Немецкие криптографы Бенедикт Дриссен (Benedikt Driessen) и Ральф Хунд (Ralf Hund) объявили об успешном взломе шифров, которые используются для защиты данных в двух конкурирующих стандартах спутниковой телефонии GMR-1 и GMR-2. Хотя спутниковая связь — это довольно нишевый рынок, в мире насчитывается всего около 100 тыс. абонентов спутниковой связи, однако работа немецких специалистов представляет собой интерес как наглядный пример ненадёжности шифров, основанных на секретности (security through obscurity). Кроме того, взлом шифров имеет большое значение для некоторых пользователей спутниковой связи, а это армия, полиция, МЧС и другие важные персоны.
Немецкие криптографы сообщают, что им удалось осуществить полный обратный инжиниринг алгоритмов ширования в GMR-1 и GMR-2. Оба эти шифры ранее держались в секрете. Например, на сайте ETSI опубликованы полные спецификации GMR-1, за исключением шифрования.
Стандарт GMR-1 используется компанией Thuraya и многими другими операторами спутниковой связи, а GMR-2 используется компанией Inmarsat.
Специалисты опубликовали способ восстановления алгоритмов из апдейтов прошивки DSP-процессоров от коммерческих моделей спутниковых телефонов. Для этого они написали специальный дизассемблер и инструменты для анализа кода. Они проделали работу на двух DSP-процессорах от телефонов различных производителей, однако для полной уверенности эту работу должны ещё повторить другие специалисты на других телефонах.
Шифр GMR-1 был дизассемблирован из прошивки телефона Thuraya SO-2510, где используется DSP-процессор Texas Instruments C55x.
Thuraya SO-2510
Для получения шифра GMR-2 взяли телефон Inmarsat IsaPhonePro.
Inmarsat IsaPhonePro
Как выяснилось, шифр GMR-1 представляет собой проприетарный вариант алгоритма GSM A5/2, в то время как GMR-2 — это совершенно новый алгоритм.
Дальнейший криптоанализ выявил ожидаемые слабости шифров. Для GMR-1 можно приспособить те же самые методы взлома, которые успешно применяются для GSM A5/2 (подробное описание здесь). В целом, подбор ключа на обычном ПК занимает не больше 30 минут: средняя сложность 232 шага.
Для GMR-2 пришлось проектировать новую методику взлома, но здесь ситуация не лучше. Судя по всему, тут возможно провести атаку на основе открытых текстов (known-plaintext attack), то есть можно точно сказать, в каких блоках потока находится ключ. При небольшом анализе потока можно сделать достоверное предположение о содержании этих блоков, а потом с помощью брутфорса подобрать недостающую часть ключа. Вычисление занимает около 1 секунды на стандартном ПК. Впрочем, данный криптоанализ пока существует только в теории, на практике же специалисты ещё не испытали атаку на основе открытых текстов в применении к реальным сессиям GMR-2.
