Wednesday, July 24, 2013

Всего три слайда

Немного сокращено.

...почти любой из слайдов внутренних презентаций АНБ США, оказавшихся ныне на страницах СМИ, можно трактовать двояко. С одной стороны, как содержательную информацию о реальных технологиях и масштабах компьютерного шпионажа. А с другой стороны — как аллегорию, отражающую ту или иную грань почти всеобщей слепоты общества, не имеющего практически никакого представления о реальных механизмах власти и тайных делах спецслужб...

Ниже есть продолжение.

СЛАЙД №1: «ГРЯЗЬ ПО КАПЛЯМ»
Начать иметь смысл с наименее выразительного, на взгляд многих, слайда. На котором нет ни впечатляющих блок-схем о работе систем перехвата АНБ, ни таблиц с перечислением ведущих ИТ-корпораций как провайдеров, снабжающих разведку США данными и коммуникациями всех своих клиентов.



На этом же невзрачном слайде чуть ли не единственно содержательная информация говорит о том, что технология перехвата под названием DROPMIRE внедрена американской спецслужбой в факсимильный шифратор Cryptofax, засекречивающий переписку посольства Евросоюза в Вашингтоне.

Чтобы сразу стало ясно, насколько взгляд специалиста отличается от взгляда несведущего человека, далее полезно привести рассказ Маркуса Куна, которого именно этот слайд — среди всех прочих разоблачений Сноудена — заинтриговал наибольшим образом. Причина обостренного интереса в том, что в открытом академическом сообществе Маркус Кун является одним из главных специалистов в области TEMPEST. Этим кодовым словом уже довольно давно принято называть особые шпионские технологии, которые через побочные компрометирующие излучения аппаратуры позволяют похищать информацию о содержании тех документов, которые данные аппараты обрабатывают.

Тему TEMPEST принято считать очень большим секретом спецслужб. Так что о том, как подобные вещи делаются ныне у шпионов, информации в открытой литературе почти что нет. Но на рубеже восьмидесятых и девяностых годов это направление исследований было самостоятельно «переоткрыто» академическим сообществом ученых и специалистов по компьютерной безопасности. От них-то постепенно публика и узнала про возможности TEMPEST много интересного.

И вот, поскольку Куну, работающему в Компьютерной лаборатории Кембриджа, в свое время доводилось лично проводить массу экспериментов по перехвату компрометирующих сигналов-утечек от офисного оборудования, то в слайде про Евросоюз и DROPMIRE он тут же распознал хорошо знакомую ему картинку. Сильно зашумленное изображение в нижней трети слайда — это то, что исследователь может получить из эфира, если станет целенаправленно прослушивать его с помощью качественного радиоприемника на предмет выявления компрометирующих излучений. В частности, очень похожим образом выглядит перехватываемый видеосигнал от дисплея с изображением страницы текста.

В ходе своих исследований Маркус Кун больше всего занимался побочными утечками от катодно-лучевых кинескопов и LCD-дисплеев компьютеров, а излучения факсимильной техники в его круг интересов прежде как-то не попадали. Кроме того, Кун особо подчеркивает, что не знает больше ничего о данном конкретном случае, кроме освещаемого в газетах. Однако тщательное рассмотрение зашумленного сигнала со слайда дает ему несколько существенных подсказок о работе конкретно этой шпионской технологии. Давайте приглядимся, предлагает он, к тому, как именно выглядит текст заглавными буквами — EC NCN:



Можно заметить, что только вертикальные края этих букв обозначены как яркие линии, в то время как соответствующие горизонтальные края по сути дела отсутствуют (например, в буквах E и N). Теперь представим себе, что устройство, от которого перехватывается сигнал, — это факс-машина на основе движка лазерного принтера. В таком аппарате луч лазера последовательно, один за другим, экспонирует пиксели изображения на светочувствительный, электрически заряженный барабан. Если лазер включен, то в той точке, где он освещает барабан, происходит снятие заряда статического электричества, так что порошок тонера не прилипнет, и в результате это будет белый пиксель. Если же лазер выключен, то поверхность барабана остается заряженной, тонер прилипнет, затем перейдет на бумагу, результатом чего на отпечатке становится черный пиксель.

Типичный принтер такого рода имеет единственный лазерный диод, который последовательно и по одному наносит пиксели на печатаемую страницу — строка за строкой. Теперь пора отметить, что всякий раз, когда лазерный диод включается и выключается, то от кабеля, который его питает, происходит электромагнитный всплеск сигнала, или клик. И вот этот клик можно услышать с помощью радиоприемника, который настроен перехватчиком на множество таких частей радиоспектра, где обычно бывает тишина.

При частоте пикселей порядка нескольких мегагерц (в зависимости от разрешения картинки и скорости печати) стандартный AM-радиоприемник, предназначенный для прослушивания обычных радиопередач, не способен к восприятию такой быстрой последовательности кликов. Однако хороший лабораторный приемник с диапазоном рабочих частот, охватывающих много мегагерцев, данную задачу решает.

Полученную в результате волновую форму затем можно оцифровать и конвертировать в растровую картинку (то, как именно это делается, в подробностях исследуют несколько статей и технических отчетов Маркуса Куна, а ссылка на рассказ об этой работе по-русски приведена в конце раздела).

Ну а теперь, предлагает Кун, давайте устроим моделирование-симуляцию того, как может выглядеть результат эфирного перехвата сигнала от лазерного принтера, который печатает на бумагу уже знакомую нам последовательность букв EC NCN. В верхней части иллюстрации — собственно текст, который перехватывается, а внизу — то, что перехватчик увидит как результат своей работы:



По мере того как лазерный луч сканирует изображение текста строка за строкой, каждый раз, когда он включается или выключается, то есть всякий раз при переходе между белой и темной частями картинки, оказывается возможным визуализировать сопутствующий широкополосный «клик» в эфире — как яркий пиксель. Таким образом, любой вертикальный край буквы превращается в яркую вертикальную линию. В то же время горизонтальные края остаются невидимыми. Плюс к этому вы получаете на картинке фоновый шум — от множества всевозможных других вещей, которые в это же время происходят в той же самой части радиоспектра.

Кун подчеркивает, что на приведенной выше картинке он просто смоделировал достаточно типичный TEMPEST-процесс. В реальной картинке, приводимой на слайде газетами, конечно же, имеются некоторые отличия от модели Куна. Во-первых, строки сканируемого изображения могут не быть строго горизонтальными, во-вторых, появляются отличия из-за других шрифтов печати или иной разрешающей способности. В-третьих...

Впрочем, дальнейшие подробности из технической части анализа Куна именно здесь уже вряд ли важны и уместны (все интересующиеся могут найти оригинал этого исследования по адресу). И без того, наверное, уже всем ясно, что шпионская технология DROPMIRE является одной из разновидностей Tempest-атак. Куда же более содержательным представляется переход к «аллегорической» компоненте топ-секретного слайда. Причем начать тут удобно с примечательного слова-названия DROPMIRE, которое в обычных и стандартных англо-русских словарях не встречается. Более существенный (согласно лингвистическим правилам) второй корень MIRE означает «болото» или «грязь». А корень DROP, соответственно, «каплю» или «кидать» (брызгать). Иначе говоря, в вольно-ироническом переводе на русский эту технологию можно трактовать как нечто такое, что связано с копошениями шпионов в «брызгах грязи из болота»...

Подобная аллегория именно в данном случае представляется особо уместной по той причине, что шпионят тут за посольством Евросоюза. То есть, грубо говоря, за такой организацией-говорильней без армии и спецслужб, решения которой не имеют никакого обязательного характера для стран-участниц. Однако подслушивание закулисных обсуждений и разборок в этой говорильне позволяет шпионам выявлять узлы противоречий, претензий и склок между членами ЕС, а затем использовать это «грязное бельишко» в интересах США.

