Зачем был нужен бэкдор для расшифровки мобильного трафика GPRS?

Дело в том, что в те времена сайты очень редко использовали сертификаты SSL/TLS, поэтому основная часть трафика шла в открытом виде. Так что если у вас был мобильный телефон в конце 90-х или начале 2000-х, то чтобы избежать прослушки, вы полагались на эти алгоритмы — GEA-1 и GEA-2, встроенные в GPRS.

«Чтобы соответствовать политическим требованиям, миллионы пользователей во всём мире в течение многих лет во время сёрфинга пользовались ослабленной защитой», — пишут исследователи. Другими словами, правительства разных стран в политических интересах поставили под угрозу безопасность простых граждан.

Алгоритм GEA-1 был разработан в 1998 году Европейским институтом телекоммуникационных стандартов (ETSI). Как верно подметил Брюс Шнайер, ETSI раньше (а может, и сейчас) работал под эгидой SOGIS (Senior Officials Group, Information Systems Security) — Группы старших должностных лиц по безопасности информационных систем. В основном это разведывательные службы стран Евросоюза. Вот список с официального сайта:

Каковы результаты? Официально ETSI выполнила требования экспортного контроля над криптографическими средствами. Однако на практике получается, что европейские спецслужбы воспользовались экспортным законодательством США для создания удобного «черного хода» для дешифровки мобильного трафика. Авторы исследовательской работы обнаружили, что новая версия GEA-2 не имеет этой уязвимости.

Однако им удалось расшифровать трафик GEA-2 с помощью технически более сложной атаки. Похоже, что бэкдор для GPRS — это одно из последних отражений «холодной войны» и ограничений на экспорт сильной криптографии. Будем надеяться, что в будущем подобные глупости станут невозможными, и политики перестанут использовать граждан в качестве «заложников» в своих играх. Но все же такой сценарий маловероятен.

Современные смартфоны

Хорошая новость заключается в том, что GEA-1 и GEA-2 практически устарели после того, как производители мобильных телефонов перешли на новые стандарты 3G и 4G. Плохая новость заключается в том, что в 2013 году ETSI запретила операторам использовать GEA-1, однако де-факто поддержка GEA-1 и GEA-2 сохраняется в большинстве современных мобильных телефонов, поскольку GPRS по-прежнему используется в качестве запасного варианта в большинстве стран и мобильных сетей. В настоящее время в городских центрах передача данных по сетям 4G/LTE осуществляется с использованием протоколов шифрования GEA-3 и GEA-4.

Однако мобильные телефоны по-прежнему поддерживают протокол GEA-1. И существуют сценарии, когда смартфоны могут быть принудительно переведены в режим GEA-1. Например, злоумышленник может переключить смартфон в режим 2G/GPRS (GEA-1) и взломать алгоритм шифрования через оператора связи или подставную базовую станцию. Это не гипотетическая угроза.
Поддельные базовые станции, используемые спецслужбами, действительно понижают уровень шифрования смартфонов до 2G/GPRS.
Эти скомпрометированные протоколы поддерживаются большинством современных смартфонов, поэтому бэкдор по-прежнему работает.

В разделе 5.3 авторы подчеркивают, что все смартфоны, поддерживающие устаревшие протоколы, уязвимы. Схемы аутентификации построены таким образом, что эксплойты GEA-1 позволяют расшифровывать трафик, зашифрованный более современными шифрами, такими как GEA-3 (см. ниже):

Бэкдор в GSM — наверняка не последний «подарочек» от государства. Эта конкретная уязвимость — эхо холодной войны. Но в реальности практически любое общество вынуждено искать компромисс между свободой и безопасностью.

По логике спецслужб, чем больше надзора за населением — тем лучше для безопасности. Различные средства криптографии, шифрования и анонимности «мешают» им работать. Наверное, для максимального порядка и безопасности граждане должны выходить в интернет по паспорту, в назначенное время и по утверждённому списку URL.

Естественно, что оставленные государством уязвимости и «черные ходы» могут быть использованы преступниками — коррумпированными чиновниками государственных учреждений, приближенными к «яме» и другими криминальными группировками. Не иначе обстоит дело и с «персональными данными». Когда гражданин доверяет конфиденциальные данные государству, это ничем не отличается от того, когда эти данные становятся общедоступными.

Мы все ближе и ближе подходим к тому этапу, когда для сохранения конфиденциальности своих данных нам придется создавать несколько профилей и регулярно менять свою цифровую идентификацию. Некоторые исследователи считают, что будущее Интернета — за одноранговой сетью, основанной на блокчейне. Здесь каждый человек будет управлять своими персональными данными в собственном «контейнере», при необходимости делегируя отдельные части данных и полномочия отдельным узлам.

Это, вероятно, позволит снизить максимальный уровень полномочий, которым в настоящее время обладают государственные органы.