IT в России и мире в реалиях мирового кризиса
1,268,047 7,775
 

  qurvax lithuania, Вильнюс
18 июн 2021 12:59:14

Очередная лажа в стандарте мобильной связи.

новая дискуссия Новость  786

На этот раз постарался ETSI, с подачи ясно кого. Короче вот:
Abstract: This paper presents the first publicly available cryptanalytic attacks on the GEA-1 and GEA-2 algorithms. Instead of providing full 64-bit security, we show that the initial state of GEA-1 can be recovered from as little as 65 bits of known keystream (with at least 24 bits coming from one frame) in time 240
GEA-1 evaluations and using 44.5 GiB of memory. The attack on GEA-1 is based on an exceptional interaction of the deployed LFSRs and the key initialization, which is highly unlikely to occur by chance. This unusual pattern indicates that the weakness is intentionally hidden to limit the security level to 40 bit by design.
In contrast, for GEA-2 we did not discover the same intentional weakness. However, using a combination of algebraic techniques and list merging algorithms we are still able to break GEA-2 in time 245.1
GEA-2 evaluations. The main practical hurdle is the required knowledge of 1600 bytes of keystream.

https://eprint.iacr.org/2021/81
жопорез больше не бро. Внезапно, да?Улыбающийся
  • +0.03 / 1
КОММЕНТАРИИ (14)
 
 
  Поверонов
18 июн 2021 20:17:01
Цитата: qurvax от 18.06.2021 12:59:14На этот раз постарался ETSI, с подачи ясно кого. Короче вот:
Abstract: This paper presents the first publicly available cryptanalytic attacks on the GEA-1 and GEA-2 algorithms. Instead of providing full 64-bit security, we show that the initial state of GEA-1 can be recovered from as little as 65 bits of known keystream (with at least 24 bits coming from one frame) in time 240
GEA-1 evaluations and using 44.5 GiB of memory. The attack on GEA-1 is based on an exceptional interaction of the deployed LFSRs and the key initialization, which is highly unlikely to occur by chance. This unusual pattern indicates that the weakness is intentionally hidden to limit the security level to 40 bit by design.
In contrast, for GEA-2 we did not discover the same intentional weakness. However, using a combination of algebraic techniques and list merging algorithms we are still able to break GEA-2 in time 245.1
GEA-2 evaluations. The main practical hurdle is the required knowledge of 1600 bytes of keystream.

https://eprint.iacr.org/2021/81
жопорез больше не бро. Внезапно, да?Улыбающийся

А что кто-либо когда-то верил что коммерческие шифры не являются намеренно ослабленными ? Их намеренно редуцируют из военных до такой степени, чтобы не перегружать вычислительные мощности спецслужб их дешифровкой, так как эти мощности им еще нужны и для взламывания настоящих военных шифров, перехваченных c источников от потенциальных противников. А сложность военных шифров непрерывно повышается
  • +0.00 / 0
 
 
  Podli belarus, Минск
19 июн 2021 20:20:59
Цитата: Поверонов от 18.06.2021 20:17:01А что кто-либо когда-то верил что коммерческие шифры не являются намеренно ослабленными ? Их намеренно редуцируют из военных до такой степени, чтобы не перегружать вычислительные мощности спецслужб их дешифровкой, так как эти мощности им еще нужны и для взламывания настоящих военных шифров, перехваченных c источников от потенциальных противников. А сложность военных шифров непрерывно повышается

По вопросам веры - обращайтесь в церковь. Имеется куча реализаций всевозможных алгоритмов шифрования с открытым кодом, где вы можете не верить, а проверить правильность их реализации. Так что если не доверяете коммерческим продуктам, всегда можно использовать свободное ПО с возможностью проверки. На практике, возможность взлома шифров соответствующими службами достигалась некоторое время тупым запретом на использование стойких к взлому алгоритмов шифрования. Но это работало только для американцев - запрещалка была не той системы, чтобы диктовать свои условия другим странам.
На практике, чуть менее чем все разговоры про всевозможные ослабленные шифры и прочую фигню оказываются обычной конспирологией.
  • -0.01 / 1
 
 
 
  Senya russia
19 июн 2021 20:52:10
Цитата: Podli от 19.06.2021 20:20:59На практике, чуть менее чем все разговоры про всевозможные ослабленные шифры и прочую фигню оказываются обычной конспирологией.