Понятно, конечно, что подобная нечистоплотная возня не имеет абсолютно никакого отношения ни к борьбе с международным терроризмом, ни к «делу мира во всем мире». Однако копошение в грязи — это один из давних и весьма важных компонентов в работе не только американских, но и практически всех прочих секретных спецслужб. Именно через этот канал обычно отыскиваются слабые места политиков и других «объектов разработки», за которые их можно зацепить, как следует прищемить, а затем через беспощадный шантаж манипулировать людьми, словно послушными марионетками...

СЛАЙД №2: «ОБЛАЧНОСТЬ И ТУМАН»
Второй топ-секретный слайд из коллекции Сноудена посвящен разведывательной программе АНБ под названием PRISM. С помощью наглядной блок-схемы он отображает общие принципы, на основе которых функционирует эта система-пылесос для тотальной слежки за Интернетом.



Дабы суть этой любопытной картинки стала понятнее, следует выделить ее главные элементы: [a] собственно базу данных PRISM (очерченный пунктиром бокс, занимающий основную часть слайда); [b] множество ведущих провайдеров данных (Google, Yahoo, Apple, Facebook, Microsoft, Skype и так далее), наполняющих базу АНБ коммуникациями своих пользователей и совокупно обозначенных облаком в левой верхней части изображения; [c] важный блок под названием FBI DITU, выступающий в качестве своего рода «прокладки» между облаком провайдеров и облаком АНБ (плюс шпионскими облаками ЦРУ и самого ФБР).

Название блока FBI DITU расшифровывается как Data Intercept Technology Unit, или, по-русски, «Подразделение технологий перехвата данных в составе ФБР». Важнейшая особенность технических средств этого подразделения в том, что они непосредственно и на абсолютно законных основаниях встроены прямо в серверное оборудование всех провайдеров США. Благодаря именно этому оборудованию DITU, как принято считать, ФБР США имеет возможности для беспрепятственного обеспечения правоохранительной деятельности в Интернете — получая от провайдеров доступ к электронной почте, файлам хранения, чатам и всем прочим коммуникациям интернет-пользователей. В отличие от ФБР, разведслужбы США формально не имеют у провайдеров столь мощной технической базы. Поэтому считается, что они получают от провайдеров данные перехвата лишь по индивидуальным запросам, санкционированным специальным судом FISC, который надзирает за законностью шпионажа на американской территории.

Но одно дело, как это выглядит на бумаге, и совсем другое, как реализовано на практике. Формально провайдеры вроде Google или Facebook сообщают публике, что да, они обязаны по закону сотрудничать с разведкой, но делают это в очень ограниченных масштабах, время от времени пересылая в АНБ запрошенную информацию по FTP, старомодному каналу перекачки данных. Но ни о какой такой широкомасштабной программе PRISM никто из провайдеров и не слышал-то никогда.

На самом же деле, как выясняется, база данных АНБ фактически напрямую подключена к серверам провайдеров, но только через каналы DITU ФБР. А это означает, как свидетельствуют опубликованные Сноуденом документы, что в АНБ имеют возможность не только тотально перекачивать себе все что нужно, но и в реальном времени контролировать онлайновую жизнь своих «объектов» — сразу же получая сигналы об их заходе, скажем, в аккаунт электронной почты или об отправке очередного послания...

Отсюда понятно, наверное, что все эти ритуалы с «санкциями суда» и с пересылкой файлов через ftp служат, по сути, лишь в качестве прикрытия гигантской индустрии слежки. Или, образно выражаясь, в качестве тумана, скрывающего шпионские «облака», плотно накрывшие провайдеров. И дабы отсюда плавно перейти к обобщенно-метафорической значимости рассмотренного слайда, полезно вспомнить впечатляющую историю с компрометацией сотовой связи в Греции...

сли кто не в курсе или забыл, то в период 2004–2005 годов крупнейшему в Греции провайдеру GSM-телефонии Vodafone Greece некие загадочные и по сию пору «неустановленные силы» внедрили в аппаратуру чрезвычайно хитрую шпионскую закладку. Технически эта закладка для скрытного прослушивания абонентов была реализована на основе совершенно легального ПО, используемого в следственной работе правоохранительных органов и созданного самим поставщиком связного оборудования для Vodafone Greece, шведской фирмой Ericsson. Иначе говоря, техническая схема доступа тут была примерно та же, что и в истории с PRISM.

Главной же фишкой закладки было то, что оператор связи Vodafone Greece эту программу легального подслушивания для себя не приобретал и не устанавливал, а в сети компании шпионская подсистема работала как бы невидимо и неведомо для обслуги Vodafone. Но при этом на постоянной прослушке стояли телефоны премьер-министра Греции, его жены, ключевых фигур правительства, включая министров обороны и госбезопасности, а также многих других заметных лиц в государстве общим числом около 100.

Самым неприятным аспектом конкретно для Греции в этой истории оказалась невозможность признать правду. Обе ведущие партии страны, поочередно сменяющие друг друга у власти, в международных делах придерживаются откровенно проамериканской позиции. А независимые расследования истории с закладкой, как их ни тормозили и ни запутывали, все равно упорно указывали на США как на организатора выявленной прослушки. Хуже того, в прессе всплыли и четкие — вплоть до имен исполнителей — данные о том, что помогали устанавливать и настраивать эту закладку для американцев сотрудники греческой разведслужбы EYP.

Немало неприятностей доставил этот скандал и руководителям по уши замешанных в него компаний, английской Vodafone и шведской Ericsson. Во-первых, потому, что «теневые» телефоны сети, через которые прослушка ретранслировалась за рубеж, сливали этот материал на номера, расположенные не только в США, но также и в Британии и Швеции (прозрачно указывая на замешанность «в деле» национальных разведслужб этих государств).

Во-вторых, потому, что Ericsson категорически отказалась предоставить для изучения исходные коды программ, обеспечивающих «легальный перехват». А в-третьих, непосредственно с выявлением закладки оказалась связана таинственная смерть топ-менеджера Vodafone Greece, Костаса Цаликидиса. Хотя официально эту смерть расценили как самоубийство с неясными мотивами, в прессу Греции просочилась масса фактов, свидетельствующих о хладнокровном устранении спецслужбами невинного человека, который оказался неудобным и несговорчивым свидетелем преступления. Однако расследовать все эти факты власти Греции не пожелали.

Весьма похожий сценарий за последние годы разыгрывался во множестве стран, секретные спецслужбы которых тесно сотрудничают с США. Сначала в обществе разгорается громкий скандал в связи с разоблачением нелегальной прослушки, а затем неожиданно и без мотивов кончает самоубийством какая-нибудь ключевая фигура этого скандала...

...Если формулировать чуть иначе, применительно конкретно к Европе, в подобных преступлениях соучастниками так или иначе оказались спецслужбы чуть ли не всех европейских государств. А потому следует ли удивляться, сколь дружно и послушно все воздушное пространство Европы ныне было перекрыто для самолета президента Боливии — только лишь потому, что заокеанскому Большому Брату померещился на борту ненавистный Сноуден...

СЛАЙД №3: «МАСШТАБЫ ЗАРАЖЕНИЯ»
Последний из рассматриваемых здесь топ-секретных слайдов хронологически оказался слитым в прессу одним из самых первых. И по содержанию своему, пожалуй, представляется наиболее понятным для постороннего человека. Ибо суть картинки вполне внятно передает уже название слайда: «Даты, когда сбор данных в базу PRISM был начат от каждого из провайдеров» (11 сентября 2007 года — Microsoft, 14 января 2009 года — Google, 6 февраля 2011 года — Skype и так далее).



