CompassСпутниковая навигационная система представляет собой сложный комплекс, однако логика работы GPS, с точки зрения конкретного приёмника, весьма проста. Приёмник, измеряя разницу между временем поступления сигнала от спутника и временем генерации этого сигнала, определяет расстояние до спутника-источника. Так как координаты спутников в заданный момент времени известны с высокой точностью, приёмник может вычислить собственные координаты. Упрощённое математическое описание: каждый спутниковый сигнал даёт одно уравнение, определяющее геометрическое место точек, где может находиться приёмник; три спутника – позволяют построить систему из трёх уравнений, и, таким образом, найти точные координаты в пространстве (“пограничные” неоднозначности оставляем за скобками). Для вычислений требуется точное время, а большинство приёмников GPS не содержат достаточно точных встроенных часов, поэтому, для удаления неоднозначности по времени, требуется ещё одно уравнение, позволяющее получить точное время – это уравнение даёт четвертый спутник. Таким образом, для высокоточного определения координат приёмнику достаточно сигналов четырёх спутников. Естественно, на практике присутствуют помехи и различные аппаратурные искажения, но логика именно такая.

В GPS не предусмотрено аутентификации навигационной информации. За исключением военного сигнала, который сейчас не станем рассматривать, никакой защиты не предусмотрено. То есть, гражданский GPS-приёмник ориентируется только на полученные “из антенного входа” данные. Уже исходя из этого, несложно догадаться, что если атакующая сторона имеет возможность управлять электромагнитной картиной на антенне приёмника, то она может “нарисовать” для этого приёмника любую виртуальную конфигурацию спутников и, в общем случае, приёмник не сможет отличить виртуальные координаты от подлинных. Такая активная помеха называется GPS-спуфингом, осуществимость продемонстрирована довольно давно. (На практике, из-за того, что “нарисованная” картина не бывает идеальной, некоторые возможности обнаружить спуфинг у приёмника есть.)

Так как сигналы гражданского GPS полностью открыты, то постановщик помехи может генерировать их с опережением по времени. То есть, можно предсказать, каким будет сигнал в заданной точке пространства в заданное время. Этот момент позволяет компенсировать затраты времени на генерацию динамического поддельного сигнала, да и вообще – практически полностью снимает ограничения для системы спуфинга: она может имитировать любые конфигурации спутников и приёмника (военный сигнал тут защищён существенно лучше: спуфинг оказывается ограничен воспроизведением ранее полученных сигналов, но с задержкой).

Система спуфинга будет иметь следующую базовую конфигурацию: генератор сигнала GPS передаёт имитацию сигнала нескольких спутников через антенну, на частоте GPS (в этой системе одна частота используется всеми спутниками, сигналы разделяются при помощи кодирования); при условии, что уровень имитирующего сигнала несколько превышает уровень сигнала реальных спутников, GPS-приёмник будет “захватывать” поддельный сигнал и вычислять положение на его основе. В данной схеме все приёмники, попавшие в зону действия спуфинга, вычислят одни и те же координаты (окажутся в одной и той же “виртуальной” точке пространства), при этом у приёмников, находящихся (реально) в разных местах, автоматически возникнет небольшое рассогласование по времени. Сигнал GPS – периодический, соответственно, даже “статический” спуфинг требует динамической передачи одних и тех же по фактическому содержанию навигационных сообщений. Помеху можно сделать уводящей – такая помеха имитирует перемещение приёмника по заданной спуфером траектории.

Сигнал GPS спроектирован таким образом, чтобы сделать возможным приём на слабом уровне, ниже шумов. Приёмники используют тот или иной коррелятор, позволяющий получить достаточное соотношение сигнал/шум. Это, с одной стороны, означает, что сигнал спуфинга может совсем незначительно превышать мощность подлинного сигнала – коррелятор всё равно “зацепится” именно за него (другими словами: обнаружить факт наличия спуфинга по возросшей мощности сигнала – не выйдет). С другой стороны, GPS-приёмник должен захватить сигнал (это известный всем пользователям GPS процесс), и в дальнейшем работать с захваченными параметрами, сопровождая их. Этот момент сопровождения имеет важное значение: активную уводящую помеху конкретному приёмнику можно поставить так, что срыва сопровождения не произойдёт. Однако в случае с более простым спуфингом, приёмник, оказавшись в зоне действия активной помехи, потеряет сопровождаемый код и будет вынужден захватывать спуфинг-сигнал заново – этот процесс будет заметен. Постановка скрытной уводящей помехи гораздо сложнее, чем наведение статичного спуфинга. А статичный спуфинг будет проявляться в потере сигнала, с последующим восстановлением в совсем другой (имитируемой) точке пространства. Большинство навигаторов устроены крайне просто, поэтому отметка на карте перепрыгнет в произвольное место, заданное системой спуфинга (хотя этот прыжок мог бы обнаружить даже самый примитивный алгоритм).

