в можна назвати нестійкість до колізій і можливість проведення часткової атаки (маніпуляції інформацією, «витікає» з SIM під час операцій). мережі не є гнучкими щодо швидкого апгрейда програмно-апаратного забезпечення, особливо це стосується елементів забезпечення безпеки (введення нових криптосистем). Алгоритм А5/3 і алгоритм аутентифікації і генерації ключів GSM-MILENAGE вже доступні, але не поширені повсюдно. Їх широке використання планується при повному переході на мережі 3G.
3. Можливі сценарії атак на систему аутентифікації в GSM мережах
Як і в будь-якій системі шифрування, в системі безпеки GSM найбільший інтерес представляє її стійкість до дешифрування, особливо, якщо, принаймні, один з алгоритмів вже зламаний.
Учені в усьому світі одностайні в думці, що прослуховування, перехоплення і розшифровка даних, переданих по радіоканалу в реальному часі на даний момент поки ще неможливі незалежно від скорочення ключового простору. Але, ймовірно, існують інші способи злому системи, які представляють дійсну загрозу.
.1 Доступ до сигнальної мережі
Алгоритм А5 має низьку криптостійкості до більшості кріптоатак, починаючи з атаки методом грубої сили і закінчуючи атаками, побудованими на застосуванні табличних методів. В даний час вжити лобову атаку нескладно, беручи до уваги доступне зараз обладнання. Однак алгоритм A5 досить стійок для запобігання перехоплення в ефірі і злому шифрування в реальному часі. Тим не менш, в системі GSM вразливим ділянкою є не тільки радіоканал між мобільною станцією і базовою станцією, але й інші інтерфейси передачі даних у мережі.
Передачі шифруються тільки між мобільною станцією і базовою станцією. В мережі оператора трафік передається відкритим текстом.
Якщо зловмисник може отримати доступ до сигнальної мережі оператора, він зможе прослуховувати всі передачі, включаючи самі телефонні дзвінки, а також RAND, SRES і Kc. Сигнальна сітка, використовувана операторами GSM мережі, абсолютно незахищена, якщо зловмисник отримує до неї прямий, наприклад, фізичний доступ. При іншому сценарії зловмисник може атакувати регістр положення домашніх абонентів певної мережі. Якщо зловмисник зможе отримати до нього доступ, він зможе витягти всі Ki абонентів даної мережі. Однак регістр положення домашніх абонентів зазвичай більш безпечний, ніж вся інша мережа, таким чином, він є менш очевидним ділянкою для проникнення.
Отримати доступ до мережі не представляє особливої ??труднощі. Хоча всі базові станції звичайно сполучені кабелем, у деяких з них зв'язок мікрохвильова або супутникова. Отримати доступ до цієї зв'язку відносно просто за наявності відповідного обладнання. Очевидно, саме ця вразливість використовується при прослуховуванні мобільного телефону за допомогою наявного в продажу обладнання. Однак мікрохвильова лінія може бути зашифрована, тому прослуховувати її трохи складніше. Важливо те, намеривается зловмисник зламати шифрування A5, що забезпечує захист сеансу зв'язку окремого мобільного телефону, або шифрування між базовою станцією і контролером базових станцій, який служить загальним вузловим пунктом між усіма базовими станціями оператора для отримання доступу до основної мережі. Також не треба виключати і можливість доступу до кабелю, що йде від базової станції. Це може бути реальною загрозою, і атаку можна проводити непомітно протягом довгого часу, якщо робити це досить акуратно. Прослуховування інформації, переданої між базовою станцією і контролером базових станцій, надасть можливість зловмиснику або прослуховувати дзвінок, прослуховуючи канал, або ж він зможе витягти сеансовий ключ - Kc, для прослуховування каналу, перехоплення дзвінків в ефірі та миттєвої його дешифрування. При відомому Kc, шифрування (і розшифрування) в реальному часі не представляє проблеми.
Не варто виключати й інший підхід. Зловмисник може видати себе за ремонтного робітника, проникнути в потрібну будівлю і встановити прослуховування. Він також може підкупити інженера, і той видасть йому все Ki всіх абонентів цього оператора зв'язку.
3.2 Витяг ключа з SIM
Вся модель безпеки GSM заснована на секретному ключі Ki. Якщо цей ключ скомпрометований, буде скомпрометована і вся інша система захисту. Як тільки зловмисник витягне Ki, він не тільки зможе прослуховувати дзвінки абонентів, але й переадресовувати рахунки за дзвінки на рахунок справжнього власника Ki, так?? ак він може визначити і легального абонента. У мережі GSM для уникнення подібної ситуації передбачена пастка. Якщо два телефони з одним і тим же Ki включаються одночасно, мережа GSM помічає це, виробляє запит про місцезнаходження цих телефонів, зауважує, що один і той же телефон знаходиться в двох місцях одночасно, і закриває рахунок, не даючи можливість дзвонити ні зловмисникові, ні законному абоненту. Але цього не відбувається, якщо зловмисник зацікавлений тільки в прослухо...