Пространно комментировать глубоко интимные для каждой из перечисленных компаний истории о том, как все они по очереди ложились под разведывательно-индустриальный комплекс США, здесь вряд ли будет уместно (для интересующихся, впрочем, в конце раздела помещены ссылки на исследования данной темы применительно к наиболее известным ИТ-корпорациям). Можно сказать, что по этой картинке и без всяких слов уже понятно, что база данных АНБ под названием PRISM имеет в Интернете все, что хочет (или, эквивалентно, всех, кого хочет)...

А потому от конкретного слайда можно сразу переходить к его метафорической составляющей. Которую в данном случае наилучшим, пожалуй, образом может представить известная среди специалистов по компьютерной безопасности книга под названием «Арсенал руткитов» («The Rootkit Arsenal» by Bill Blunden, Wordware Publishing, 2009). Точнее, нас здесь будет интересовать не собственно эта толстенная, на 900 с лишним страниц монография о наиболее изощренных методах компрометации компьютерных систем, а ее самая последняя глава, которую издательство в печать не пропустило. По той причине, что в ней автор книги, Билл Бланден, признается не то чтобы в розыгрыше читателей, а скорее в завуалированном донесении до них через этот большой технический текст очень важной, но крайне неприятной правды. Причем правда эта отнюдь не о компьютерах...

В первых же строках этой главы (опубликованной в Сети как отдельное эссе) автор работы «официально свидетельствует, что его книга The Rootkit Arsenal — это аллегория, замаскированная под техническую компьютерную книгу». Ибо под всей этой теорией о компрометации драйверов устройств и под исходными кодами программ лежит куда более глубокое послание — об очень серьезном заражении всей политической системы государства...

Любой человек, занимавшийся исследованием вредоносных программ, пишет Бланден, ныне знает, что для руткитов оказывается совершенно реальным поставить под контроль и целиком весь компьютер, и те машины, что с ним связаны. То есть внешне невинное и сравнительно небольшое приложение (размером меньше 500 килобайт) оказывается способным тихо и незаметно скомпрометировать всю систему, масштаб которой измеряется гигабайтами и в миллионы раз больше, чем собственно вредоносная программа.

Скомпрометировав компьютер, злоумышленник может встроить руткит глубоко внутрь инфраструктуры машины, а затем постепенно укреплять и усиливать эту основу, чтобы манипулировать всем множеством ключевых подсистем конструкции. Конечным же результатом этих тонких манипуляций становится то, что руткит обретает очень значительную степень скрытного влияния на работу всей системы. Все, что требуется для такого рода компрометации системы, — это правильно организованный доступ к ключевым функциям системы и детальное понимание того, как работают все эти вещи.

Отойдя чуть-чуть назад от деревьев, чтобы увидеть лес, поясняет Бланден, вы можете констатировать, что нечто очень похожее уже произошло с политической системой и структурой власти в Соединенных Штатах (а также, можно добавить здесь, в разной степени и с политической системой всех тех государств, которые оказались поражены той же самой заразой). В своем эссе автор развернуто обосновывает этот вывод с позиций эксперта по защите информации и просто наблюдательного человека. И если непредвзято смотреть на реальное состояние дел, с выводами Бландена трудно не согласиться. Политическая система «демократии западного образца» действительно глубоко скомпрометирована, причем в самом своем корне (system is rooted, как выражаются на английской интерлингве компьютерщики).


Дополнительные материалы

* Об истории рождения технологий Tempest в недрах спецслужб: «Секреты дальночувствия»;
* О темпест-исследованиях Маркуса Куна, позволяющих дистанционно снимать информацию с дисплеев компьютеров и экранов ТВ: «Волны компромата»;
* О специфических особенностях непотопляемого шефа ФБР Дж. Эдгара Гувера, снискавших ему титулы «сточной ямы, накапливающей грязь» и самого худшего политического деятеля за всю историю США: «Страницы жизни героя».

...

* О системе глобального перехвата и о систематическом шпионаже США против своих союзников: «Служба гибкой морали»;
* О тотальной компрометации защиты информации в системе сотовой связи GSM: «Что показало вскрытие».
* О крупномасштабной шпионской операции США против властей Греции: «Вопросы на греческом»;
* О множестве «загадочных» смертей, окружающих истории с массовым нелегальным прослушиванием телефонов: «Серийные самоубийцы»;
* Об истоках традиций спецслужб в области чистой уголовщины и физической ликвидации людей: «Правда жизни»;

...


* Об индустриальном размахе разведки и о совместных делах шпионов с корпорациями Microsoft и Booz Allen Hamilton (на которую работал Эд Сноуден): «Большая ЖрАТВА»;
* О том, сколь «давно и естественно» ведущие ИТ-корпорации сползают в мир секретных спецслужб: «Хитрости крипторемесла» (Microsoft ); «Если спишь с собаками» (Google); «Все ходы записаны» и «Власть кольца» (Apple); «Игры в слова» (Skype).



http://www.3dnews.ru/offsyanka/650677

GSM: Что показало вскрытие

Форматирование не сохранено. Полностью.

Глава из книги «Гигабайты власти» (2004), скомпилированная на основе нескольких публикаций периода 1999-2003.


Весной 2001 года на страницах респектабельных американских журналов New Yorker и New York Times Magazine стала появляться большая, размером во всю полосу реклама, отличавшаяся весьма необычным для столь коммерческого жанра содержанием. Над крупной фотографией сотового телефона была помещена надпись:

«Теперь оборудован для 3 сторон: вы; те кому вы звоните; правительство».

Это заявление — ни в коей мере не преувеличение, говорилось в дальнейшем тексте рекламы, поскольку оборотной стороной стремительного развития компьютерных коммуникаций стала для людей повышенная уязвимость их частной жизни. От звонков по сотовому телефону до электронной почты в Интернете — всюду право граждан на тайну личной информации находится ныне под угрозой.

Ниже есть продолжение.

этом, собственно, и состоял основной посыл рекламного объявления, опубликованного Американским союзом гражданских свобод (American Civil Liberties Union, ACLU) в нескольких ведущих национальных изданиях США. Активисты ACLU убеждены и доказывают, опираясь на факты, что правительственные спецслужбы постоянно нарушают конституцию, защищающую граждан от несанкционированной правительственной слежки.

Правда, после 11 сентября 2001 разведывательные и правоохранительные органы получили массу дополнительных санкций на усиление электронной слежки, а вести разговоры о чрезмерном вторжении государства в тайну личной жизни стало как бы несвоевременно и «антипатриотично».

А потому после 2001 года в Интернете заметно сократился объем новой содержательной информации о серьезных и явно искусственно созданных слабостях в защите коммуникационных компьютерных программ или, к примеру, в популярнейшей системе сотовой телефонии GSM.

Про защиту GSM, впрочем, практически все наиболее существенное стало уже известно уже к 2000 году – несмотря на многолетние попытки окружить подробности схемы завесой секретности.

Либо ложь, либо некомпетентность

Для начала — две цитаты. Две диаметрально противоположные точки зрения, которые сразу же дадут читателю представление об остроте проблемы.

