Безопасность сетей сотовой связи GSM

Алгоритмы аутентификации.Для работы в сети GSM мобильная станция GSM должна содержать модуль идентификации абонента (Subscriber Identification Module – SIM)[†].Поэтому первый уровень аутентификации реализуется на уровне мобильного телефона – это личный идентификационный номер (PIN-код), предназначенный для защиты против мошеннического использования украденных SIM-карт. Он проверяется на месте самой SIM-картой без передачи в эфир. В SIM-карте PIN-код имеет вид от четырех- до восьмизначного числа. SIM-карта также может хранить второй четырех- или восьмиразрядный десятичный код, известный как PIN2, чтобы защитить определенные функции абонента.

Для аутентификации в сети GSM SIM содержит международный идентификационный номер подписчика (International Mobile Subscriber Identity–IMSI), который однозначно идентифицирует мобильного абонента. Это 15-значное число, которое содержит следующие компоненты:

– код страны в рамках инфраструктуры GSM (Mobile Country Code – MCC);

– код мобильной сети в рамках страны (Mobile Network Code – MNC);

– 10 знаков, которые являются идентификатором мобильной станции (абонента) в рамках сети GSM.

Кроме того, сотовый телефон имеет собственный идентификационный номер IMEI (International Mobile Equipment Identity) – международный идентификатор мобильного устройства, который может передаваться сети GSM по ее запросу.

В сотовой связи стандарта GSM используются следующие криптографические алгоритмы:

А3 – алгоритм, используемый при аутентификации пользователя, он же защищает его от клонирования;

А5 – алгоритм шифрования голосового трафика, который и обеспечивает защиту телефонных переговоров; до недавнего времени в мире существовало две его версии: А5/1 – усиленный алгоритм, используемый в некоторых странах, А5/2 – его ослабленный аналог;

А8 – алгоритм генерации ключа, который берет результат работы А3 и превращает его в сеансовый ключ А5; алгоритм А5, отвечающий за защиту переговоров от перехвата, реализован на аппаратном уровне в мобильных телефонах и базовых станциях.

Установление подлинности мобильной станции сетью GSM начинается c сообщения опознавательного запроса, посланного мобильной станции. Это сообщение содержит 128-битовое случайное число, названное RAND. В мобильной станции это число используется как один из входных параметров к секретному алгоритму, известному как A3. Другой входной параметр к A3 – секретный ключ абонента, Ki. A3 и Ki хранятся в SIM-карте. Безопасность GSM заключается в секретности Ki, и по этой причине этот ключ не может быть прочитан из SIM-карты непосредственно; и доступ к нему осуществляется только тогда, когда SIM-карта персонализируется под управлением сетевого оператора. В течение процедур безопасности, которые происходят в GSM, Ki используется только внутри SIM-карты. Ki может иметь любой формат и любую длину. Результат применения алгоритма A3 над Ki и RAND – число SRES (Signed RESult) длиной 32 бита. Как только оно было вычислено мобильной станцией, SRES возвращается в сеть в виде сообщения опознавательного ответа. На стороне сети GSM центр аутентификации AuC также хранит секретный ключ пользователя Ki и алгоритм A3, и генерирует свою версию SRES по тому же алгоритму, что и мобильная станция. Затем реестр собственных абонентов HLR (Home Location Register) посылает SRES посещенному абонентом реестру перемещений VLR (Visitor Location Register), где эти две версии сравниваются. Если они идентичны, то авторизация мобильной станции считается подлинной. Секретный алгоритм A3 предоставляет возможность относительно простой генерации SRES из RAND и Ki, но затрудняет определение Ki из SRES и RAND или пар SRES и RAND. Алгоритм A3 не уникален, и каждый оператор имеет свободу выбрать его собственную версию, хотя алгоритм примера доступен на ограниченном основании. Это очевидно имеет большое значение, когда рассматривается роуминг между операторами, использующими различные алгоритмы A3. Проблема преодолена путем вычисления SRES в «HLR» домашней сети абонента и посылки посещаемому MSC/VLR, где производится опознавательная проверка. MSC/VLR хранит МНОЖЕСТВО RAND и пар SRES для каждой мобильной станции, чтобы уменьшить число информационных передач между исходным регистром местоположения HLR и MSC/VLR. HLR и VLR могут находиться в различных странах.

Шифрование.Следующей после аутентификации задачей безопасности в сетях GSM является защита абонента от подслушивания, для чего применяется шифрование данных, передаваемых по радиоинтерфейсу, с использованием второго ключа Kc и секретного алгоритма A5. Kc генерируется в течение опознавательной фазы, используя Ki, RAND и секретный алгоритм A8, который также хранится в SIM–карте. Подобно алгоритму A3, A8 не уникален, и он может также быть выбран оператором. Ключ Kc для каждого пользователя вычисляется в AuC домашней сети, чтобы преодолеть проблемы роуминга между сетями.

В некоторых реализациях A3 и алгоритмы A8 объединены в единственный алгоритм A38, который использует RAND и Ki, чтобы сгенерировать Kc и SRES. В отличие от A3 и A8, которые, возможно, различны для каждого индивидуального оператора, A5 выбирается из списка из семи возможных вариантов. Перед шифрованием происходит фаза «переговоров», в ходе которой определяется, какая версия A5 будет использована. Если сеть и мобильная станция не имеют общих версий A5, связь должна продолжиться в незашифрованном виде или соединение должно быть разорвано. Алгоритм A5 использует 64-битный ключ Kc, и 22-битный номер фрейма TDMA[‡], для вычисления двух 114-битных слов шифрования, BLOCK1 и BLOCK2 – для использования при передаче и приеме соответственно. Слова шифрования ‑ EXORed со 114 битами данных в каждой посылке. Поскольку зашифрованные данные вычислены, используя номер фрейма TDMA, то слова изменяются от посылки к посылке и не повторяются на протяжении гиперфрейма (приблизительно 3,5 ч.).

Ключ Kc не предается гласности, но поскольку он часто меняется, то не нуждается в столь сильных средствах защиты, как например, ключ Кi. Кс можно свободно прочитать в SIM.

В настоящее время базовые станции могут поддерживать три основных варианта алгоритма А5:

А5/1 – наиболее стойкий алгоритм, применяемый в большинстве стран;

А5/2 – менее стойкий алгоритм, внедряемый в странах, в которых использование сильной криптографии нежелательно;

А5/0 – отсутствует шифрование.

Некоторые передачи в сети GSM не могут быть защищены шифрованием. Например, после начального назначения, мобильная станция должна передать свой идентификатор сети прежде, чем шифрование может быть активизировано. Это очевидно позволило бы злоумышленнику определять местоположение абонента, перехватывая это сообщение. Проблема была решена в GSM введением временного идентификатора подвижного абонента (Temporary Mobile Station Identity– TMSI), который является «псевдонимом», назначенным на каждой мобильной станции со стороны VLR. TMSI передается мобильной станции в течение предыдущей зашифрованной сессии связи, и он используется мобильной станцией и сетью при любом последующем пейджинге и процедурах доступа. TMSI действителен только в пределах области, которую обслуживает определенный VLR.