Конкретно про шифрование сотовой телефонии никакой конспирологии нет. В зоне идентификации абонента там вполне стойкое 128-битное шифрование, пусть несколько специфическое, а вот в зоне закрытия содержательной части стойкость искусственно снижена ориентировочно до 40 бит. А некоторые особенности реализации и слабости исходного алгоритма позволили взламывать переговоры буквально в реальном времени, через первые несколько секунд. Недаром оборудование для перехвата запрещено к продаже и владению. Собственно что сотовая связь не обеспечивает конфиденциальности не только от операторов и госслужб, но от любого технически оснащённого противника писали и 15-20 лет назад. С тех пор просто подзабылось.
ЗЫ.
Ну может 10-15 лет. 20 лет назад я точно проблемой не интересовался и никакой информацией по ней не владелУлыбающийся
Отредактировано: Senya - 19 июн 2021 20:53:53
  • +0.24 / 18
 
 
 
 
  Podli belarus, Минск
19 июн 2021 23:29:40
Цитата: Senya от 19.06.2021 20:52:10Конкретно про шифрование сотовой телефонии никакой конспирологии нет. В зоне идентификации абонента там вполне стойкое 128-битное шифрование, пусть несколько специфическое, а вот в зоне закрытия содержательной части стойкость искусственно снижена ориентировочно до 40 бит. А некоторые особенности реализации и слабости исходного алгоритма позволили взламывать переговоры буквально в реальном времени, через первые несколько секунд. Недаром оборудование для перехвата запрещено к продаже и владению. Собственно что сотовая связь не обеспечивает конфиденциальности не только от операторов и госслужб, но от любого технически оснащённого противника писали и 15-20 лет назад. С тех пор просто подзабылось.
ЗЫ.
Ну может 10-15 лет. 20 лет назад я точно проблемой не интересовался и никакой информацией по ней не владелУлыбающийся

Как раз ~20 лет назад, будучи студентом, слушал на мехмате лекции преподавателя по алгебре, который в том числе хвастался, что написал программулину, дешифрующую GSM/2G данные на 64 мегабайтах памяти и бюджетном процессоре.
Тут проблемы в том, что для смены протоколов связи на более современные, необходимо менять чуть менее чем всё. В том числе - трубку у конечного абонента. Потому здесь невозможно оперативно поставить заплатку на обнаруженную дыру. Ну и чуть менее чем все протоколы в сотовой связи созданы хрен знает когда. А чуть менее чем все протоколы связи того времени оказались уязвимы в том или ином роде. Так что в данном конкретном случае предположение о "предумышленном" снижении стойкости алгоритмов можно применить чуть менее чем везде и по сути оно является вопросом веры.
С инженерной точки зрения, тут должен на старте быть обмен инвормацией базовой станции и мобилы по незашифрованной связи, в процессе которой базовая станция и мобилка могут договориться об использовании подходящего протокола шифрования. В ентом случае нахождение какой-либо дыры в протоколе дает возможность исправления на уровне софта. Обновляем прошивки базовой станции и мобилы - и они просто договорятся использовать более современный алгоритм. Но сие опять же не реализовать - слишком много железок с симкой, которые не обновить без замены железки. А без оной замены, при переходе на новый стандарт связи оные железки просто окирпичатся.
Потому единственный рабочий вариант сейчас - использовать незащищенный мобильный интернет, внутри которого использовать нормальные алгоритмы шифрования.
В ентом плане то, что бегает по интернету, на порядок проще в плане починки/переделки с целью исправления старых известных дыр и добавления новых неизвестных.
  • +0.09 / 4
 
 
 
 
 
  Senya russia
20 июн 2021 07:36:31
Цитата: Podli от 19.06.2021 23:29:40Тут проблемы в том, что для смены протоколов связи на более современные, необходимо менять чуть менее чем всё.

Не, в этом плане я ничуть не спорю. Относительно защищённой могла бы стать IP-телефония на смартофонах.
Цитата: Podli от 19.06.2021 23:29:40Так что в данном конкретном случае предположение о "предумышленном" снижении стойкости алгоритмов можно применить чуть менее чем везде и по сути оно является вопросом веры.