Вот что говорил в конце 1999 Джеймс Моран, директор подразделения, отвечающего в консорциуме GSM за безопасность и защиту системы от мошенничества:

«Никто в мире не продемонстрировал возможность перехвата звонков в сети GSM. Это факт… Насколько нам известно, не существует никакой аппаратуры, способной осуществлять такой перехват». [1]

А вот реакция Питера Гутмана, весьма известного хакера-криптографа из Оклендского университета (Новая Зеландия):

«Имея ситуацию, когда целый ряд компаний продает оборудование для перехвата GSM (причем делается это уже в течение определенного времени и с весьма открытой рекламой в Сети), этот директор по безопасности “либо лжет, либо некомпетентен, либо и то, и другое разом” (цитируя строку из книги Deep Crack). Интересно то, что сейчас все рекламирующие данное оборудование фирмы устроили ограниченный доступ на свои сайты, по-видимому, для поддержания мифа о том, что “не существует аппаратуры, способной осуществлять такой перехват”». [2]

Всю вторую половину 1990-х годов в Интернете и СМИ не раз вспыхивали дискуссии как вокруг самой защиты системы мобильной связи GSM, так и вокруг многочисленных случаев ее компрометации.

К концу десятилетия почти всем уже, по сути дела, стало ясно, что GSM — это классический пример провала стратегии, именуемой на англоязычном Западе SbO, что в зависимости от чувства юмора расшифровывают либо как Security by Obscurity (безопасность через неясность), либо как Security by Ostrich (безопасность по-страусиному).

На протяжении примерно десяти лет постепенно обнажались типичные пороки и неудобства стратегии, согласно которой степень защиты системы в значительной степени увязывается с сохранением в тайне как особенностей конструкции, так и случаев ее компрометации. То, что система GSM от рождения несет в себе перечисленные порочные черты, является вполне естественным.

Просто потому, что рождалась GSM в соответствующих исторических условиях и от вполне определенных родителей.

Что такое защита GSM и как она создавалась

В принципе, по своему замыслу, цифровая система GSM вполне могла бы быть чрезвычайно защищенной. В основе ее лежит свод документов под названием «Меморандум о понимании стандарта GSM» или MoU Groupe Special Mobile standard. Этот Меморандум был подготовлен на излете Холодной войны по инициативе ведущих телекоммуникационных компаний Западной Европы.

Разрабатывал техническую документацию GSM Европейский институт стандартов по телекоммуникациям (ETSI), а в создании схемы безопасности, в целом призванной защитить новую систему от перехвата, прослушивания и мошенничества, активное участие приняли спецслужбы стран НАТО. [3]

Основу системы безопасности GSM составляют три секретных алгоритма (вплоть до конца 2003 официально так и не раскрытые, сообщаемые лишь тем, кому это требуется по необходимости — поставщикам оборудования, операторам связи и т.д.):

А3 — алгоритм аутентификации, защищающий телефон от клонирования;

А8 — алгоритм генерации криптоключа, по сути дела, однонаправленная функция, которая берет фрагмент выхода от A3 и превращает его в сеансовый ключ для A5;

A5 — собственно алгоритм шифрования оцифрованной речи для обеспечения конфиденциальности переговоров. В GSM используются две основные разновидности алгоритма: A5/1 — «сильная» версия шифра для избранных стран и A5/2 — ослабленная для всех остальных. (В 2000-е годы для следующего поколения мобильной связи, G3, создан совершенно новый криптоалгоритм, получивший название A5/3. Еще имеется вариант A5/0 — это когда режим шифрования вроде как включен, но в действительности его нет, поскольку вместо битов ключа используются одни нули.)

Мобильные станции (телефоны) снабжены смарт-картой (SIM), содержащей A3 и A8, а в самом телефоне имеется чип с алгоритмом A5. Базовые станции также снабжены чипом с A5 и «центром аутентификации», использующим алгоритмы A3-A8 для идентификации мобильного абонента и генерации сеансового ключа шифрования.

Вся эта архитектура при надлежащем исполнении и качественных алгоритмах призвана гарантировать надежную аутентификацию пользователя, обеспечивая защиту мобильных станций от клонирования и прочих методов мошенничества, а также качественное шифрование конфиденциальных переговоров.

Собственно говоря, именно это и декларируется компаниями, успешно занимающимися разворачиванием GSM по всему миру и уже охватившими услугами удобной связи многие сотни миллионов человек на планете.

Но реальность такова, что спецслужбы, занятые защитой правительственной связи, одновременно вовлечены и в деятельность противоположного рода: перехват и дешифрование коммуникаций в разведывательных целях. По этой причине, как свидетельствуют очевидцы, вокруг степени защиты GSM бушевали немалые страсти, поскольку спецслужбы стран НАТО имели довольно разные точки зрения на этот счет.

Германия настаивала на сильных алгоритмах, поскольку имела самую длинную границу с коммунистическим блоком, другие же страны склонялись к ослабленному варианту. В конце концов в качестве основы криптосхемы для A5 была избрана французская военная разработка. [4]

Первые утечки, первые тревоги

Как бы строго ни контролировались коммерческие секреты, понятно, что широкое распространение продукции рано или поздно приводит к утечкам информации. В GSM они стали появляться уже в начале 90-х годов. Так что к 1994 году основные детали алгоритма A5 уже были известны.

Во-первых, British Telecom передала всю техническую документацию Брэдфордскому университету, забыв заключить соглашение о неразглашении информации. Во-вторых, описание A5 появилось в материалах одной из конференций в Китае. Короче говоря, детали о конструкции алгоритма понемногу стали просачиваться в печать, и в конце концов кембриджские ученые М. Роу и Р. Андерсон опубликовали восстановленную по этим деталям примерную криптосхему в Интернете.

Представляет схема собой, вкратце, следующее. A5 реализует поточный шифр на основе трех линейных регистров сдвига с неравномерным движением. Такого рода схемы на языке специалистов именуются «криптографией военного уровня» и при верном выборе параметров способны обеспечивать очень высокую стойкость шифра.

Однако, в А5 длины регистров выбраны очень короткими — 19, 22 и 23 бита. Начальное заполнение этих регистров в сумме и дает 64-битный сеансовый ключ шифрования в GSM. Уже одни эти укороченные длины регистров дают теоретическую возможность для хорошо известной криптографам лобовой атаки, когда перебирают заполнение двух первых регистров, восстанавливая содержимое третьего регистра по выходной шифрующей последовательности.

Регистры сдвига в схеме A5 имеют не только короткую длину, но и слабые прореженные полиномы обратной связи. Это дает шансы на успех еще одной атаке — корреляционному анализу, позволяющему вскрывать ключ по просачивающейся в выход информации о заполнении регистров.

В июне 1994 года д-р Саймон Шеферд из Брэдфордского университета должен был представить на коллоквиуме IEE в Лондоне свой корреляционный способ вскрытия A5. Однако, в последний момент его выступление было запрещено ,британской спецслужбой GCHQ, или Штаб-квартирой правительственной связи. Доклад был сделан лишь на закрытой секции и опубликован в засекреченном сборнике. [5]

Прошла еще пара лет, и до анализа A5 дошли руки у сербского криптографа д-ра Йована Голича, наиболее, вероятно, авторитетного в академических кругах специалиста по поточным шифрам [6]. С чисто теоретических позиций он описал атаку, позволяющую легко вскрывать начальные заполнения регистров всего по 64 битам шифрпоследовательности.

(Справедливости ради надо, правда, отметить, что в реальности данная атака оказалась значительно более трудоемкой. Проведенный в стенах Microsoft эксперимент [7] действительно привел к вскрытию ключа, но понадобилось для этого около двух недель работы 32-узлового кластера машин PII-300. Практичной такую атаку никак не назовешь. Правда, и репутация у криптоэкспертов Microsoft, мягко говоря, не блестящая.)

о в той же работе Голича был описан и еще один метод, известный в криптоанализе под общим названием «балансировка время-память», позволяющий существенно сокращать время вскрытия за счет интенсивных предвычислений и хранения предварительных данных в памяти.

