Согласно отчету Ассоциации GSA к началу 2021 года в мире насчитывается 806 действующих сетей мобильной связи четвёртого поколения (4G/LTE). Новых сетей уровня 5G пока зарегистрировано всего 140, но аналитики прогнозируют их стремительный рост и быстрое вытеснение 4G/LTE в ближайшие годы. Уже сейчас 5G позволяет быстро передавать гигабайты развлекательного контента в 59 странах. Однако для использования в деловых переговорах и других ответственных сферах требуется сделать сети 5G не просто быстрыми, но и максимально защищёнными.
Типовые атаки
Впервые о потенциальной уязвимости сетей 4G/LTE и 5G заговорили в 2018 году после выхода статьи двух исследователей из Университета Калифорнии в Лос-Анджелесе (UCLA). Они обращают внимание на то, что для генерации ключевого потока (гаммы) используются ключ и вектор инициализации (IV). При этом сами ключи формируются с помощью одной процедуры, а все переменные, используемые для создания уникального вектора, передаются другой процедурой. Из-за несогласованной работы двух процедур существует временной диапазон (около 10 секунд в эксперименте авторов) между голосовыми вызовами (Voice over LTE — VoLTE), когда возникают подходящие условия для атаки по типу повторного использования гаммы.
Исторически подобные атаки часто становились возможны там, где были допущены ошибки формирования уникального ключевого потока. Аналогичные по сути методы взлома успешно демонстрировались в сетях Wi-Fi. Например, в старом алгоритме WEP можно перехватить пакет с ранее использованным вектором инициализации. Даже в актуальном по сей день WPA2 можно заставить оборудование повторно задействовать уже использованный ключ на этапе рукопожатия (установления связи клиентского оборудования с точкой доступа).
Старые атаки в новых протоколах
Эксплуатацию одной из уязвимостей LTE недавно показали криптографы Рурского университета в Бохуме и Нью-Йоркского университета в Абу-Даби. Они представили атаку ReVoLTE, которая позволяет подслушивать телефонные звонки в VoLTE и не требует больших затрат на проведение.
Профессор криптографии в Университете Джона Хопкинса Мэтью Грин в своём блоге поясняет, что основная проблема тут заключается в сырости моста между GSM и 5G, каковым, по сути, является VoLTE. Стандарты беспроводной связи годами разрабатываются при участии правительственных регуляторов. Они изобилуют объёмными и противоречивыми описаниями, канцеляризмами, внешними ссылками и размытыми рекомендациями вместо набора жёстких требований. Поэтому никто не может точно исполнить их и провести независимый аудит безопасности за приемлемое время.
В результате и производители оборудования, и операторы сотовой связи делают так, как им проще для формального соответствия стандарту. В частности, популярная реализация протокола инициирования сеанса (SIP) выполняет сброс счётчика (CTR) между голосовыми вызовами (VoLTE), но не всегда успевает сменить ключ перед следующим звонком.
Это приводит к повторному использованию гаммы для разных и близких по времени сеансов голосовой связи. Важное условие: атакующий должен подключиться к той же базовой станции, что и атакуемая сторона.
Как это работает
Чтобы понять суть атаки, рассмотрим простую схему шифрования голосовых вызовов в сетях 4G/5G (VoLTE). Сначала импульсы с микрофона оцифровываются и режутся фрагментами длительностью около 20 миллисекунд. Они преобразуются в битовые последовательности, которые сохраняются в буфер. Каждая из них — это незашифрованный или открытый текст (обозначается «M») в терминологии криптографии. Далее на него с помощью логической операции XOR (обозначается знаком ⊕) накладывается гамма (G), и получается зашифрованное сообщение (E), которое и отправляется по сети мобильной связи. То есть E = M ⊕ G.
Гамма формируется алгоритмом шифрования, обозначаемым в спецификациях 3GPP как EEA. Его выбор строго не регламентируется, но на практике чаще всего применяется алгоритм AES, работающий в режиме счётчика (CTR).
Согласно спецификациям, этот счётчик должен сбрасываться при каждом новом соединении, а ключ шифрования — автоматически меняться. Однако особенность практической реализации VoLTE в том, что в реальности ключ меняется только при переходе смартфона (или другого клиентского устройства) из состояния ожидания в активный режим.
Если между голосовыми вызовами прошло всего несколько секунд, то смартфон вряд ли перешёл в режим энергосбережения. Следовательно, ключ не успел измениться. Поэтому злоумышленник может частично восстановить перехваченный разговор, просто сделав новый голосовой вызов сразу после интересующего. Успешность атаки обусловливает слабость протокола, на уровне которого формирование ключа происходит ещё до поднятия трубки. То есть жертве даже не обязательно отвечать на звонок.
Часто при анализе аудиоданных их полное восстановление и не требуется. В эксперименте с двумя крупными европейскими операторами связи авторы статьи о ReVoLTE смогли восстановить 89% зашифрованного разговора, чего вполне достаточно для раскрытия коммерческой тайны.
Меры противодействия
Теоретически для предотвращения повторного использования той же гаммы в VoLTE достаточно выпустить патч, принудительно меняющий ключ и не допускающий повторения IV между вызовами. Однако оборудование везде разное, вопросы совместимости всегда сложные, и такое обновление может оказаться слишком дорогой полумерой.
Поэтому более эффективно разрабатывать концептуально иные методы противодействия известным атакам. Например, Мэтью Грин предлагает сделать шифрование голосовых вызовов на более высоком уровне сетевого стека OSI или вообще применять сквозное шифрование. Оба способа сделают шифрование в мобильных сетях независимым от производителей сотового оборудования. Это особенно важно в контексте шпионских скандалов с Huawei и Cisco, где вопрос доверия поставщикам оборудования ставится во главу угла.
Революция или эволюция?
Противники быстрого перехода на 5G ратуют за сохранение и постепенное развитие 4G/LTE. Они аргументируют свою позицию тем, что сейчас апгрейд оборудования обойдётся неоправданно дорого, а его преимущества будут неочевидны для большинства абонентов. Однако с позиции защищённости данных переход на принципиально новый стандарт лучше очередных попыток доработать существующий.
Залог успеха здесь в том, чтобы уже на этапе разработки стандарта могли подключиться ведущие специалисты по криптографии. В настоящее время в НПК «Криптонит» проводятся исследования безопасности процедур аутентификации и согласования ключей 5G-AKA и EAP-AKA, а также стойкости механизмов формирования ключей шифрования и контроля целостности на радиоинтерфейсе.
Дополнительно осуществляется поддержка данных исследований в части описания используемых протоколов, команд и процедур, а также потенциальных способов повышения уровня безопасности.
Вместе российские и европейские криптографы делают всё от них зависящее, чтобы сети мобильной связи пятого поколения были лучше защищены.
Более подробно об атаке ReVoLTE читайте в научном блоге НПК «Криптонит».
Источник информации и иллюстраций: НПК «Криптонит»
