Слабость это сила

(Декабрь 2010)

Откровенно слабая криптография в автомобилях и телефонах – как повод для разговора о специфической ситуации с защитой информации.

NSA Prism illustration

Согласно статистическим данным, не так давно опубликованным немецкой страховой ассоциацией GDV, в 2009 году количество угонов автомобилей на территории Германии вновь начало возрастать. Этот факт выглядит особенно неприятным по той причине, что в течение 15 предыдущих лет цифры автоугонов по стране неуклонно снижались.

С другой стороны, перелом в тенденции никак нельзя считать неожиданным, поскольку темпы снижения числа угонов последние годы неуклонно падали. Так, если в 2006 число похищенных машин по сравнению с предыдущим годом снизилось больше чем на 20%, то в 2007 – уже на 13%, а в 2008 – всего на 2,2%.

Понятно, что за столь отчетливой динамикой должны стоять какие-то вполне конкретные причины. В итоговом отчете страховой индустрии предпочли этой темы не касаться, ограничившись лишь сухими калькуляциями потерь, согласно которым в ФРГ общая сумма выплаченных за угоны компенсаций в 2010 г. возросла на 15,9 процентов до суммы порядка 315 миллионов евро.

Если же говорить о специалистах по системам безопасности, то для них обозначившаяся картина с ростом автоугонов выглядит вполне объяснимой. А чтобы и для всех остальных эта картина стала понятнее, надо просто чуть повнимательнее присмотреться к нынешнему положению дел с противоугонными технологиями.

Крутой перелом в общей ситуации с хищениями автомобилей был достигнут в середине 1990-х (т.е. 15 лет тому назад) благодаря переходу на особо эффективные средства противоугонной электроники — так называемые иммобилайзеры или «обездвиживатели» машин с динамически изменяющимся кодом защиты (иначе, rolling code, как это обычно называют на англоязычный манер).

Общая суть устройства иммобилайзера достаточно проста. Когда водитель современного автомобиля собирается завести двигатель, встроенный в брелок ключа машины RFID-чип передает в эфир специального вида зашифрованный сигнал. Если приемник машины распознает этот сигнал как «свой», то он отвечает отправкой соответствующего зашифрованного сигнала в ECU, компьютерное управляющее устройство транспортного средства, которое разрешает машине начать работу. Если же сигнал от брелка поступает «не тот» (или его вообще нет), то ECU включить двигатель не позволит.

С точки зрения стойкости к атакам, принципиально важный этап данной технологии был достигнут тогда, когда изготовители иммобилайзеров перешли на «rolling code». То есть вместо уникальной, но постоянной для каждого автомобиля комбинации доступа (легкой для перехвата и имитации), стали использовать все время меняющуюся последовательность битов, динамически и синхронно вырабатываемую криптогенератором в брелке и в машине для каждого нового сеанса связи. Соответственно, с этого момента стойкость всей системы защиты стала принципиально зависеть от стойкости криптографии, положенной в основу генерации «ключа доступа».

Но один из важнейших принципов криптографии гласит, что методы вскрытия (или обхода) шифров с годами никогда не становятся хуже и, более того, постоянно лишь улучшаются. То и дело появляются новые, неизвестные прежде способы взлома, а вычислительная мощь компьютеров, используемых для криптоаналитических атак, стабильно и быстро растет в соответствии с законом Мура.

Иначе говоря, та криптография в иммобилайзерах, что полтора десятка лет назад представлялась для угонщиков почти непреодолимой технической проблемой (если не брать в расчет элементарную кражу ключей), на сегодняшний день оказывается безнадежно устаревшей и неадекватно слабой.

Эксперты убеждены, что именно в этом, практически наверняка, и лежит причина нынешней беды с заметным ростом автоугонов. Просто угонщики за последние годы освоили и начали в массовых количествах применять технические средства для обхода защиты иммобилайзеров. Далеко уже не первым, но по времени самым недавним подтверждением этой идеи стало выступление известного германского хакера Карстена Ноля (Karsten Nohl) на конференции ESCAR-2010 (или развернуто Embedded Security in Cars — «Встраиваемая безопасность в машинах»), проходившей в ноябре 2010 в городе Бремене.

Областью специализации Ноля (а также темой его диссертации) являются криптографические средства защиты информации в миниатюрных и мобильных устройствах. На страницах сайта уже не раз рассказывалось о заметных работах этого исследователя по взлому криптоалгоритмов в RFID-чипах Mifare, в радиотелефонах DECT и в системе мобильной связи GSM. На конференции же ESCAR Карстен Ноль рассказывал о вскрытии криптозащиты в широко используемых противоугонных иммобилайзерах на базе чипов HITAG2, изготовляемых голландской фирмой NXP Semiconductors.