Так, к примеру, можно было сократить количество опробований вариантов ключа всего до смешных 222 (вскрытие просто «влет»), но для этого требовались 64 терабайта дисковой памяти (что, понятное дело, тоже трудно назвать приемлемыми цифрами для практичной атаки). Однако сама идея четко продемонстрировала метод постепенного выхода на реальное соотношение параметров.

А вскоре пошли и сигналы уже о действительном вскрытии защиты системы GSM.

Клонирование и перехват

В апреле 1998 г. группа компьютерных экспертов и криптографов из Калифорнии широко объявила и продемонстрировала, что ей удалось клонировать мобильный телефон стандарта GSM. Ранее всеми по умолчанию предполагалось, что цифровые сети GSM гораздо надежнее защищены от этой напасти, приносящей миллионные убытки сетям аналоговой сотовой телефонии. [8]

Возглавлял группу Марк Брисено (в Сети более известный как Лаки Грин), глава ассоциации SDA (Smartcard Developer Association), представляющей интересы разработчиков программного обеспечения для смарт-карт.

Избрав своей целью определение степени стойкости GSM к попыткам клонирования, исследователи занялись обратной инженерной разработкой модуля SIM — той самой смарт-карты, что вставляется в сотовый телефон, содержит алгоритмы A3-A8 и однозначно идентифицирует абонента.

В процессе подготовки к работам по вскрытию содержимого чипа, в руки к исследователям неисповедимыми путями попало описание «алгоритма COMP128» — наиболее широко распространенной практической реализации A3-A8 в SIM-модулях. Эта документация помогла быстрее и полностью восстановить всю необходимую информацию о схеме.

После этого Брисено пригласил для ее анализа двух молодых, но уже известных криптоаналитиков, аспирантов Калифорнийского университета в Беркли Дэвида Вагнера и Иэна Голдберга. Тем понадобилось всего несколько часов, чтобы отыскать в схеме фатальные слабости и разработать метод извлечения из смарт-карты секретного содержимого с помощью 219 опросов чипа (примерно 8 часов).

Представители консорциума GSM, как это принято, сразу же объявили полученные результаты «лабораторными» и не несущими реальной угрозы пользователям сотовой связи. По сути, угроза была представлена «нереальной» лишь на том основании, что в США обладание оборудованием для клонирования и публичная практическая демонстрация разработанной атаки являются противозаконными.

Но уже очень скоро стали появляться сообщения о демонстрации клонирования телефонов GSM в странах с иным законодательством, в частности, в Германии. [9]

Затем, вместе с освоением новых способов атак — через анализ побочных каналов утечки информации — появились и намного более эффективные методы клонирования. Так, в 2002 г. группа криптографов исследовательского центра IBM продемонстрировала, что взламывать алгоритм COMP128 и клонировать SIM-карту можно меньше чем за минуту. [10]

Об имеющихся на рынке средствах перехвата и мониторинга GSM (сама возможность чего до неприличия долго отрицалась официальными представителями MoU) наиболее красноречиво рассказывают реальные объявления в Интернете.

Чтобы не ходить далеко, достаточно процитировать текст веб-страницы одного из виртуальных магазинов, развернутых в России в конце 1990-х годов (вскоре, правда, сайт упрятали из общего доступа поглубже — по той же, в сущности, схеме, как это делают все солидные-официальные торговцы подобной аппаратурой):

Система профессионального тестирования и мониторинга GSM

Используя наше уникальное аппаратное и программное обеспечение, “Система …” будет отслеживать звонки в границах выделенной области, оставаясь подключенной к соединению. Она будет выводить на дисплей управляющие команды, идущие на телефон и от телефона, отслеживать речевой канал (голос) и резервный канал (где проходят: SIM – номер модуля идентификации абонента, IMSI – международный идентификатор абонента мобильной связи, TMSI – временный идентификатор абонента, SAK- ключ аутентификации абонента, PIN – номер персональной идентификации и другая информация).

Процесс декодирования и выполнения всех калькуляций занимает около 2,5 минут, так что длительность телефонного соединения, которое вы отслеживаете, должна быть по крайней мере такого же порядка, чтобы устройство мониторинга могло обработать и проверить всю информацию, включая соответствующие значения для программирования нового SIM [т.е. для клонирования GSM-телефона].

Программное и аппаратное обеспечение позволяют отслеживать конкретные номера телефонов. Можно создавать “файлы регистрации данных” (data log files) для последующего анализа, а аудиоинформацию можно записывать для контроля с помощью звукозаписывающего оборудования (в поставку не входит). В комплект поставки входит подробное Руководство и программное обеспечение для Windows или DOS. Данная система разработана для 900 Мгц GSM-сетей. Цена – 4500 долларов. Все заказы оплачиваются через Western Union или трансфером банк-банк.

Тотально ослабленная защита

В начале 1999 года в ассоциации SDA были полностью восстановлены и проверены на реальных тестовых векторах криптосхемы алгоритмов A5/1 и A5/2. Обратное восстановление A5/2 подтвердило уже имевшуюся информацию, что в этой схеме добавлен еще один короткий регистр длиной 17 бит, управляющий движением бит в остальных трех регистрах.

Вагнеру и Голдбергу очень быстро удалось продемонстрировать, что в этих условиях для вскрытия системы достаточно лобовым перебором (сложность 216) отыскать заполнение управляющего регистра. Делается это всего по двум фреймам сеанса связи длиной по 114 бит (в системе GSM первые два фрейма шифрпоследовательности известны, поскольку шифруются одни нули). Другими словами, вскрытие такого шифра осуществляется буквально «на лету», за 15 миллисекунд работы рядового персонального компьютера. [11]

Подводя своего рода итог проделанному в Smartcard Developer Association исследованию, Лаки Грин следующим образом выразился о соотношении декларируемой и истинной безопасности проанализированной системы:

«Мой опыт работы с GSM показывает, что разведывательные службы, стоящие. как известно, за всеми криптоалгоритмами GSM, используют в своей работе весьма специфический подход. Разведслужбы компрометируют любой и каждый компонент криптосистемы, какой только можно скомпрометировать. Разведслужбы, имея такую возможность, ослабляют компонент просто потому, что могут это сделать, а не потому, что им это нужно. Это как бы извращенное воплощение в целом правильного принципа многократной избыточности». [12]

Это весьма сильное, прямо скажем, заявление Лаки Грин затем подтверждает на конкретных примерах выявленных в GSM слабостей, серьезным образом компрометирующих систему.

Скомпрометирована эффективная длина сеансового ключа. В 64-битном ключе, который A8 генерирует для A5, последние 10 бит принудительно обнулены. Это совершенно умышленное ослабление системы примерно в 1000 раз.

Скомпрометирована система аутентификации и алгоритм генерации секретного ключа. Известно, что о слабостях в COMP128, обнаруженных SDA в 1998 году, участники GSM MoU были официально уведомлены еще в 1989 году. То есть задолго до широкого распространения GSM. Имеющаяся в MoU «группа экспертов по алгоритмам безопасности» (SAGE), состоящая из никому неведомых людей, сохранила в тайне это открытие и не стала информировать о нем даже собственно членов MoU. В результате чего разведслужбы имеют возможность клонировать телефоны и вычислять секретные ключи абонентов непосредственно в ходе сеанса связи.

Скомпрометирован сильный алгоритм шифрования A5/1. В этом шифре с 64-битным ключом имеются многочисленные конструктивные дефекты, приводящие к стойкости, не превышающей стойкость шифра с 40-битным ключом (другими словами, стойкость понижена на 6 порядков или в миллион раз). Непостижимо, каким образом столь очевидный дефект мог быть упущен французскими военными разработчиками.

