Анализ принципов обмена информацией в сетях. Изучение алгоритма аутентификации. Методы шифрования и управления ключами. Средства защиты идентичности пользователя. Рассмотрение архитектуры и протоколов сотовых сетей. Проблема вскрытия защиты, клонирования.
Аннотация к работе
Информацию на компьютере защищают все - антивирусные программы и файерволлы, приложения по контролю доступа к определенным файлам и токены, ограничивающие доступ ко всей системе, пересылка файлов и переписка, доступ к банковским счетам защищены цифровой подписью, шифрованием и многими другими криптографическими системами защиты. Все эти механизмы основаны на работе секретных алгоритмов, используемых в стандарте GSM:-У нас имеется переносной телефон, который состоит из 2 частей - самого телефонного аппарата с собственным номером - IMEI (International Mobile Equipment Identity - международный идентификатор мобильного устройства), который может передаваться сети по ее запросу и смарт-карты SIM (Subscriber Identity Module - модуль идентификации абонента), которую мы получаем у нашего оператора сотовой связи при заключении договора. Для того чтобы получить последовательность шифрования для каждого пакета, алгоритм А5 производит вычисление, используя два ввода: одним из них является номер кадра, а другим является ключ, который называется Кс, известный только мобильной станции и сети (рис. В обоих направлениях соединения используются две разные последовательности: в каждом пакете одна последовательность используется для шифрования в мобильной станции и для дешифрования на базовой станции (BTS), в то время как другая последовательность используется для шифрования в BTS и дешифрования в мобильной станции.
Введение
В настоящее время при все повышающемся уровне компьютерной образованности населения очень остро стоит вопрос защиты личной информации. Информацию на компьютере защищают все - антивирусные программы и файерволлы, приложения по контролю доступа к определенным файлам и токены, ограничивающие доступ ко всей системе, пересылка файлов и переписка, доступ к банковским счетам защищены цифровой подписью, шифрованием и многими другими криптографическими системами защиты. Так же существует огромное количество разнообразнейших средств противошпионажного воздействия. Но мало кто задумывается о защите наших телефонных разговоров, это ведь тоже информация! И очень часто ее значимость в разы превышает значимость информации на вашем, скажем домашнем компьютере. Для телефонов имеющих стандартную ”лапшу” (пару медных проводов) или новые оптоволоконные каналы связи также имеются свои методы защиты телефонных разговоров - это аналоговые и цифровые шифраторы. А вот как мы защитим наши переговоры по мобильному (сотовому) телефону? Конечно операторы гарантируют надежность связи со стороны защищенности, но не все из нас знают, как именно осуществляется эта защищенность, ведь информация передается по радиоканалу и в принципе доступна любому желающему. Давайте рассмотрим этот вопрос более подробно на примере стандарта сотовой связи GSM. В системе организации сотовой связи существует ряд механизмов, которые должны обеспечивать безопасность наших разговоров. Это аутентификация, идентификация и шифрование передаваемой по радиоканалу информации. Все эти механизмы основаны на работе секретных алгоритмов, используемых в стандарте GSM: -У нас имеется переносной телефон, который состоит из 2 частей - самого телефонного аппарата с собственным номером - IMEI (International Mobile Equipment Identity - международный идентификатор мобильного устройства), который может передаваться сети по ее запросу и смарт-карты SIM (Subscriber Identity Module - модуль идентификации абонента), которую мы получаем у нашего оператора сотовой связи при заключении договора. SIM, в свою очередь, содержит так называемый IMSI (International Mobile Subscriber Identity - международный идентификационный номер подписчика).
-NSS (Network and Switching Subsystem - подсистема сети и коммутации), а компонент, выполняющей функции "мозга" называется MSC (Mobile services Switching Center - центр коммутации). Именно его все называют "коммутатор", а также, при проблемах со связью, винят во всем. MSC в сети может быть и не один. MSC занимается маршрутизацией вызовов, формированием данных для биллинговой системы и многими другими вещами.
Именно между этими двумя компонентами и происходит обмен информацией. Именно в этом месте и заключается первое слабое место системы.