Эта же компания (в прошлом полупроводниковое подразделение Philips), можно напомнить, выпускает и чипы Mifare, массово применяемые по всему миру в проездных транспортных билетах, социальных-льготных картах и бесконтактных баджах-пропусках для автоматизированного контроля доступа на объекты.

Поскольку Ноль был одним из тех хакеров, кто несколько лет назад провел обратную инженерную разработку секретной криптосхемы в чипах NXP (продемонстрировав в итоге очевидную слабость скрытого там криптоалгоритма), то для него не составило особого труда и восстановление фирменного (или, как еще ныне говорят, проприетарного) алгоритма в HITAG2. На все про все, как говорится, у специалиста ушло – по его собственным оценкам – порядка 6 часов.

Как и обычно это бывает со всеми проприетарными алгоритмами шифрования, стойкость его ко взлому оказалась несравнимо ниже, чем у общепринятого криптостандарта AES. Иными словами, поскольку практически вся безопасность данной системы сводится к секрету устройства фирменного криптоалгоритма, то – как только он становится известен – безнадежно скомпрометированными оказываются все иммобилайзеры, построенные на основе чипа HITAG2.

Здесь пора напомнить, что несколькими годами ранее совершенно аналогичным образом были скомпрометированы и слабые проприетарные криптоалгоритмы в чипах KeeLoq и Texas Instruments. То есть в наиболее популярных в мире системах, совокупно с HITAG лежащих в основе практически всех иммобилайзеров, применяемых ныне в современных машинах.

В частности, еще в 2005 году американская команда исследователей из лаборатории RSA Labs и Университета Джонса-Хопкинса продемонстрировала, что у них ушло всего лишь около 1 часа времени на вскрытие криптографии в чипе иммобилайзера от Texas Instruments. Однако по некоторым причинам убедить автоиндустрию в слабости применяемой криптографии и в необходимости перехода к сильным стандартным алгоритмам оказывается делом необычайно сложным.

По многочисленным свидетельствам хакеров-криптографов, вскрывавших слабые алгоритмы в иммобилайзерах, в индустрии упорно считают электронный хакинг относительно малой проблемой в сравнении с более прямыми способами хищения автомобилей: «Обычная их реакция такова, что гораздо дешевле использовать грузовик с платформой, чем возиться с электроникой».

Изготовители же чипов, со своей стороны, отреагировали на угрозу вполне адекватно. И в NXP, и в Texas Instruments уже давно разработаны и выпущены соответствующие чипы на основе стойкого криптоалгоритма AES со 128-битным ключом. Однако в автоиндустрии большинство машин по-прежнему все еще оснащается противоугонными системами с 40- или 48-битными ключами. Какова причина этого — просто сила инерции или же что-то еще, достоверно неизвестно. Сами же участники процесса выражаются по данному поводу довольно туманными фразами.

Корпорация NXP, к примеру, в таких выражениях прокомментировала ситуацию в одном из своих пресс-релизов по поводу взлома HITAG2 (раздел вопросов-ответов):

Вопрос. HITAG2 широко используется в автомобильной индустрии для иммобилайзеров – есть ли теперь какая-либо угроза для безопасности автомобилей?
Ответ. HITAG2 – это один из вариантов среди различных криптоалгоритмов, используемых для обездвиживания машин. Компанией NXP в 2005 году представлена рынку система HITAG PRO – решение для иммобилайзера, основанное на криптостандарте AES с длиной ключа 128 бит. Предлагаемые нами продукты постоянно согласовываются с запросами и требованиями наших клиентов. Поскольку NXP не дает комментариев о стратегии клиентов, мы не будем делать никаких заявлений относительно того, какие из криптосистем используют те или иные изготовители машин…

Не имея фактов и документов, вряд ли имеет смысл гадать о причинах, сдерживающих внедрение сильной криптографии в автомобилях. Но ничто не мешает осмотреться вокруг и заметить, что очень похожие по сути процессы происходят и в других областях. К примеру, в мобильной сотовой связи.

* * *

В блоге еще одного известного германского хакера, Харальда Вельте (Harald Welte), недавно появилась статья, в которой рассказывается довольно любопытная «история изъятия криптоалгоритма A5/2».