Скомпрометирован более слабый алгоритм шифрования A5/2. Хотя в MoU признают, что вскрываемость шифра и была целью разработки A5/2, тем не менее в официальных результатах анализа SAGE сказано, что им неизвестно ни о каких криптографических дефектах в A5/2.

Чтобы обеспечить перехват и дешифрование GSM-трафика, отмечает Лаки Грин, было бы достаточно скомпрометировать эффективную длину ключа. Было бы достаточно скомпрометировать алгоритм генерации ключа. Было бы достаточно скомпрометировать алгоритм шифрования. Но спецслужбы сделали все три эти вещи. Такое можно назвать лишь «хорошо продуманной гарантированно избыточной компрометацией».

И, наконец, еще один очень существенный нюанс. Все шифрование разговоров в системе GSM осуществляется только на канале между мобильным телефоном и базовой станцией, то есть в «эфирной» части передачи. При наличии санкции суда на прослушивание звонков правоохранительные органы всегда имеют возможность подключиться непосредственно к базовым станциям, где уже нет никакого шифрования.

Так что единственной причиной для тотального ослабления криптозащиты оказывается «нелегальный» доступ без каких бы то ни было ордеров и санкций.

Вскрытие A5/1

Вскоре, в декабре 1999, под натиском университетских криптографов пал, можно считать, и самый сильный элемент в защите GSM — алгоритм шифрования A5/1. Израильские математики Ади Шамир и Алекс Бирюков (чуть позже к ним присоединился американец Дэвид Вагнер) опубликовали работу, в которой описан созданный ими весьма нетривиальный, но по теоретическим расчетам весьма эффективный метод вскрытия A5/1.

Ади Шамира вполне заслуженно называют «патриархом израильской академической криптографии». Еще в 1977 году, работая в США совместно с Рональдом Райвестом и Леонардом Адлеманом, Шамир участвовал в создании знаменитой криптосхемы с открытым ключом RSA (здесь «S» — это Shamir).

В 80-е годы им разработано несколько криптографических протоколов и криптосхем. На рубеже 1980-1990-х, работая совместно с Эли Бихамом, Шамир создал метод дифференциального криптоанализа, в открытом академическом сообществе ставший основой практически всех современных методов исследования и вскрытия блочных шифров (подобные работы спецслужб ведутся в строжайшем секрете).

Совместный же с Бирюковым криптоанализ A5/1 стал, похоже, первым обращением Шамира к исследованию поточных шифров на основе регистров сдвига — класса схем, более характерных для военной, а не коммерческой криптографии.

Характеризуя изобретенный метод вскрытия А5, Шамир выразился так: «Это весьма сложная идея, реализуя которую мы наступаем на многих фронтах, чтобы накопить несколько небольших преимуществ, но сложенные все вместе они дают большой выигрыш».

Если чуть более подробно, то новый метод атаки использует тонкие слабости в структуре регистров сдвига, необратимый механизм их движения, а также частые перезагрузки регистров, применяемые в GSM. Развивая потенциал балансировки «время-память», ученые создали два родственных вида атак, реализуемых на персональном компьютере с увеличенным объемом внешней памяти.

Для успеха первой атаки требуется выходная последовательность алгоритма A5/1 в течение первых двух минут разговора — тогда ключ вычисляется всего за секунду (но в реальных условиях получить для анализа эти две минуты крайне проблематично). Вторая атака требует выход A5/1 всего за две секунды, но на вычисление ключа тогда затрачивается несколько больше времени — несколько минут.

Все расчеты были подтверждены реальными вычислительными экспериментами. Попутно следует отметить, что факт реальной длины ключа не 64, а лишь 54 бита криптографами не использовался.

Теперь будем делать по-другому?

К началу 2000-х годов уже почти все эксперты в области защиты информации (спецслужбы, как обычно, воздерживаются от комментариев) сошлись во мнении, что разработка мер безопасности для широко используемых систем в тайне от общественности — это в корне порочный путь. Единственный способ гарантировать надежную безопасность — это честно дать возможность проанализировать систему защиты всему сообществу специалистов.

Поначалу создалось впечатление, что данную истину (хотя бы отчасти) признали и в консорциуме GSM. Процитированный в самом начале Джеймс Моран, ведающий безопасностью GSM, прокомментировал вскрытие всех криптоалгоритмов системы так: «Когда эти шифры разрабатывались в 1989 году, широкая публикация алгоритмов не была распространенным подходом. Однако, создаваемые ныне алгоритмы будут опубликованы для предварительного их изучения». [13]

Летом 2002 года, когда появилось широко анонсированное известие о введении в систему GSM нового криптоалгоритма A5/3, могло показаться, что обещания открытого процесса обсуждения действительно выполняются. [14]

Про этот реально качественный алгоритм сообществу криптографов академии и индустрии было известно практически все — ведь фактически, это был алгоритм Kasumi, созданный рабочей группой 3GPP (3rd Generation Partnership Project) для сетей мобильной связи следующего, третьего поколения. А шифр Kasumi, в свою очередь, построен на основе сильного, еще в 1990-е годы всесторонне исследованного криптоалгоритма MISTY известного японского криптографа Мицуро Мацуи…

Но на этом вся открытость, похоже, и закончилась. Более продвинутая версия системы GSM, именуемая GPRS и обеспечивающая постоянное подключение мобильного телефона к Интернету, имеет в своем арсенале новое семейство криптоалгоритмов под общим названием GEA.

Про конструкцию этих шифров, по сути дела, известно лишь то, что они не имеют никакого отношения к алгоритмам A5/1 и A5/2. Да еще изменен порядок классификации: GEA0 — никакого шифрования (одни нули), GEA1 — экспортный (ослабленный) вариант, GEA2 — обычная стойкость, GEA3 — фактически, тот же вариант, что A5/3. Про стойкость GEA1 и GEA2 неизвестно ничего, поскольку по состоянию на конец 2003 года никто их в открытом сообществе криптографов не видел. [15]

Тот же принцип сокрытия информации консорциум GSM сохранил и в отношении новых версий алгоритма COMP128 (практической реализации A3-A8 в SIM-модулях). Известно лишь то, что имеются две версии секретного алгоритма под названиями COMP128-2 и COMP128-3, призванные решить проблемы, выявленные в первой, вскрытой версии. В частности, COMP128-3 уже не делает принудительное обнуление 10 битов в сеансовом ключе. [16]

Ну а в целом, как можно видеть, ситуация с «безопасностью по-страусиному» практически не изменилась.

Тяжелое наследие

В период с 2000 по середину 2003 года сколь-нибудь серьезных происшествий в области дальнейшей компрометации GSM более не происходило. Точнее, кое-что, конечно, случалось — вспомним, например, «моментальное» клонирование SIM-карты в IBM — но в прессу и широкое публичное обсуждение эти новости уже не просачивались, оставаясь в материалах и кулуарах научных конференций.

Однако к лету 2003 года группа израильских криптографов из института Technion — Элад Баркан, Эли Бихам и Натан Келлер — отыскала серьезнейшую, неведомую прежде слабость в системе защиты GSM. В подготовленной авторами работе [17], «Мгновенное вскрытие защищенных коммуникаций GSM только по шифртексту», было показано, что эту брешь можно весьма эффективно эксплуатировать для проведения реальных атак самого разного рода — от прослушивания открытых и шифрованных разговоров до подделки SMS (коротких текстовых сообщений) или динамического клонирования телефонов, т.е. звонков якобы с номера жертвы.