Также в NSS входят HLR (Home Location Register - реестр собственных абонентов) и VLR (Visitor Location Register - реестр перемещений). HLR, грубо говоря, представляет собой базу данных обо всех абонентах, заключивших с рассматриваемой сетью контракт. В ней хранится информация о номерах пользователей (под номерами подразумеваются, во-первых, упоминавшийся выше IMSI, а во-вторых, так называемый MSISDN-Mobile Subscriber ISDN, т.е. телефонный номер в его обычном понимании), перечень доступных услуг и многое другое. HLR, который в системе один, VLR`ов может быть и несколько - каждый из них контролирует свою часть сети. В VLR содержатся данные об абонентах, которые находятся на его (и только его!) территории (причем обслуживаются не только свои подписчики, но и зарегистрированные в сети роумеры). Как только пользователь покидает зону действия какого-то VLR, информация о нем копируется в новый VLR, а из старого удаляется.
А вот в этом месте кроется еще одна слабость системы.
NSS содержит еще два компонента - AUC (Authentication Center - центр авторизации) и EIR (Equipment Identity Register - реестр идентификации оборудования). Первый блок используется для процедур установления подлинности абонента, а второй, как следует из названия, отвечает за допуск к эксплуатации в сети только разрешенных сотовых телефонов.
Исполнительной, если так можно выразиться, частью сотовой сети, является BSS (Base Station Subsystem - подсистема базовых станций).
BSS состоит из нескольких - BSC (Base Station Controller - контроллер базовых станций), а также множества - BTS (Base Transceiver Station - базовая станция). Базовые станции можно наблюдать повсюду - в городах, полях - фактически это просто приемно-передающие устройства, содержащие от одного до шестнадцати излучателей. Каждый BSC контролирует целую группу BTS и отвечает за управление и распределение каналов, уровень мощности базовых станций и тому подобное. Обычно BSC в сети не один, а целое множество (базовых станций же вообще сотни и тысячи).
Управляется и координируется работа сети с помощью OSS (Operating and Support Subsystem - подсистема управления и поддержки). OSS состоит из всякого рода служб и систем, контролирующих работу и трафик.
При каждом включении телефона после выбора сети начинается процедура регистрации. Рассмотрим наиболее общий случай - регистрацию не в домашней, а в чужой, так называемой гостевой, сети (будем предполагать, что услуга роуминга абоненту разрешена).
Пусть сеть найдена. По запросу сети телефон передает IMSI абонента. IMSI начинается с кода страны "приписки" его владельца, далее следуют цифры, определяющие домашнюю сеть, а уже потом - уникальный номер конкретного подписчика. Например, начало IMSI 25099… соответствует российскому оператору Билайн. (250-Россия, 99 - Билайн). По номеру IMSI VLR гостевой сети определяет домашнюю сеть и связывается с ее HLR. Последний передает всю необходимую информацию об абоненте в VLR, который сделал запрос, а у себя размещает ссылку на этот VLR, чтобы в случае необходимости знать, "где искать" абонента.
Алгоритмы аутентификации
Прежде всего рассмотрим использование пароля - PIN-кода - одного из наиболее простых методов аутентификации. Он дает очень низкий уровень защиты в условиях использования радиосвязи. Достаточно услышать этот персональный код всего лишь один раз, чтобы обойти средства защиты. В действительности GSM использует PIN-код в сочетании с SIM (Subscriber Identify Module): данный PIN-код проверяется на месте самим SIM без передачи в эфир. Помимо него GSM использует более сложный метод, который состоит в использовании случайного числа (от 0 до 2128 - 1), на которое может ответить только соответствующее абонентское оборудование (в данном случае - SIM). Суть этого метода в том, что существует огромное множество подобных чисел и поэтому маловероятно, что оно будет использовано дважды. Ответ, который называется SRES (Signed RESULT - подписанный результат), получают в форме итога вычисления, включающего секретный параметр, принадлежащий данному пользователю, который называется Ki (рис. 1).
Секретность Ki является краеугольным камнем, положенным в основу всех механизмов безопасности, - свой собственный Ki не может знать даже абонент. Алгоритм, описывающий порядок вычисления, называется алгоритмом A3. Как правило, такой алгоритм хранится в секрете.
Для того чтобы достигнуть требуемого уровня безопасности, алгоритм A3 должен быть однонаправленной функцией, как ее называют эксперты-криптографы. Это означает, что вычисление SRES при известных Ki и RAND должно быть простым, а обратное действие - вычисление Ki при известных RAND и SRES - должно быть максимально затруднено. Безусловно, именно это и определяет в конечном итоге уровень безопасности. Значение, вычисляемое по алгоритму A3, должно иметь длину 32 бита. Ki может иметь любой формат и длину.