Для системы спуфинга гражданского сигнала не имеет значения, в какую именно точку пространства “перемещать” попавшие в зону действия помехи устройства: как было отмечено выше, из-за того, что гражданский сигнал никак не защищён, его можно предвычислять без ограничений на достаточно больших интервалах времени.

Технически, система спуфинга может быть построена на основе лабораторного генератора сигналов GPS – такие специализированные устройства есть, они позволяют генерировать картину для большого числа спутников, а предназначены для отладки GPS-приёмников. В простейшем случае, достаточно вывести сигнал генератора на внешнюю антенну. Возможно построение системы спуфинга на основе того или иного набора SDR (Software-defined radio – программно-определяемая радиосистема), для них есть соответствующее программное обеспечение. Примерные затраты – не более 5 тыс. долларов США. Естественно, есть и готовые решения именно для спуфинга.

Нужно отметить, что отдельную проблему представляет создание поля спуфинга, прозрачно действующего на различные устройства, находящиеся, например, в условиях городской застройки: здесь будут мешать отражения сигнала помехи зданиями, а также возникающие радиотени, конфигурация которых для подлинного сигнала, поступающего со спутников, и сигнала помехи – сильно различается.

Не менее интересен и аспект постановки помехи группе приёмников GPS, с сохранением их пространственной конфигурации относительно друг друга. Предположим, что у нас есть три приёмника, которые находятся на расстоянии нескольких сотен метров друг от друга, и расстояния между ними известны. В случае обычного GPS-спуфинга, после того, как приёмники захватят ложный сигнал, они “переместятся” в одну точку. Этот факт может являться основной для построения системы обнаружения спуфинга. Постановка помехи с сохранением конфигурации группы – оказывается чрезвычайно сложной задачей, решаемой, скорее, теоретически, потому что потребуется вычисление индивидуальных поддельных сигналов для каждого приёмника, а также корректная доставка этих сигналов до антенн, что требует точной информации о местоположении последних.

Для обнаружения GPS-спуфинга предложены различные методы. Например, возможно выделение ложного сигнала на основании определения направления на его источник. Определить направление можно сравнивая фазы сигнала на нескольких антеннах. Можно использовать в качестве дополнительного источника информации доплеровский сдвиг частот, это актуально для движущихся объектов. Есть решения, основанные на использовании военного сигнала GPS в качестве опорного (без необходимости знания секретного ключа) – здесь проводится обнаружение расхождений между принятым гражданском сигналом и параметрами военного. (Военный канал, впрочем, может быть просто задавлен шумом.) Достаточно очевиден вариант с инерциальной навигационной системой: такая система автономна, поэтому может обнаружить противоречие в данных, поступающих от GPS-приёмника.

А вот каких-то простых методов противодействия спуфингу – нет. Его только можно относительно надёжно обнаружить, в простых случаях. Впрочем, типичный “навигатор в смартфоне” не умеет делать даже этого, а пользователи продолжают ошибочно считать GPS надёжной системой и слепо полагаться на её данные.



Комментировать »

У постановки помех GPS – история давняя. Это интересная тема. Вообще, что касается именно вопроса точной навигации, то блокирование сигнала GPS имеет свои ограничения: дело в том, что есть инерциальные системы навигации, они автономные, а GPS для них полезна лишь в том смысле, что позволяет скорректировать накопленную ошибку. Но если навигационный сигнал недоступен только на небольшой территории, то ограничения для инерциальных систем становятся не так актуальны: ошибка просто не успеет накопиться.

