Sieci GSM i UMTS oferują zróżnicowane usługi związane z bezpieczeństwem teleinformatycznym. W szczególności są to usługi zapewniające autentyczność abonenta podłączającego się do sieci oraz poufność transmisji głosu i danych. W potocznym rozumieniu połączenia w sieciach GSM “są szyfrowane”. A jak jest naprawdę? Telefon abonenta w momencie rejestracji potwierdza swoją tożsamość w stosunku do sieci komórkowej za pomocą protokołu A3/8. Protokół ten może wewnętrznie wykorzystywać różne algorytmy kryptograficzne, ustalane lokalnie przez operatora sieci. W praktyce większość operatorów na świecie korzystała jednak z referencyjnego algorytmu COMP128 zamieszczonego w niejawnej specyfikacji udostępnianej przez GSM Association.
W 1997 roku, w wyniku wycieku, ujawniony został dokument opisujący propozycje algorytmów A3/8 zgłaszane m.in. przez operatorów francuskich i niemieckich, w tym opis COMP128.
Odtworzona w 1998 roku ówczesna wersja algorytmu COMP128 została poddana skutecznej kryptoanalizie przez zespół z Uniwersytetu Berkeley. Atak umożliwiał sklonowanie karty SIM pod warunkiem posiadania do niej fizycznego dostępu przez około 8 godzin. W tym czasie atakujący przesyłał do karty około 160 tys. zapytań, na podstawie których odtwarzane były tajne parametry COMP128.
W odpowiedzi na ten atak część operatorów zaczęła ustalać w kartach limit ilości zapytań, który był dostatecznie wysoki, by nie utrudniać normalnej pracy i równocześnie uniemożliwić klonowanie. W 2000 roku zespół IBM opublikował jednak udoskonaloną wersję ataku, który umożliwiał sklonowanie karty przez wykonanie jedynie ośmiu zapytań, co zmniejszyło czas wymaganego dostępu do karty do kilku sekund i spowodowało, że zabezpieczenie stało się nieskuteczne.
W międzyczasie GSM Association opublikowała nowe wersje algorytmów dla A3/8, ponumerowane odpowiednio COMP128-2, COMP128-3 i COMP128-4. Numerem COMP128-1 zaczęto określać oryginalną, złamaną wersję algorytmu. Wersja COMP128-4 jest oparta o szyfr AES i przeznaczona do stosowania w UMTS.
Ze względu na to, że wybór algorytmu A3/8 nie ma wpływu na interoperacyjność telefonów pomiędzy sieciami, także w roamingu, lokalni operatorzy implementują różne wersje tych algorytmów lub korzystają z algorytmów stworzonych samodzielnie.
Ataki aktywne na GSM (IMSI Catcher)
Ze względu na brak uwierzytelnienia sieci w stosunku do telefonu w sieci GSM możliwe są ataki man in the middle (MITM), polegające na umieszczeniu w pobliżu docelowego abonenta urządzenia spełniającego rolę fałszywej stacji bazowej (IMSI Catcher).
Pierwsze urządzenie tego typu zostało zaprezentowane publicznie przez firmę Rohde & Schwarz (GA 090) w 1996 roku i obecnie są one dostępne na rynku od wielu producentów (Rohde & Schwarz, Endoacustica, Global Security Solutions, Shoghi). W większości krajów są one sprzedawane wyłącznie policji i służbom specjalnym. Oferowna przez nie funkcjonalność określana jest jako aktywne przechwytywanie połączeń GSM (GSM interception).
Atak ten nie jest możliwy w sieciach UMTS, gdzie uwierzytelnienie telefonu i BTS jest dwustronne. Równocześnie jednak od 2005 roku znane są teoretyczne podstawy ataku, umożliwiającego przechwycenie w podobny sposób połączeń UMTS przez wykorzystanie funkcji interoperacyjności UTMS z sieciami GSM. Polega on na przeprowadzeniu pełnego MITM przez IMSI Catcher udający stację bazową GSM działającą w trybie kompatybilności z UMTS.
Zbudowanie urządzeń typu IMSI catcher jest również możliwe w warunkach amatorskich w oparciu o sprzęt typu USRP (Universal Software Radio Peripherial) i oprogramowanie OpenBTS.
Poufność transmisji
Dane przesyłane w ramach usług GSM są szyfrowane pomiędzy stacją telefonem abonenta a stacją bazową (BTS) za pomocą algorytmów z rodziny A5. Połączenia nie są szyfrowane w całej relacji pomiędzy telefonami dwóch abonentów będących w trakcie komunikacji (end-to-end).
Specyfikacja algorytmów A5/1 i A5/2 nie została publicznie ujawniona, jednak od połowy lat 90. jest znana dzięki odtworzeniu z istniejących implementacji i poddana skutecznej kryptoanalizie.
Najbardziej rozpowszechniony jest algorytm A5/1. Algorytm A5/2 został skutecznie złamany, opublikowane są również ataki na algorytmy A5/1 i A5/3.
Podsłuchiwanie rozmów prowadzonych przez telefony GSM jest możliwe w następujących scenariuszach (poza rejestracją w centrali operatora):
- włączony jest tryb A5/0 czyli brak szyfrowania transmisji,
- wykorzystanie IMSI catcher do włączenia w telefonie klienta trybu A5/0 w sytuacji gdy normalna transmisja przebiegałaby w trybie szyfrowanym,
- wykorzystanie IMSI catcher do pełnego MITM, w którym atakujący przeszyfrowuje dane otrzymane od klienta i przesyła go do oryginalnego BTS, mając dostęp do treści komunikacji,
- pasywne deszyfrowanie transmisji przy pomocy danych udostępnionych przez operatora lub chwilowego dostępu do karty abonenta (możliwe dla A5/1 i A5/2),
- pasywne deszyfrowanie transmisji bez wiedzy operatora </ul> Część urządzeń typu IMSI catcher dostępnych na rynku umożliwia pasywne podsłuchiwanie transmisji GSM w przypadku gdy stosowany jest algorytm A5/0 (brak szyfrowania) lub A5/2 (osłabiona wersja szyfru) lub gdy możliwa jest współpraca z operatorem (A5/1). Część urządzeń deklaruje możliwość pasywnego podsłuchiwania połączeń z A5/1 po dołączeniu specjalnych modułów sprzętowych. Ten artykuł jest pierwszą wersją hasła Bezpieczeństwo GSM stworzonego przeze mnie w Wikipedii w styczniu 2010. Wersja na Wiki jest prawdopodobnie bardziej aktualna.</a>