вуванні дзвінків абонента. У цьому випадку, зловмисник може залишатися пасивним і просто прослуховувати дзвінок, залишаючись невидимим для мережі GSM.
Асоціація Розробників Смарт - карт і дослідницька група ISAAC виявили уразливість в алгоритмі COMP 128, яка дозволяла витягувати секретний ключ, Ki, з SIM. Атака робилася на SIM, до якої у них був фізичний доступ, однак, така ж атака застосовна і в ефірі.
Атака здійснювалася за рахунок аналізу великої кількості триплетів Rand - SRES - Kc. Доступ до SIM був отриманий через зчитувач даних з SIM (Smartcard reader), з'єднаний з персональним комп'ютером. З комп'ютера вироблялося близько ста п'ятдесяти тисяч викликів до SIM, на кожен з яких карта генерувала SRES і сеансовий ключ Kc, заснований на виклику і секретному ключі. Секретний ключ можна було відняти з відгуку SRES шляхом диференціального криптоаналізу. Пристрій для читання інформації з SIM - карти, що використовується для реалізації атаки, виробляло 6,25 запитів до карти в секунду, що вимагало близько восьми годин для реалізації атаки. Її результати необхідно було ретельно перевірити.
В даний час у відкритому продажі можна знайти цілий клас пристроїв, призначених для зчитування інформації з інтелектуальних карт. При цьому швидкість звернення до SIM - карті в таких пристроях значно зросла. Також зросла і швидкість відгуку SIM - карт, отже, зараз для обчислення IMSI і Ki, за умови фізичного доступу до SIM - карті, використана дослідницькою групою ISAAC [20] атака вимагала б приблизно від чотирьох до шести годин.
Ця вразливість також має соціальний сценарій (залучення інженера). Можна припустити, що корумпований GSM дилер клонує SIM - карти таким чином і продасть клоновані карти третім особам, які хочуть залишитися невідомими і не бажають купувати справжні SIM - карти. Клонована SIM - карта може також бути продана кому-небудь з метою прослуховування згодом його розмов. Корумпований співробітник також може надати зловмисникові SIM жертви, щоб клонувати SIM і згодом прослуховувати розмови власника карти. Уразливість, виявлена ??в алгоритмі COMP 128, компрометує всю модель безпеки системи GSM і залишає абонентів без захисту.
Докладніше даний вид атаки розглянуто в четвертому розділі дипломної роботи.
.3 Витяг ключа з SIM - карти в ефірі
Дослідники SDA ISAAC впевнені [19, 20], що така ж атака з клонуванням SIM - карти може бути реалізована і використанням віддаленого доступу. Практичного підтвердження їх припущення не отримало, оскільки обладнання, необхідне для цього, незаконно в США. Атака в ефірі заснована на наступному. Потрібно, щоб мобільна станція відгукувалася на кожен виклик мережі GSM. Якщо потужність законного сигналу базової станції перевищена нестандартної базової станції зловмисника, то він може бомбардувати викликами цільової мобільний апарат і реконструювати секретний ключ з відгуків. Мобільна станція повинна бути доступна зловмисникові в ефірі весь час, необхідне для атаки. Невідомо, скільки часу триватиме атака в ефірі, але можна припустити, що від восьми до тринадцяти годин.
Для успішного проведення атаки необхідно створити умови, при яких мобільний телефон буде виробляти спробу аутентифікації в мережі через найближчу соту, коли недоступний сигнал законною базової станції. Абонент може не помітити атаку, хоча той факт, що час роботи телефону істотно скоротилася, можливо, спантеличить його. Атаку також можна реалізувати по частинах: замість того, щоб атакувати протягом десяти годин, зловмисник може впливати на телефон щодня протягом двадцяти хвилин, поки жертва йде на роботу.
.4 Витяг ключа з центру аутентифікації
Така ж атака по витяганню Ki з SIM - карти може бути використана для витягання Ki з центру аутентифікації. Центр аутентифікації не отримує відповідь на запити, зроблені мережею GSM і повертає дійсні трійки для аутентифікації мобільному телефону. Процедура в основному схожа на процедуру отримання доступу SIM - карти в стільниковому апараті. Різниця полягає в тому, що центр аутентифікації набагато швидше обробляє запити, ніж SIM - карта. Безпека центру аутентифікації відіграє велику роль для запобігання можливості атаки, проте теоретична можливість проведення атаки подібного роду все ж існує.
4 Криптографічні атаки на алгоритм COMP 128
Основною метою криптоаналізу алгоритмів A3 і А8 є обчислення секретного ключа Ki, використовуваного як для аутентифікації, так і для генерації ключа шифрування Кс. Так як більшість операторів GSM для аутентифікації і генерації ключа шифрування використовують хеш-функцію СОМР 128, задача обчислення секретного ключа Ki зводиться до інвертування даної хеш-функції.
Як вже згадувалося вище, COMP 128 є закритою криптосистемою. Відповідно, у випадку, якщо б його реалізація стала відома, питання компрометації всієї системи (з урахуванням великої кількості зацікавле...