В соответствии с традицией, публичное представление этой работы научному сообществу было сделано на одном из форумов — в рамках августовской международной конференции CRYPTO 2003 в Санта-Барбаре. Профессионалы-криптографы прореагировали на доклад с огромным интересом (по словам ветерана Бихама, «были удивление, шок, потом поздравления» в связи с получением неожиданного результата).

А в прессе при этом — абсолютно ничего, ни единого упоминания о столь значительной работе. На подобных примерах наиболее отчетливо видно, сколь эффективно и мощно власти способны контролировать «свободную» прессу, если хотят удержать какую-либо информацию в сокрытии. Но тот же пример одновременно наглядно демонстрирует, что «всех обманывать можно лишь какое-то время».

Спустя примерно две недели известие все же прошло в местной израильской прессе, оттуда попало в Интернет, после чего его донесли миру агентство Reuters и все остальные СМИ. В самом кратком изложении суть результатов Баркана, Бихама и Келлера сводится к следующему.

1. Алгоритм A5/2 очень легко вскрывается еще до начала собственно телефонных разговоров — на этапе звонка вызова. Причем делается это основе лишь пассивного прослушивания линии. Это возможно по той причине, что в GSM код исправления ошибок применяется к сигналу до зашифрования. Но этот код, защищающий сигнал от возможных ошибок и искажений, вносит в сигнал очень большую избыточность, благодаря чему нужные для вскрытия ключа данные становятся известны подслушивающей стороне уже на стадии вызова.

2. Все другие шифрованные звонки по GSM (включая применение более сильных алгоритмов A5/1 или A5/3) можно вскрывать, применяя активную атаку. Здесь используется дефект в протоколе: процесс генерации сеансового ключа не зависит от того, какой выбран алгоритм засекречивания, сильный или слабый. Поэтому становится возможным сначала организовать атаку с вынуждением жертвы применить слабый шифр A5/2, узнать благодаря этому внутренний секретный ключ телефона, а впоследствии этот же самый ключ будет применяться в шифрованных звонках с сильным криптоалгоритмом A5/1 или A5/3. Злоумышленник может записать эти разговоры, а затем их расшифровать, используя вскрытый через A5/2 ключ.

Израильские криптографы, надо подчеркнуть, прекрасно понимая всю серьезность полученных ими результатов, задолго до публикации известили консорциум GSM о выявленной слабости. Но деланно равнодушная и демонстративно незаинтересованная реакция со стороны «Ассоциации GSM», судя по всему, оказалась для Бихама и его коллег полной неожиданностью.

В официальном заявлении консорциума очень сдержанно признали, что новый метод взлома действительно «идет дальше предыдущих академических статей, однако не содержит в себе ничего нового или удивительного для сообщества GSM; Ассоциация GSM полагает, что практические следствия данной статьи ограничены, а недавний апгрейд криптоалгоритма A5/2, доступный с июля 2002 года, направлен на то, чтобы закрыть брешь в безопасности, выявленную израильскими учеными». [18]

Сами израильские ученые, в частности Бихам, надо сказать, категорически не согласны с выводами Ассоциации. Слова же про то, что апгрейд A5/2 закроет выявленную брешь, вообще расцениваются как ввод общественности в заблуждение (поскольку при апгрейде старый алгоритм тоже приходится оставлять в телефоне в целях обеспечения совместимости, а значит он продолжает играть роль «черного хода»).

Но почему же новость об этом взломе все-таки прорвалась в центральные средства массовой информации после двух недель дружного и полного замалчивания? Этого, естественно, не объяснил никто, но кое-какие разумные соображения на данный счет все же выдвинуты.

С подачи агентства Reuters, первым запустившим шар, практически всякое новостное сообщение об исследовательской работе израильтян заканчивалось примерно такими словами: «И Эли Бихам, и Ассоциация GSM говорят, что выявленная проблема никак не касается мобильных телефонов третьего поколения, поскольку в системе 3G разработчики радикально сменили алгоритм шифрования и протоколы безопасности».

Следовательно — появился замечательный стимул к переходу на новую, более продвинутую (и дорогую) систему. Денег-то уже вбуханы миллиарды, а публика окупать их что-то совсем не торопится.

Бизнес, конечно, дело хорошее. Да и новые технологии — вещь замечательная. Вот если б при этом еще и врали народу поменьше…

The End

= ССЫЛКИ =

[1] “Cell Phone Crypto Penetrated,” by Declan McCullagh, Wired News, 6 Dec 1999, http://www.wired.com/news/politics/0,1283,32900,00.html

[2] “Re: Forthcoming Biryukov/Shamir result against A5/1 GSM privacy algorithm”, Peter Gutmann, posting to cryptography@c2.net mailing list, 7 Dec 1999, http://www.mail-archive.com/cryptography@c2.net/msg02546.html

[3] “Mobile ComSec in Europe (A5),” by Klaus Brunnstein, RISKS DIGEST, Volume 14: Issue 60, 12 May 1993, http://catless.ncl.ac.uk/Risks/14.60.html#subj6.1

[4] “Subject: A5″, Ross Anderson, posting to Newsgroups: sci.crypt,alt.security; 17 Jun, 1994, http://www.ecn.org/crypto/etere/ander.htm

[5] “Cryptanalysis of the GSM A5 Cipher Algorithm”, by Simon J. Shepherd, IEE Colloquium on Security and Cryptography Applications to Radio Systems, Digest No. 1994/141, Savoy Place, London, 3 June 1994

[6] “Cryptanalysis of Alleged A5 Stream Cipher,” by Jovan Golic, in Proceedings of EUROCRYPT’97, LNCS 1233, Springer-Verlag 1997

[7] “Re: Status of GSM Crypto Attacks”, Paul Leyland, posting to ukcrypto@maillist.ox.ac.uk mailing list, 21 Oct 1998

[8] Press release of Smartcard Developer Association, 13 Apr 1998, http://www.scard.org/gsm/

[9] “CCC klont D2 Kundenkarte (GSM Cloning: technischer Hintergrund)”, Computer Chaos Club

[10] “Partitioning Attacks: Or How to Rapidly Clone Some GSM Cards,” by Josyula R. Rao, Pankaj Rohatgi, Helmut Scherzer, Stephane Tinguely, 2002 IEEE Symposium on Security and Privacy, May 12 – 15, 2002 Berkeley

[11] “The Real-Time Cryptanalysis of A5/2,” by David Wagner et al., Rump Session of Crypto ’99, Santa Barbara, August 15-19, 1999

[12] “More NSAKEY musings,” by Lucky Green, Crypto-Gram, September 15, 1999, http://www.schneier.com/crypto-gram-9909.html

[13] “Cell Phone Crypto Penetrated,” by Declan McCullagh, Wired News, 6 Dec 1999, http://www.wired.com/news/politics/0,1283,32900,00.html

[14] “GSM calls even more secure thanks to new A5/3 Algorithm,” ETSI News Release, 3 July 2002

[15] Subject: “A precis of the new attacks against GSM encryption,” by Greg Rose, posting to cryptography@c2.net mailing list, 11 Sep 2003

[16] GSM Security FAQ, http://gsmsecurity.com/faq.shtml

[17] “Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communications”, by Elad Barkan, Eli Biham, Nathan Keller, Advances in Cryptology: CRYPTO 2003

[18] “GSM Association downplays mobile security concerns,” by John Walko, EETimes Germany, September 3, 2003
http://kiwiarxiv.wordpress.com/2013/06/23/04/

Хазин: о некоторых аспектах глобальных проектов

Заметка полностью. Форматирование моё.