Но не нужно забывать, что GPS – это не только навигация. Так, в рамках разумной современной модели угроз, постановка помех GPS нужна для того, чтобы заглушить опорный сигнал синхронного времени, который, без помехи, может быть использован в распределённой сети радиоэлектронных устройств, действующих в районе прикрываемой территории. То есть, GPS позволяет синхронизировать с высокой точностью время на разных автономных пассивных устройствах, тем самым эти устройства могут действовать и обрабатывать информацию согласованно.

Реализовать в компактном электронном устройстве систему синхронного времени, обладающую сколько-нибудь высокой точностью (хотя бы миллисекундной) на продолжительных интервалах времени – чрезвычайно сложно: нужны стабильные генераторы частоты, а это не просто большая редкость, но и температурная компенсация/стабилизация, коррекция ошибок, и так далее, и тому подобное. При этом, если устройство пассивное, то в любом случае возникает проблема синхронизации между несколькими узлами сети. GPS является тут просто идеальным решением, так как предоставляет единый сигнал точного времени, независящий от работы принимающих устройств.

Для чего нужно синхронное время? Например, для построения сверхчувствительной распределённой радиоприёмной системы на базе компактных и относительно простых узлов. Для точного определения, на базе нескольких синхронных приёмников, местоположения всяких источников сигналов, причём, к этим сигналам относятся побочные излучения, которые позволяют определять местоположение микроэлектронной техники, для трансляции сигналов не предназначенной. Другая задача – передача данных в том или ином “малозаметном” режиме связи (различные LPI-системы): приёмники и ретрансляторы должны иметь общее время, чтобы правильно настроить параметры корреляции, позволяющие выделить замаскированный сигнал, который для “стороннего наблюдателя” неотличим от шума (синхронное время здесь только один из инструментов, но весьма важный). И это неполный список.

А вот “пропадание навигации” в смартфоне – всего лишь побочный эффект.



Комментировать »

При выборе криптографических средств защиты информации важно определить, в течение какого времени эти информация нуждается в защите. Вот интересная иллюстрация. Предположим, требуется механизм защиты сигнала GPS (или другой спутниковой системы навигации) от подделки (спуфинга). Можно предложить использовать ECDSA, с ожидаемым сроком защиты в десятилетия. Но на практике оказывается, что достаточно использовать некую “сигнальную” криптосистему, обеспечивающую стойкость всего лишь в течение нескольких часов. (Например, это может быть решение, основанное на статистике сигнала.) Казалось бы, криптосистема, которую можно взломать за несколько часов, никуда не годится. Но посудите сами: защита от спуфинга подразумевает, что GPS-приёмник может определить подлинность сигнала, принимаемого в данный момент; какой смысл в подделке аутентификации сигнала GPS, если результат будет отставать на час или два, при том что время здесь учитывается с микросекундной точностью? Никакого смысла. Даже если приёмник и получит такой сигнал, рассогласование по времени позволит его отбросить. (Естественно, остаются варианты с полным переносом атакуемого приёмника в окружение, где время сместилось на “интервал взлома”, но это совсем уж теоретические варианты – вряд ли кто-то, озаботившийся защитой от спуфинга, будет так искажать собственное время в приёмнике. Ну, разве что, если в приёмник пробрался зловред.)



Комментарии (4) »

Credit: Draper.comDARPA заказывает новую программу POSYDON, результатом которой должно стать построение в океане опорной навигационной сети для подводных аппаратов. В качестве подрядчика выбрали Draper (это известная Лаборатория Чарльза Старка Дрейпера, вышедшая из Массачусетского технологического института).

Из описания следует, что речь идёт о размещении в океане неких опорных устройств, которые будут передавать под водой навигационный сигнал, наподобие GPS (последняя, как известно, под водой не принимается – нужно подвсплывать). Подводный аппарат, таким образом, получает возможность вычислять собственное местоположение по принятым сигналам, зная координаты опорных устройств и, соответственно, расстояние до них. Решение предназначено для подводных аппаратов, скрытно проникающих в особо охраняемые области. Конечно, пишут, что и для гражданских применений такая навигация сгодится – в принципе, действительно, можно придумать гражданские аппараты, которым нужна скрытность и которые не должны всплывать для коррекции, дабы не обнаружить своё присутствие.