Рис. 1. Блок-схема вычисления аутентификации
Шифрование
Криптографические методы дают возможность с помощью относительно простых средств добиться высокого уровня безопасности. В GSM используются единые методы для защиты всех данных, будь то пользовательская информация: передача сигналов, связанных с пользователем (например, сообщений, в которых содержатся номера вызываемых телефонов), или даже передача системных сигналов (например, сообщений, содержащих результаты радиоизмерений для подготовки к передаче). Необходимо различать только два случая: либо связь оказывается защищенной (тогда всю информацию можно отправлять в зашифрованном виде), либо связь является незащищенной (тогда вся информация отправляется в виде незашифрованной цифровой последовательности).
Как шифрование, так и дешифрование производятся с применением операции "исключающее или" к 114 "кодированным" битам радиопакета и 114-битовой последовательности шифрования, генерируемой специальным алгоритмом, который называется А5. Для того чтобы получить последовательность шифрования для каждого пакета, алгоритм А5 производит вычисление, используя два ввода: одним из них является номер кадра, а другим является ключ, который называется Кс, известный только мобильной станции и сети (рис. 2). В обоих направлениях соединения используются две разные последовательности: в каждом пакете одна последовательность используется для шифрования в мобильной станции и для дешифрования на базовой станции (BTS), в то время как другая последовательность используется для шифрования в BTS и дешифрования в мобильной станции.
Рис. 2. Блок-схема процессов шифрования и дешифрования по алгоритму А5
Номер кадра меняется от пакета к пакету для всех типов радиоканалов. Ключ Кс контролируется средствами передачи сигналов и изменяется, как правило, при каждом сообщении. Этот ключ не предается гласности, но поскольку он часто меняется, то не нуждается в столь сильных средствах защиты, как например, ключ Кі. Кс можно свободно прочитать в SIM.
Алгоритм A5 необходимо устанавливать на международном уровне, поскольку для обеспечения MS-роуминга он должен быть реализован в рамках каждой базовой станции. Алгоритм А5 выводит последовательность шифрования из 114 бит для каждого пакета отдельно, с учетом номера кадра и шифровального ключа Кс. На данный момент один-единственный алгоритм А5 установлен для использования во всех странах. В настоящее время базовые станции могут поддерживать три основных варианта алгоритма А5: А5/1 - наиболее стойкий алгоритм, применяемый в большинстве стран;
А5/2 - менее стойкий алгоритм, внедряемый в странах, в которых использование сильной криптографии нежелательно;
А5/0 - отсутствует шифрование.
В России применяется алгоритм А5/1. По соображениям безопасности его описание не публикуется. Этот алгоритм является собственностью организации GSM MOU. Тем не менее его внешние спецификации обнародованы и его можно представить как "черный ящик", принимающий параметр длиной 22 бита и параметр длиной 64 бита для того, чтобы создавать последовательности длиной 114 бит. Как и в случае с алгоритмом аутентификации A3, уровень защиты, предлагаемой алгоритмом А5, определяется сложностью обратного вычисления, то есть вычисления Кс при двух известных 114-битовых последовательностях шифрования и номера кадра. защита информация сотовый сеть
Управление ключами
Ключ Кс до начала шифрования должен быть согласован мобильной станцией и сетью. Особенность стандарта GSM заключается в том, что ключ Кс вычисляется до начала шифрования во время процесса аутентификации. Затем Кс вводится в энергонезависимую память внутри SIM с тем, чтобы он хранился там даже после окончания сеанса связи. Этот ключ также хранится в сети и используется для шифрования.
Рис. 3. Блок-схема вычисления Кс
Алгоритм А8 используется для вычисления Кс из RAND и Ki (рис. 3).
Фактически алгоритмы A3 и А8 можно было бы реализовать в форме одного-единственного вычисления. Например, в виде единого алгоритма, выходные данные которого состоят из 96 бит: 32 бита для образования SRES и 64 бита для образования Кс. Следует отметить, что длина значимой части ключа Кс, выданная алгоритмом А8, устанавливается группой подписей GSM MOU и может быть меньше 64 бит. В этом случае значимые биты дополняются нулями для того, чтобы в этом формате всегда были использованы все 64 бита.
Всякий раз, когда какая-либо мобильная станция проходит процесс аутентификации, данная мобильная станция и сеть также вычисляют ключ шифрования Кс, используя алгоритм А8 с теми же самыми вводными данными RAND и Ki, которые используются для вычисления SRES посредством алгоритма A3.
