившую полтора года, в код внесли удалением двух строчек, раздражавших анализаторы кода. Цитирую Алексея Тутубалина:

Пользуясь случаем, в очередной раз вытираю ноги о миф, что открытость исходников – это путь к надежности. Баге – почти два года, система распространенная, сколько сейчас будет “взломов” (и без кавычек – тоже) – страшно подумать.

Комикс по теме:

(Источник комикса)

The Register пишет о взломе чип-карт Mifare Classic (это бесконтактные чип-карты, используемые очень широко по всему миру для разных задач авторизации).

Интересно, что для выяснения логической структуры “закрытой” микросхемы Mifare, криптологи просто сделали снимки слоёв чипа под микроскопом. Из снимков восстановили “принципиальную схему”, после чего стала понятна логика работы. А уже анализ логики позволил найти серьёзные уязвимости в используемом производителем микросхем криптографическом алгоритме (конечно, это был алгоритм собственной разработки авторов Mifare Classic). С использованием уязвимости, секретный ключ чип-карты вычисляется за несколько минут.

Кстати, восстановление логики работы “секретных” чипов с помощью микроскопа – это весьма старая методика. Например, с помощью электронных микроскопов читали данные в памяти самых первых смарт-карт, ещё, так сказать, на заре их развития. Правда, тогда электронные микроскопы и системы автоматизированной обработки изображений были не столь доступны, как сейчас. При нынешней же дешевизне техники полагаться на “закрытость исходников” разработчикам чипов вообще не стоит.

(Между прочим, в Московском метрополитене тоже используется бесконтактный билет с чипом Mifare, правда, версии Ultralight – это ещё более простая схема, вообще “без криптографии”. Понятно, что чем схема проще, тем легче её изучить с “микроскопом в руках”.)

В блоге Security Fix пишут про новый метод атаки на шифрование GSM (A5/1). Если изложить кратко, то предложен некий полностью пассивный метод (“взломщик” только слушает эфир), позволяющий, в теории, на оборудовании стоимостью около двух тысяч долларов раскрывать шифрованный трафик GSM приблизительно за час. Новизна тут вот в чём: пассивная атака на очень дешёвом оборудовании.