Может уже путаю за давностию лет, но принудительное обнуление заметной части битов ключа это преднамеренное снижение стойкости. Естественно никто не собирался давать возможность взлома всем подряд, но справедливо - наложились дефекты "романтической эпохи шифрования".
ЗЫ.
Определённые выводы можно сделать даже из темы обсуждения - мы говорим о расшифровке содержания разговора, но практически никто не пишет о взломе схемы идентификации абонента. Там всё сделано теми руками, которые из плеч.
Отредактировано: Senya - 20 июн 2021 07:45:10
  • +0.11 / 7
 
 
 
 
 
 
  qurvax lithuania, Вильнюс
20 июн 2021 10:05:01
Цитата: Senya от 20.06.2021 07:36:31Определённые выводы можно сделать даже из темы обсуждения - мы говорим о расшифровке содержания разговора, но практически никто не пишет о взломе схемы идентификации абонента. Там всё сделано теми руками, которые из плеч.

Извините мое занудство, но, насколько я понял, речь не идет об алгоритмах закрытия "разговора". Речь о закрытии содержимого GPRS-сессии. Т.е. данных этих ваших интернетиков.
Кстати, о схеме идентификации: было, предыдущая (устаревшая) схема оказалась уязвима, было реально клонирование симок левым дядькой (не опсосом всмысле, этот так и щас могет). Детали наверняка можно нагуглить.
Отредактировано: qurvax - 20 июн 2021 10:08:14
  • +0.06 / 2
 
 
 
 
 
 
 
  Senya russia
20 июн 2021 13:15:40
Цитата: qurvax от 20.06.2021 10:05:01Извините мое занудство, но, насколько я понял, речь не идет об алгоритмах закрытия "разговора". Речь о закрытии содержимого GPRS-сессии. Т.е. данных этих ваших интернетиков.

Да, я неточно написал. Не про конкретный случай, а примеры регулирования стойкости вообще.
  • +0.05 / 3
 
 
 
 
 
 
  Поверонов
20 июн 2021 10:13:35
Цитата: Senya от 20.06.2021 07:36:31Определённые выводы можно сделать даже из темы обсуждения - мы говорим о расшифровке содержания разговора, но практически никто не пишет о взломе схемы идентификации абонента. Там всё сделано теми руками, которые из плеч.

40-бит и 120-бит это DES и 3DES На 3DES амеры перешли тогда когда DES уже был признан слабым - лет 30 назад Так что использование DES на передаче голоса это заведомое ослабление Кстати это симметричные ключи так что их как-то еще нужно передать - либо сгенерировать на обеих сторонах по заданному алгоритмом по единому событию
  • +0.00 / 0
 
 
 
 
 
 
 
  Senya russia
20 июн 2021 13:22:02
Цитата: Поверонов от 20.06.2021 10:13:3540-бит и 120-бит это DES и 3DES На 3DES амеры перешли тогда когда DES уже был признан слабым - лет 30 назад

DES 56 бит, трипле - 168 бит (приведённая стойкость 112). Генерация полноразмерного ключа из 40-битного даже в коммерческих приложениях происходит отнюдь не тривиально, чтобы исключить реализуемые на бытовой технике атаки типа словарных. Ну и хотя даже сегодня DES живее всех живых, например для закрытия короткоживущих данных биржевых сессий, уже 20 лет как сами американцы приняли новый стандарт, практических атак на который не было и возможно не будет ещё лет 20.
  • +0.09 / 5
 
 
 
 
 
 
  gvf
20 июн 2021 10:59:27
Цитата: Senya от 20.06.2021 07:36:31но практически никто не пишет о взломе схемы идентификации абонента. Там всё сделано теми руками, которые из плеч.

Была о речь о возможности идентифицировать абонента, т.е. не полный взлом, а возможность привязать разные сессии к одному ИД, что достаточно для опознания но недостаточно для эмуляции.
  • +0.06 / 2
 
 
 
 
 