Иными словами, не найдя в интернете подробного и связного изложения истории о том, когда именно и каким образом слабый криптоалгоритм A5/2 был удален из сетей GSM-телефонии и из самих GSM-телефонов, Вельте решил сделать это сам. И вот что у него получилось.

Большую и тщательно документированную хронологию можно найти на сайте security.osmocom.org. А в кратком изложении суть истории такова.

Под названием A5/2 (если кто не в курсе) принято понимать «эфирный» алгоритм шифрования, который использовался для защиты речи на участке между сотовым телефоном и базовой станцией в определенных сетях GSM примерно до 2005-2007 годов.

A5/2 был введен и специфицирован как криптоалгоритм на основе принципа «безопасность через неясность» (security by obscurity) — за закрытыми дверями в конце 1980-х годов. Он преднамеренно был сделан слабее, чем его (и без того уже слабый) собрат A5/1. Идея заключалась в том, чтобы продавать в страны восточно-европейского блока только оборудование с A5/2, в то время как не настолько слабое шифрование A5/1 использовалось бы в западноевропейских странах.

Алгоритм A5/2 был восстановлен методами обратной инженерной разработки и опубликован в конце 1990-х. Вскоре он привлек значительное внимание со стороны известных криптографов вроде Иэна Голдберга и Дэвида Вагнера (Ian Goldberg, David A. Wagner). В аналитической статье этих исследователей, появившейся в 1999 году, уже было сделано оценочное предположение, что защиту A5/2 можно вскрывать «влет» — т.е. прослушивать разговоры в реальном масштабе времени.

Понадобилось опубликовать еще несколько статей на эту тему, прежде чем в августе 2003 года инстанции, внедряющие системы GSM (ETSI/3GPP/GSMA), наконец осознали, что здесь имеется проблема. Причем проблема оказалась даже хуже, чем предполагалось поначалу. Поскольку генерация ключа для A5/1 и A5/2 одна и та же, значит, есть и возможность для «полуактивной» атаки, которая понижает уровень защиты и позволяет вскрывать ранее записанные зашифрованные звонки, защищенные с помощью «сильного» A5/1. Единственным решением этой проблемы было удаление A5/2 из всего оборудования, что гарантировало бы невозможность понижения уровня защиты.

Начиная с 2004 года рабочие группы ассоциаций 3GPP и GSMA, имеющие отношение к безопасности, размышляли об изъятии A5/2, а в следующие годы они убедили-таки свои соответствующие инстанции (руководство 3GPP, GSMA), а таким образом и непосредственных членов организации (операторов связи, производителей оборудования) исправить эту проблему.

С тех самых пор отлично известно, казалось бы, что использование одной и той же процедуры генерации ключа для разных алгоритмов позволяет осуществлять атаки через понижение уровня защиты. Тем не менее, генерацию ключа для тогда еще нового и более сильного алгоритма A5/3 оставили немодифицированной. Так что теперь, когда за последние годы уже полностью взломан A5/1 (при непосредственном участии известного нам Карстена Ноля), даже если операторы используют A5/3, та же самая модель с атаками через понижение уровня до A5/1 может применяться снова…

Чтобы сделать эту историю более наглядной, Харальд Вельте особо отмечает следующие колоритные моменты в хронологии изъятия A5/2.

– Понадобилось время с 1999 по 2007 год, прежде чем эта зияющая дыра в безопасности системы была залатана. Воистину оперативная реакция на опасность.

– Неназываемые в документах «североамериканские операторы» были самыми ярыми противниками удаления поддержки A5/2 из своих сетей. Это особенно интересно и странно по той причине, что операторы США всегда имели доступ к A5/1.

– Поскольку неминуемый взлом более безопасного A5/1 вполне предвиделся уже тогда, в 2002 году для GSM был специфицирован новый алгоритм A5/3. Пять лет спустя (в 2007), среди производителей оборудования для GSM-сетей все еще не было практически никакой поддержки шифрования по A5/3.

– Понадобилось время до января 2009, прежде чем в GSMA начали обсуждение вопросов тестирования A5/3 с изготовителями мобильных телефонов.

– Понадобилось время до ноября 2009, прежде чем начались первые испытания на совместимость между GSM-сетями, оснащенными A5/3, и сотовыми телефонами, оснащенными этим же алгоритмом.

Завершая свое исследование, Вельте задается вопросом: «И чему же мы можем научиться из всей этой истории?». Ключевые умозаключения автора выглядят так:

– Производители оборудования GSM и операторы связи не продемонстрировали абсолютно никакого интереса к латанию зияющих дыр в безопасности их систем.