Средства защиты идентичности пользователя
Шифрование оказывается весьма эффективным для защиты конфиденциальности, но не может использоваться для защиты каждого отдельно взятого обмена информацией по радиоканалу. Шифрование с помощью Кс применяется только в тех случаях, когда сети известна личность абонента, с которым идет разговор. Понятно, что шифрование не может применяться для общих каналов, которые принимаются одновременно всеми мобильными станциями в данной сотовой ячейке и в соседних сотовых ячейках (иначе говоря, оно может применяться с использованием ключа, известного всем мобильным станциям, что абсолютно лишает его смысла как механизма безопасности). При перемещении мобильной станции на какой-либо специальный канал некоторое время происходит "начальная загрузка", в течение которой сеть еще не знает личности абонента и, следовательно, шифрование его сообщения невозможно. Поэтому весь обмен сигнальными сообщениями, несущий сведения о личности неопределенного абонента, должен происходить в незашифрованном виде. Какая-либо третья сторона на данной стадии может подслушать информацию. Считается, что это ущемляет права личности, поэтому в GSM введена специальная функция, позволяющая обеспечить конфиденциальность такого рода.
Защита также обеспечивается путем использования идентификационного псевдонима или TMSI (временный идентификатор мобильного абонента), который используется вместо идентификатора абонента IMSI (международный идентификатор мобильного абонента) в тех случаях, когда это возможно. Этот псевдоним должен быть согласован заранее между мобильной станцией и сетью.
Архитектура и протоколы
Действующие лица и протоколы, участвующие в организации безопасности, являются практически теми же, что и в случае организации мест нахождения, и это служит оправданием их включения в аналогичную функциональную область. Тем не менее при организации безопасности ведущие роли меняются и должны быть отнесены к SIM со стороны мобильной станции, а также к Центру аутентификации (AUC), который можно рассматривать как часть защиты со стороны сети.
SIM и AUC являются хранилищами ключа Ki абонента. Они не передают эти ключи, но выполняют вычисления A3 и А8 сами. Если говорить об аутентификации и установке ключа Кс, то все остальные виды оборудования выполняют промежуточную роль. AUC не участвует в других функциях и является средством для создания дополнительного слоя защиты вокруг ключей Ki.
На SIM возлагается большинство функций безопасности со стороны мобильных станций. Он хранит Ki, вычисляет зависимые от оператора алгоритмы АЗ/А8 и хранит "бездействующий" ключ Кс. Существование SIM как физической единицы отдельно от мобильного оборудования является одним из элементов, допускающих гибкость в выборе АЗ/А8. Производителям мобильного оборудования нет необходимости знать о спецификациях этих алгоритмов, предназначенных для операторов. С другой стороны, производители SIM обязаны внедрять потенциально разные алгоритмы для каждого из своих заказчиков-операторов, но проблемы конкуренции, массового производства и распределения являются принципиально иными в сравнении с проблемами рынка мобильного оборудования.
SIM полностью защищает Ki от чтения. Технология чиповых карт, внедренная за некоторое время до того, как GSM приступила к производству этих миниатюрных электронных сейфов, идеально подходила для этой цели. Единственный доступ к Ki происходит во время первоначальной фазы персонализации SIM.
Суровая реальность: вскрытие криптозащиты и клонирование телефонов GSM
Как известно, цифровые стандарты сотовой связи второго поколения очень хорошо защищены от прослушивания. Но с течением времени мощность вычислительных средств возрастает, поэтому для обеспечения информационной безопасности разработчикам приходится внедрять новые стандарты. Так, недавно Ассоциация GSM утвердила новый алгоритм шифрования информации, получивший индекс А5/3. Его внедрение поднимет защищенность сотовой связи стандарта GSM на более высокий уровень. Естественно, что новый стандарт был разработан с учетом всех изменений, которые претерпел стандарт GSM за последние годы. Он поддерживает шифрование голоса и данных в сетях GPRS и EDGE (стандарт сотовой связи III поколения). Предполагается, что стандарт А5/3 будет немедленно внедряться в эксплуатацию. Принятие нового стандарта А5/3 еще более остро поставило вопрос о текущей защищенности GSM-сетей. Официально в мире нет оборудования, которое позволяет в реальном режиме времени производить перехват и раскодирование GSM-переговоров. Однако существующие сведения позволяют сомневаться в этой информации. В англоязычном сегменте Интернета ряд компаний предлагает оборудование для перехвата голосового трафика GSM-сетей. Их реклама ведется достаточно открыто, однако на их сайты доступ ограничен простым пользователям. В российском сегменте достаточно часто попадаются записи на электронных досках объявлений о продаже соответствующего оборудования, причем за весьма небольшую сумму. Все это говорит о том, что защищенность GSM-сетей несколько преувеличена.