Кстати, для скрытной коррекции инерциальной навигационной системы аппарата по GPS вовсе не обязательно всплывать всему аппарату, можно выпустить небольшой специальный буй. Опыт подводных лодок показывает, что такой буй даже может отстать от аппарата на значительное расстояние, прежде чем всплыть и, теоретически, обнаружить своё присутствие. Однако наличие опорной навигационной сети переводит ситуацию на иной уровень: этой сетью могут пользоваться миниатюрные, относительно дешёвые аппараты, обладающие при этом большой автономностью. В качестве фантастического варианта – переносимые течениями, и, таким образом, совершенно бесшумные. Инерциальная навигационная система, несмотря на весь прогресс, будет накапливать ошибки. Чем дольше аппарат находится в автономном режиме, без коррекции, тем больше будет ошибка. Традиционные методы привязки координат, опирающиеся на картину рельефа дна, требуют активного измерения этой картины при помощи сонара (пассивная оптика под водой не очень помогает). “Подводный GPS” – напротив, пассивный.

Что касается подводной передачи навигационных сигналов, то, естественно, вряд ли будет использована радиосвязь, по понятным причинам. Акустический сигнал под водой может распространяться на достаточно большие расстояния. Так что, учитывая возможности по цифровой обработке и то, что для передачи навигационных данных не требуется большая информационная ёмкость, схема вполне реальна. Другое дело, что для противодействия могут быть использованы помехопостановщики.

Занятно, кстати, представить, как такой аппарат незаметно забирается в район базирования подводных лодок, залегает там на некоторое время, а после выхода лодки – автоматически прикрепляется к её корпусу (при должном подходе, это вполне можно проделать незаметно). В нужный момент аппарат перестаёт быть пассивным и, по команде, переданной через ту же самую опорную сеть, начинает громко транслировать текущее местоположение лодки в окружающий океан.



Комментарии (3) »

СМИ пишут, что Военно-морская академия США “возвращается к преподаванию астрономической навигации“. Но, похоже, речь всё же идёт о курсах практического обращения с секстантом. Вряд ли астрономическую навигацию не преподавали (как там пишут в статье, якобы, с конца 90-х годов): потому что не понятно, как вообще можно строить курс по навигации, обойдя астрономию. Собственно, для изучения GPS тоже требуется знание астрономических основ (а для подробного изучения – ещё и специальная теория относительности потребуется, да). Тем не менее, сама подача “возвращения секстанта” – занятна. Обоснованием служит наличие киберугроз. Последние стали настолько универсальным “пугателем”, что сейчас разве что выпуск нового сорта мыла не связывают с киберугрозами (видимо, недолго ждать).

Естественно, GPS не является абсолютно надёжным инструментом. Систему можно сломать, особенно если речь идёт о конкретном корабле. Поэтому полагаться только на GPS неверно. Однако кроме секстанта и справочников – есть и другие навигационные инструменты. Более того, чисто астрономические методы также давно автоматизированы: по Солнцу, Луне и звёздам может ориентироваться автомат, снабжённый оптикой и вычислителем.

Секстант, несомненно, полезен, но очень неэффективен. Особенно в случае с современным кораблём, где системы управления всё равно электронные. Полагать, что возможна ситуация, когда определённое вручную местоположение может сыграть какую-то роль на современном корабле, где, видимо, уже отказали все электронные системы, но неуправляемый корпус ещё продолжает куда-то плыть, и вот нужно уже дать ответ на удивлённый возглас капитана “а где же мы?” – ну, это что-то из области литературных рассказов. Хотя, конечно, придумать подобные кинематографические сценарии несложно. Сложно сделать их реалистичными.

Всё это никак не отменяет необходимости изучения секстанта на курсах штурманов. И не отменяет существования других приёмов навигации, кроме как основанных на использовании GPS или секстанта с линейками, циркулями, транспортирами и таблицами.