– До того, как стало известно о первых атаках против A5/2, они вообще никогда не думали о процедурах модификации всей системы новой системой шифрования (т.е. о проактивных планах реагирования на опасность).

– Даже после катастрофы со взломом A5/2, они ни в малейшей степени ничему не научились. В точности та же самая проблема, что была с атаками через понижение A5/1 — A5/2, сегодня может быть эффективно использована для атак с понижением A5/3 — A5/1. Причем ясно это было даже до того, как большинство операторов начали приступать к использованию алгоритма A5/3 в своих рабочих сетях.

– Рабочая группа по безопасности в составе 3GPP имела массу содержательных идей о реальных угрозах защите GSM еще 10 лет назад. Все это можно увидеть, например, в их технических рекомендациях TR 33.801. Однако абсолютно никто не захотел к этим сигналам прислушаться.

– Аналогичные проблемы имеются в GSM и с криптоалгоритмами аутентификации. Понадобилось 12 лет от первой практической атаки против COMP128v1 до того момента, когда в GSMA начали задумываться о том, чтобы изъять этот алгоритм из системы…

* * *

Если кто-то вдруг пропустил и не заметил в этой истории Харальда Вельте пассаж о «североамериканских GSM-операторах», упорно препятствовавших изъятию A5/2, то имеет смысл подчеркнуть данный момент особо. Потому что в США A5/2 номинально вообще никогда не требовался, однако именно оттуда (точнее, из АНБ США) все последние десятилетия исходят мощные импульсы на всяческое понижение стойкости криптографии — вплоть до ее фактической ликвидации — в общедоступных ИТ-системах. Будь то телефония, электронная почта, защита видеодисков, проездные транспортные билеты или противоугонные иммобилайзеры.

Предъявить официальные документы, подтверждающие эту «смелую идею», конечно, вряд ли возможно. Скорее всего, такого рода несекретных документов и в природе-то не существует. Зато имеются многочисленные свидетельства от представителей не только в индустрии, но и в спецслужбах о том, насколько рьяно и буквально по всем фронтам Агентство национальной безопасности США борется за недопущение сильной криптографии в повседневном народном обиходе.

Потому что именно в слабой криптографии и заключается их главная сила.

Одно из наиболее свежих тому свидетельств невольно предоставил Бернар Барбье (Bernard Barbier), технический директор спецслужбы DGSE, т.е. внешней разведки Франции. По давно сложившейся традиции во Франции нет самостоятельной радиоэлектронной разведки типа АНБ, поэтому задачами перехвата и дешифрования коммуникаций занимается специальное подразделение в составе DGSE.

Именно эту службу и возглавляет сейчас (в 2010) Барбье. А поскольку под руководством президента Николя Саркози (или «Сарко-американца», как называют его сограждане) произошло небывалое военно-политическое сближение Франции и США, руководству французской разведки с некоторых пор по своим шпионским делам приходится регулярно общаться с американскими коллегами.

И вот на одной из таких встреч, по признанию Барбье (сделанному в неформальной обстановке одной из недавних конференций профессионалов в области защиты информации), АНБ строго «отругало» французских коллег за известную инициативу их госвластей под названием HADOPI.

Закон HADOPI, можно напомнить, не так давно был принят во Франции под давлением индустрии развлечений — для блокирования массового файлообмена с нелегальными копиями фильмов, аудиозаписей и тому подобного контента. По этому закону интернет-провайдеры должны отключать от Сети тех своих пользователей, что замечены в нелегальном файлообмене.

Ну а пользователи, соответственно, для собственной защиты вынуждены массово переходить на тотальное шифрование своих коммуникаций ради сокрытия всех действий в интернете… Понятно, что для спецслужб, контролирующих системы связи, подобный поворот событий очень существенно усложняет задачи мониторинга.

Несложно заметить и то, что в США, к примеру, несмотря на мощнейшее давление на законодателей со стороны индустрии развлечений, законы типа французского HADOPI даже не обсуждаются. Отчитывая французских коллег, АНБ, впрочем, не стало приводить в пример собственные достижения, а отослало их к опыту соседей — в Великобританию. Там британской разведке вполне удалось отговорить правительство страны от ввода аналогичных правовых механизмов, усложняющих работу спецслужб и постоянное наблюдение за интернет-пользователями…

Иными словами — как это ни парадоксально — в подобных вопросах интересы спецслужб и индустрии развлечений оказываются конфликтующими до такой степени, что разведка вынуждена выступать против борьбы государства с «пиратством».

Но делает это по-тихому. Как, впрочем, и все остальные свои дела.

The END