  qurvax lithuania, Вильнюс
20 июн 2021 10:00:49
Цитата: Podli от 19.06.2021 23:29:40Как раз ~20 лет назад, будучи студентом, слушал на мехмате лекции преподавателя по алгебре, который в том числе хвастался, что написал программулину, дешифрующую GSM/2G данные на 64 мегабайтах памяти и бюджетном процессоре.
Тут проблемы в том, что для смены протоколов связи на более современные, необходимо менять чуть менее чем всё. В том числе - трубку у конечного абонента. Потому здесь невозможно оперативно поставить заплатку на обнаруженную дыру. Ну и чуть менее чем все протоколы в сотовой связи созданы хрен знает когда. А чуть менее чем все протоколы связи того времени оказались уязвимы в том или ином роде. Так что в данном конкретном случае предположение о "предумышленном" снижении стойкости алгоритмов можно применить чуть менее чем везде и по сути оно является вопросом веры.
С инженерной точки зрения, тут должен на старте быть обмен инвормацией базовой станции и мобилы по незашифрованной связи, в процессе которой базовая станция и мобилка могут договориться об использовании подходящего протокола шифрования. В ентом случае нахождение какой-либо дыры в протоколе дает возможность исправления на уровне софта. Обновляем прошивки базовой станции и мобилы - и они просто договорятся использовать более современный алгоритм. Но сие опять же не реализовать - слишком много железок с симкой, которые не обновить без замены железки. А без оной замены, при переходе на новый стандарт связи оные железки просто окирпичатся.
Потому единственный рабочий вариант сейчас - использовать незащищенный мобильный интернет, внутри которого использовать нормальные алгоритмы шифрования.
В ентом плане то, что бегает по интернету, на порядок проще в плане починки/переделки с целью исправления старых известных дыр и добавления новых неизвестных.

По выделенному: В приведенной мной работе указано основание: экспортные ограничения. Так что это не "вопрос веры", а факт (если допустить, что источники не врут). И это, кстати, не единственный пример намеренного ослабления, для соответствия экспортным ограничениям. Я принес ссылку лишь для того, чтобы напомнить о сем факте (тоесть о случаях намеренного ослабления алгоритмов в массово используемых до сих пор стандартах).
  • +0.04 / 2
 
 
  Senya russia
19 июн 2021 20:59:48
Цитата: Поверонов от 18.06.2021 20:17:01А что кто-либо когда-то верил что коммерческие шифры не являются намеренно ослабленными ?

Я вообще не признаю понятия "коммерческие шифры". Либо государство использует закрытый алгоритм для защиты собственной информации и оно полностью в своём праве, а пользователю соваться в эти тонкости не след. Либо коммерческая компания использует в своих программах один из множества открытых проверенных алгоритмов. Всё остальное не стоит битов, затраченных на хранение информации. А бэкдор лично я бы делал распыляя биты ключа по случайным числам, широко используемым в различных режимах. Курочить сами алгоритмы это по-глупому палиться.
  • +0.14 / 9
 
 
 
  Podli belarus, Минск
19 июн 2021 23:41:52
Цитата: Senya от 19.06.2021 20:59:48Либо коммерческая компания использует в своих программах один из множества открытых проверенных алгоритмов.

На практике так оно и есть. То, что понимается под "коммерческими шифрами" - просто большая надстройка над открытыми протоколами шифрования, которая попросту организовывает автоматизацию и управление ключами шифрования, обновление программ и т.д. Чтобы вы вместо прописывания кучи настроек в куче мест, в одном месте задавали конфигурацию, а оно само разбегалось по нужным железкам и применялось. Интеграция с эктив директори и прочими всякими разными корпоративными программулинами - в том числе. Тот же корпоративный VPN у меня самый что ни на есть коммерческий. И мне не нужно заботиться об обновлении программулины, всяких там конфигурациях и прочем - оно само это делает. В то же время - я могу взять открытый OpenVPN, руками прописать в нем кучу всякого разного - и успешно подключиться к тому же корпоративному шлюзу. Т.е. на уровне протоколов шифрования они идентичны.
  • +0.06 / 2
 
 
 
  GrinF
20 июн 2021 17:24:07
Цитата: Senya от 19.06.2021 20:59:48Я вообще не признаю понятия "коммерческие шифры". Либо государство использует закрытый алгоритм для защиты собственной информации и оно полностью в своём праве, а пользователю соваться в эти тонкости не след. Либо коммерческая компания использует в своих программах один из множества открытых проверенных алгоритмов. Всё остальное не стоит битов, затраченных на хранение информации. А бэкдор лично я бы делал распыляя биты ключа по случайным числам, широко используемым в различных режимах. Курочить сами алгоритмы это по-глупому палиться.

это можно сделать исключительно на закрытом алгоритме... а проблема в том что бы продать алгоритм нужно его открыть код для покупателя и тогда и повылазят все ваши бекдоры с распылением ... единственная уловка - это посунуть левый неаудированный генератор случайных чисел или хеш-функцию, которые будут генерировать слабые ключи, как нам снокжен рассказал  
  • +0.00 / 0
  • Скрыто