Комментарии (6) »

Популярная новость – DARPA продвигает разработку новых автоматических систем навигации, независимых от GPS. Основные недостатки спутниковой навигации растут из того факта, что она использует сильно удалённый от навигационного приёмника, внешний “базис” – то есть, сами спутники. Отсюда и возможные проблемы с получением сигнала, который, к тому же, могут испортить разными помехами. С другой стороны, для практически полезной навигационной системы всё равно нужны некие опорные точки, и спутники, передающие навигационный сигнал, не самый плохой вариант. Пожалуй, сошлюсь на старую заметку по этой теме, трёхлетней давности – “Автоматический навигатор, без спутников“.

Вообще, инерциальная система с суперсовременными гироскопами и акселерометрами выйдет весьма точной, особенно для типичных задач применения портативных навигаторов – передвижения по незнакомой местности. Устройство может быть нечувствительно к ударам и разного рода электромагнитным помехам. А если в распоряжении подразделения несколько навигаторов, то они даже могут корректировать друг друга.



Комментарии (3) »

CompasЕсли автомобиль, транспортирующий станцию генерации панорам улиц, записывает ещё и идентификаторы (а также – радиотехнические сигнатуры) точек доступа WiFi, – естественно, с привязкой к местности, – то позже можно построить “навигационное поле”, используя данные о местоположении точек доступа. Не сложно предположить, что по такому навигационному полю, – особенно, если оно задано для “чужой территории”, – полетят беспилотники и прочая ракетная техника. Но насколько такое поле полезно в реальности?

Во-первых, точки доступа тухнут и перемещаются, внося искажения в навигационную карту. Конечно, достаточная плотность и разнообразие устройств уменьшают искажения, но серьёзная навигационная система всё равно должна уметь их, искажения, вычислять. Эта способность, будучи реализованной в программном коде, принесёт с собой ошибки и потенциальные проблемы с навигацией.

Во-вторых, точность навигации по WiFi оставляет желать лучшего: быстрый летательный аппарат просто не сможет использовать такую систему, так как характеристики накопления погрешности превысят все разумные ограничения. Сведения о местоположении точек WiFi могли бы быть полезны какому-нибудь роботу типа “Ленивец”, неторопливо ползущему по стенам домов. Но это весьма экзотическое, в смысле практической пользы, устройство. По сравнению с другими источниками “опорных” радиосигналов, вроде станций GSM и радиовышек, WiFi, в городах, предлагают большее число видимых точек, а также удобный для “захвата” сигнал (из-за используемого кодирования). Но в случае каких-то катастрофических периодов – эти точки исчезнут раньше, чем прочие системы связи.

В-третьих, если вынести за скобки GPS, для беспилотников останутся доступны другие средства навигации, прежде всего – привязка к местности по визуальным ориентирам и рельефу. У наземной робототехники с этим сложнее, но раз у нас всё равно отсняты панорамы улиц, – да ещё, наверняка, с геометрией зданий, – то и наземной технике WiFi особенно не нужен: при должном математическом обеспечении на борту, по зданиям можно ориентироваться даже в случае наличия серьёзных разрушений, а вот WiFi, в таком печальном случае, уж точно станет редкостью.

Тем не менее, так как память для бортовой вычислительной системы сейчас более чем доступна, загрузить в неё и данные по точкам доступа WiFi – вдруг пригодится в какой-нибудь экзотической ситуации?



Комментарии (2) »

Спутники GPS, помимо того, что обеспечивают глобальное позиционирование или, например, общее точное время, ещё и служат платформой для штатовской системы обнаружения ядерных взрывов (другая часть этой же системы находится на несвязанных с GPS геостационарных спутниках). Система, прежде всего, нацелена на мониторинг атмосферных и наземных испытаний, но, в теории, может служить и для детектирования подземных взрывов.

Благодаря тому, что спутников GPS достаточно много и они расположены так, чтобы обеспечивать полное покрытие земного шара, система позволяет вести мониторинг всей планеты в реальном времени. Второй полезной особенностью такой космической платформы является то, что для спутников GPS положение в пространстве известно с высокой точностью. Детекторы, наблюдающие за возможными взрывами, собраны в отдельные модули, которые ставятся на спутники в качестве дополнительной “полезной нагрузки”. Используются оптические сенсоры, приёмники рентгеновского излучения, а также сенсоры, предназначенные для измерения электромагнитных эффектов (ЭМ-импульса) взрыва.