Напомним, что криптозащита сотовой связи стандарта GSM обеспечивается тремя секретными алгоритмами: А3 - алгоритм, используемый при аутентификации пользователя, он же защищает его от клонирования;
А5 - алгоритм шифрования голосового трафика, который и обеспечивает защиту телефонных переговоров; до недавнего времени в мире существовало две его версии: А5/1 - усиленный алгоритм, используемый в некоторых странах, А5/2 - его ослабленный аналог;
А8 - алгоритм генерации ключа, который берет результат работы А3 и превращает его в сеансовый ключ А5; алгоритм А5, отвечающий за защиту переговоров от перехвата, реализован на аппаратном уровне в мобильных телефонах и базовых станциях.
В режиме реального времени информация кодируется, затем происходит передача сигнала. После этого в телефоне или базовой станции производится обратный процесс и абонент слышит голос собеседника. Остальные два алгоритма зашиты в SIM-карте. Данная архитектура криптозащиты позволяет заявлять, что GSM-связь надежно защищена не только от прослушивания, но и от клонирования абонентского номера. Самым важным звеном в этой цепочке защиты является алгоритм А5. До определенного времени принципы его работы знало очень ограниченное число людей. Ассоциация GSM не допускала утечек информации по этому вопросу, однако любые секреты рано или поздно перестают быть таковыми. Так, основные детали алгоритма А5 стали известны в 1994 г. Кроме этого, компания British Telecom передала документацию по нему Брэдфордскому университету, забыв заключить соглашение о неразглашении данной информации. И наконец, на одной из конференций в Китае было опубликовано описание алгоритма А5. Таким образом, имеющейся информации стало достаточно для составления достаточно полной картины его функционирования и ученые из Кэмбриджа М. Роэ и Р. Андерсон еще в 1994 г. опубликовали приблизительную криптосхему. После разглашения основных данных алгоритма А5 многие ученые и хакеры начали искать возможность вскрыть сам шифр. И вскоре поступила информация, что защита GSM -переговоров на самом деле не так прочна. Дело в том, что алгоритм А5 реализует поточный шифр на основе трех линейных регистров сдвига с неравномерным движением. Эта схема дает достаточно высокую степень защиты при выборе оптимальных параметров. Так, в GSM сетях используется 64-битный ключ, который обеспечивается тремя регистрами в 19, 22 и 23 бита (что дает в сумме искомые 64 бита). Лобовая атака, использующая определенный алгоритм, улавливающий взаимосвязь между первыми двумя и третьим регистрами, уже дает сложность порядка 240. Кроме этого, алгоритм А5 был подвергнут корреляционному анализу, который позволяет узнать ключ путем использования информации о заполнении регистров. В 1994 г. доктор Саймон Шеферд собирался представить на коллоквиуме IEE всем слушателям свой метод вскрытия, однако в последний момент его выступление было запрещено британской штабквартирой правительственной связи. В результате этот доклад вышел только в засекреченном сборнике. Через пару лет уже другие специалисты по криптографии отличились в деле вскрытия алгоритма А5. Например, помимо усовершенствования системы лобовых атак вскоре был описан интересный механизм, основанный на методе "балансировка время-память". За счет вычислений, которые предшествовали вскрытию ключа, можно было сократить перебор до 222, однако для этого требовалось 64 терабайта дисковой памяти. Несмотря на то, что даже в настоящий момент эта величина выгладит очень большой, стала прослеживаться тенденция к скорому осуществлению задачи.
Действительно, вскоре в сети Интернет появилась информация о вскрытии системы в режиме реального времени. В начале 1999 г. в лаборатории SDA (Smartcard Developer Association) были восстановлены и проверены алгоритмы А5/1 и А5/2. При этом было доказано, что в варианте А5/2 используется специальный регистр длиной 17 бит, управляющий движением информации в первых трех регистрах. При этом простой перебор позволил вскрыть этот шифр за 15 мс работы ПК (сложность 216). Алгоритм А5/1 также не остался в стороне, и вскоре было объявлено, что использование специального метода позволило узнать шифр за секунду на компьютере с оперативной памятью 128 Мб и двумя жесткими дисками по 73 Мб, правда, при условии длительности разговора не менее двух минут. Сейчас эти методы тщательно изучаются различными учеными-криптографами, и выводы будут сделаны чуть позже.