Напомню, что в соответствии с теорией глобальных проектов, принципиальный момент произошел в XVI веке в Европе - в которой была поставлена под сомнение существующая на тот момент более 1000 лет Библейская система ценностей (в рамках Христианских, Исламского и Иудейского глобальных проектов). Однозначной версии причины этого события пока не существует, могу только предложить версию.

Итак, к началу XVI века в Европе усилился локальное похолодание (т.н. «малый ледниковый период»). Именно в это время стали замерзать каналы в Голландии, замерзала Венецианская лагуна. А на севере Европы всерьез встал вопрос о жизни или смерти населения - количество выращиваемого зерна стало меньше, чем необходимо для выживания населения. Иными словами, перед ним встали два принципиальных вопроса: что съесть «здесь и сейчас», и что сделать, чтобы найти еду в будущем.

Понятно, что решение первого вопроса требовало денег (то есть - золота) - поскольку на месте нужного количества еды просто больше не произрастало. А золота было мало, собственно, единственным более или менее сконцентрированным их источником были католические монастыри, которые не только многие сотни лет исправно получали «десятину», но и, в отличие от феодалов, ее не тратили. Другое дело, что было не очень понятно, как это золото у монастырей отнять и потратить на богоугодное дело (закупку продовольствия). Как показывает опыт, церковь всегда предпочитает, скорее, молиться, чем делиться накопленными богатствами.

И вот, 31 октября 1517 года Мартин Лютер прибивает к двери Замковой церкви в Виттенберге свои «тезисы» - и начинается Реформация. Первоначально, суть ее состояла в том, что не ставилась под сомнение вера в Бога, но выдвигались претензии к католической церкви - что и дало формальную возможность «раскулачить» монастыри. Что и было сделано - по всему северу Европы, там, где протестантизм побеждал. И, если верить высказанной выше гипотезе, именно там, где изменения климата сделали прежнюю жизнь невозможной.

Первая из упомянутых проблем была решена - деньги были найдены. Однако никуда не делась вторая - нужно было найти источник, для получения еды в будущем. И вот здесь произошел принципиальный момент, который Лютером явно не учитывался - в рамках протестантизма был легализован ссудный процент, ранее Библейской системой ценностей запрещенный.

Ниже есть продолжение.

Отметим, что то, что какое-то явление запрещено в рамках Библейской системы ценностей, еще не значит, что оно не существует. В конце концов, прелюбодеяние или, скажем, гомосексуализм тоже запрещены - вместе с тем, эти явления вполне себе существует всю историю человечества. Отношение между верующими (а в то время верующими были практически все) и заповедями более сложные, чем черно-белая система "можно - нельзя". Однако, даже в Средние века у публичных ростовщиков были серьезные проблемы с общественным статусом и уж точно эта профессия никак не могла считаться уважаемой.

Отмена запрета на ссудный процент позволила принципиально перестроить хозяйственный механизм. Цеховая система производства, жестко ориентированная на сохранение стабильных социальных механизмов, сменилась на систему современную, которую мы называем научно-техническим прогрессом. При этом использование ссудного процента требовало постоянного расширения этой системы, что делало новую экономическую модель жестко агрессивной, старая, феодальная, соприкоснувшись с ней, быстро разрушалась.

Классические примеры такого разрушения - голодоморы в Индии, которые регулярно устраивали британские колониальные власти. Как писали современники, после начала завоза изготовляемых станками на фабриках тканей, все обочины индийских дорог были усеяны костями индийских ткачей и членов их семей - они просто не могли конкурировать с автоматизированным производством. Аналогичные процессы начались в Европе в XVI веке, однако они позволили добиться главного - на севере Европы возникла экономическая модель, которая позволила генерить все возрастающий объем добавленной стоимости, которую можно было обменивать на юге - на еду.

Беда в том, что система Библейских заповедей едина и из нее нельзя выкидывать те или иные пункты по своему усмотрению. Для человека верующего это очевидно без дополнительных объяснений, атеисту можно отметить, в частности, что сама Библейская система возникла как инструмент сохранения социальной стабильности и отказ от нее, даже частичный - это принципиальный отказ даже от потенциальной возможности построения устойчивого общества. Индийские ткачи тому пример.

И вот, к середине XVIII стало понятно, что то, что получается из Библейской системы после разрешения ссудного процента (то есть Капиталистический глобальный проект) не в состоянии обеспечить нормальное и стабильное развитие общества. Хотя само по себе развитие обеспечивает. Что-то нужно было менять. Теоретически, можно было бы вернуться к прежним вариантам - но тогда нужно было отказываться от научно-технического прогресса. В некотором смысле по этому пути пошел Исламский глобальный проект - и серьезно проиграл, к XX веку он уже не мог обеспечить построение современного технологического общества.

В общем, главным достижением «ценностной революции» XVI века стало ощущение необходимости прогресса как одной из главных ценностей человечества. Отметим, что с точки зрения религиозной, этот вовсе не обязательно - но сам факт уже имеет место. И по этой причине выход из кризиса в XVIII веке искали не абы какой, а непременно прогрессистский - то есть обеспечивающий сохранение прогресса как главного условия существования человечества на Земле.

И придумали два варианта. Первый - простой. Если людям не нравится социальная нестабильность, то это связано не с тем, что плоха капиталистическая система, а с тем, что неправильна сама модель «хорошо - плохо», построенная на остатках Библейской системы ценностей. Так ликвидируем ее окончательно! Так мы получаем современный «Западный» глобальный проект - построенный на примате «свободы», понимаемой как право любого индивида самому себе выбирать систему ценностей. И «политкорректность» (или «толерантность») - как запрет общества эту систему ценностей анализировать и критиковать. Что получилось - мы можем сегодня воочию наблюдать.

Второй - посложнее. Суть его в том, что поскольку прогресс останавливать нельзя, то нельзя и отменять ссудный процент. Но он разрушает базовую систему ценностей. Ну так оставим его, но зато ликвидируем его главное негативное следствие - частное присвоение ростовщической прибыли! И возникает проект «Красный», суть которого - в запрете на частное присвоение доходов от ссудного процента, в том числе - запретом на частную собственность на средства производства!

Отметим, что противоречие между «Красным» и «Западным» проектами принципиальное - один направлен на максимизацию прибыли, другой - ее запрещает. Мы, уже в ХХ веке, много наблюдали их борьбу. Но главное сейчас вот в чем. «Красный» проект потерпел поражение, сегодня у нас на глазах умирает проект «Западный», поскольку экономическая система больше не может обеспечить постоянный научно-технически прогресс. Нас неминуемо ждет появление новых глобальных проектов, быть может - реинкарнации старых. Более того, остановка НТП, теоретически, позволяет актуализироваться старым религиозным проектам, поскольку сегодня на первое место выходят как раз социальные вопросы. Но возникает вопрос.

Готовы ли мы (пусть и на время) отказаться от идеи прогресса? Если нет, то никакого другого варианта, кроме «Красного» проекта сегодня не видно. Если да - то вариантов достаточно много, есть Исламский проект, Католический, Православный, да и другие варианты найдутся. Собственно, активность будут проявлять все. Ну, или почти все. Но главным фактором, который и решит в каком принципиальном направлении пойдет человечество - это вопрос о том, нужен ли нам прогресс как самодостаточная идея.

У меня нет очевидного ответа на этот вопрос. Пока ясно только одно - если мы выбираем проекты религиозные, то можем получить социальную стабильность, но в рамках глубокого застоя (по сравнению с предыдущими веками). Если «Красный» - то движение может быть достаточно быстрым (например, в рамках уже не научно-технического, а социального прогресса), но готовы ли мы будем к этому после такой встряски, какая нас ожидает в ближайшие годы? Ответа пока нет.
http://worldcrisis.ru/crisis/1161514