Такое вот использование GPS. Естественно, оптические системы модулей могут послужить и для наблюдения за пуском ракет, в целях предупреждения о ракетном нападении. Впрочем, для этой цели – они вряд ли эффективны.



Комментарии (1) »

(Вынесу сюда из комментов.) Как, в общих чертах, работает спуфинг для GPS? Чтобы разобраться, нужно вспомнить, что такое сама эта GPS в генеральном, так сказать, смысле. GPS позволяет приёмнику определить с высокой точностью расстояние до нескольких спутников, входящих в состав системы. Расстояние вычисляется на основе принимаемых со спутников радиосигналов, ключевыми моментами является знание точного времени, действующего во всей системе (приёмник + спутники), и информация о точном местоположении спутников в каждый момент времени. Дальше – чистая геометрия. Понятно, что для практической работы простого приёмника потребуется четыре спутника (почему, кстати, не три?), до которых известно расстояние, и так далее, и тому подобное.

Спуфинг основан на нескольких особенностях системы (речь о гражданском канале GPS). Во-первых, сигналы и информация об астрономическом движении – открытые, поэтому, используя приёмник, находящийся в какой-то точке Земли, можно точно вычислить сигнальную обстановку GPS в любой другой точке в заданный момент времени (ну, если владельцы системы не внесли специальных помех, да). Вычислить эту обстановку можно с упреждением по времени. Во-вторых, опять же из-за того, что сигналы открытые и незащищённые, а к тому же слабые, требующие накопления для детектирования навигационной информации, можно сгенерировать поддельный сигнал GPS, который будет близок к реальному. Передатчик этого сигнала может находиться на земле, где-то неподалёку от того приёмника, который спуфят – задавить реальный сигнал по мощности несложно. В-третьих, активная помеха должна изменяться, имитируя движение атакуемого приёмника. Соответствующие параметры помехи вычисляются либо заранее, либо в режиме онлайн.

Дальнейшее развитие ситуации, думаю, особых пояснений не требует: приёмник передаёт в систему управления новые координаты, изменяющиеся, система управления старается компенсировать “дрейф” – и беспилотник, который должен был висеть на одном месте, начинает снижаться и, скажем, падает.

Теперь предположим, что навигационная система использует несколько “внешних” источников навигационной информации. Например, GPS + ГЛОНАСС. С одной стороны, такая система может обнаружить расхождение между показаниями, если GPS “подспуфили”. Но не ясно, что в таком случае этой системе делать? Она не может определить, происходит ли спуфинг GPS или, наоборот, ГЛОНАСС. И почему, кстати, GPS заслуживает меньшего доверия, чем ГЛОНАСС? Если отключать навигацию при каждом расхождении показаний, то возникают новые требования к синхронности двух независимых навигационных источников. То есть, дополнительный риск отказа без всякого спуфинга.

Пусть источников для навигации – три. Добавим Galileo. В такой конфигурации можно было бы выбирать два источника, как-то совпадающие в показаниях, до некоторого порога. Проблема в том, что помехопостановщик может один из навигационных сигналов подавить, это даже проще, чем спуфить, а активную помеху поставить любому другому сигналу.

Теоретически, побороться с такой неприятной проблемой можно при помощи криптографии. Допустим, навигационные сигналы подписаны, открытый ключ для проверки зашивается в приёмник (в навигатор, хорошо), вместе с картами. Ключ можно обновлять и менять. Схемы отработаны. Теперь приёмник может определить, что он принимает поддельный сигнал. Это, правда, никак не помогает бороться с глушением сигнала полностью, но исключает проблему с “перехватом” управления тем или иным устройством, которое полагается только на спутниковую навигацию. Впрочем, в случае с криптографией, наложенной на слабые сигналы, возникает целый ряд новых проблем: как быстро проверять подпись? какой временной “фрейм” подписывать (понятно, что нельзя удостоверять каждую микросекунду сигнала)? и так далее. Поэтому, автономная инерциальная навигационная система, в качестве опорной, всё равно не помещает. Тем более, что спуфинг можно обнаруживать даже простым акселерометром.



Комментарии (19) »
Навигация по запискам: Раньше »