Что касается клонирования, то уже в 1998 г. были продемонстрированы первые результаты возможности клонирования SIM-карты. Этот результат осуществила группа компьютерных экспертов из Калифорнии. Естественно, что представители Ассоциации GSM сразу объявили эти попытки лабораторными и не несущими угрозы GSM-сообществу мира, однако через некоторое время в других странах мира с более либеральным законодательством стали появляться сообщения о демонстрации клонирования SIM-карты. Конечно, Россия также не могла остаться в стороне, и в сети Интернет можно найти информацию об осуществлении таких попыток и даже о реализации незаконного бизнеса на этой почве. Таким образом, утверждение алгоритма А5/3 как нельзя кстати подошло ко времени. Он позволит поднять информационную защиту на несколько порядков. В отличие от прошлых лет разработчики обещают выставить методы работы А5/3 на всеобщее обозрение, чтобы защититься от "проколов", которые были выявлены в предыдущих алгоритмах.
До сих пор считалось, что телефоны GSM обладают столь надежной защитой, что их нельзя не только прослушать, но и размножить, то есть сделать несколько аппаратов, одновременно пользующихся одним и тем же номером.
SDA и двое исследователей из университета Беркли сообщили, что им удалось клонировать сотовые телефоны стандарта GSM.
Стандарт GSM, разработанный Европейским институтом телекоммуникационных стандартов (European Telecommunications Standard institute), на сегодняшний день является самым распространенным в мире - он используется в 79 млн. сотовых аппаратов, преимущественно в странах Европы и Азии. Возможность взлома защиты GSM еще раз доказывает, что единственная гарантия надежности криптографических алгоритмов - это их абсолютная открытость. Засекреченные системы, использующиеся в GSM и не только, практически неизбежно оказываются уязвимыми. Все тайное рано или поздно становится явным.
Напомню, что зашифрованные данные абонента GSM хранятся в небольшой смарт-карте, которая вставляется в телефон. Без карты, называемой также модулем идентификации пользователя SIM, аппарат представляет собой бесполезную оболочку. Карту, идентифицирующую владельца, можно использовать с любым стандартным телефоном. Обнаруженная "дыра" в безопасности позволяет извлечь секретную информацию из одного SIM и переписать ее в другой, создав точную копию первого телефона. Клонировать телефон, перехватывая информацию в эфире, пока еще нельзя, но SDA не исключает такой возможности в будущем.
Установив, какие именно криптографические методы используются в GSM, SDA привлекла для их изучения двух исследователей из университета Беркли - Дэвида Вагнера и Айана Голдберга. Менее чем за сутки они обнаружили "дыру" в алгоритме COMP128, который используется для защиты информации в SIM. По словам Вагнера, "дыру" давно бы нашли и устранили, если бы алгоритмы были опубликованы.
Какие выводы можно сделать из громкого взлома еще одной защиты? Прежде всего, владельцам сотовых телефонов пока не следует особо беспокоиться. Без физического доступа, по крайней мере, на несколько часов, сегодня их аппарат никто не сможет клонировать, однако гарантий на будущее никаких нет. Операторы же сотовых сетей оказываются в очень неприятной ситуации. Хотя существует несколько альтернатив COMP128, сегодня этот протокол поддерживается во всех сетях GSM. Более того, уверенность в защите от клонирования была столь высока, что, по данным SDA, большинство операторов даже не производит проверку на одновременное включение одинаковых телефонов.
Одной из причин, объясняющих, почему разработчики GSM держали в секрете алгоритмы, возможно, является их сотрудничество со службами контроля. Исследователи той же самой SDA обнаружили намеренное ослабление другого шифра - А5, который используется для защиты переговоров от прослушивания. Этот шифр имеет 64-битный ключ, однако реально в нем используются лишь 54 бита, а 10 просто заменены нулями. "Единственная сторона, которая заинтересована в ослаблении защиты, это национальные службы надзора, - сказал директор SDA Марк Брисено, - покупателям нужна секретность переговоров, а операторы не несут дополнительных расходов от использования полноразмерного ключа".