Phá GPRS Bài toán khá đơn giản

12:34 | 24/05/2012 | HACKER / MALWARE
Karten Noll là nhà phân tích và chuyên gia trong lĩnh vực bảo vệ thông tin, làm việc tại công ty Security Reseach Labs - Cộng hòa Liên bang Đức. Thời gian gần đây ông tập trung nghiên cứu vấn đề an toàn liên lạc di động và đã phá thành công hệ thống bảo vệ chuẩn GSM. Tháng 11/2011, phóng viên tạp chí Forbes (Mỹ) đã có cuộc phỏng vấn ông về vấn đề này, Tạp chí An toàn thông tin giới thiệu nội dung chính của bài phỏng vấn. 

PV: Tuần vừa qua ông đã biểu diễn khả năng phá GPRS, chặn bắt dữ liệu và giải mã chúng thành công. Xin ông cho biết chi tiết hơn.

Karten Noll: Nhiều chuyên gia trước đây đã cho rằng có khiếm khuyết trong hệ thống bảo vệ GPRS. Thực chất đây là một trong những hệ thống được thiết kế bởi các công ty viễn thông lớn, các cơ quan nhà nước và được giữ bí mật với mục tiêu bảo vệ khách hàng và công dân của mình, nhưng thường thì trên thực tế họ không thu được kết quả như mong muốn. Trước mắt chúng tôi là sản phẩm của nhóm chuyên gia SAGE, nhóm này thiết kế và chế tạo hệ thống bảo vệ mật mã theo chuẩn DECT và GSM cho các thiết bị thông tin của lực lượng cảnh sát,.... Tất cả thiết bị này đều được nhóm SAGE nghiên cứu và đều bị phá. Tin tức về GPRS bây giờ mới được biết đến không phải vì chúng được bảo vệ tốt hơn, vì chúng đã được nghiên cứu, khảo sát từ lâu nhưng chưa công bố.
Nhóm SAGE được các cơ quan nhà nước của Đức, Pháp và Anh thành lập nhằm lên kế hoạch phát triển các hệ thống liên lạc di động. Theo tôi hiểu thì họ đã thiết kế dưới sự giám sát trực tiếp của các tổ chức nhà nước, kết quả các nghiên cứu và thiết kế đó không bao giờ được công bố công khai. Người ta đã bí mật chế tạo các sản phẩm này để phục vụ cho khai thác ở chế độ bí mật. Thế nhưng niềm hy vọng về sự bí mật vĩnh viễn đã không có căn cứ vì các nhà phân tích từ lâu đã tiến hành nghiên cứu các vấn đề phá các chuẩn đó.
 Theo quan điểm của ông, tại sao trên thực tế tất cả các hệ thống bảo vệ bằng mật mã được họ chế tạo lại dễ phá?
Trường hợp này khá khó hiểu: số liệu chúng tôi có được chứng tỏ họ không có ý định chế tạo bộ mật mã hoàn thiện, có khả năng đảm bảo một sự bảo vệ tin cậy. Chẳng hạn, họ đã thiết kế hai chuẩn mật mã cho GSM, chuẩn thứ nhất là A5 - 1 dành cho các nước Tây Âu, chuẩn thứ hai là A5 - 2 dành cho các quốc gia còn lại. Chuẩn thứ hai được thiết kế yếu một cách cố ý. Sự khác nhau nằm ở yếu tố mật mã. Hàm mật mã cho GSM được đưa ra hai phương án, một phương án được bảo vệ tốt hơn và phương án thứ hai yếu hơn. Hàm này được gọi là irregular clock. Người ta đã phát minh ra nó vào cùng thời gian khi chế tạo A5 - 1 và đã loại bỏ nó ra khỏi A5 - 2 một cách cố ý.
GSM đã trở thành chuẩn không chỉ cho Tây Âu mà còn cho một phần đáng kể của thế giới còn lại. Tôi không biết người ta có dự định dùng nó trong khoảng 20 năm nữa không, tuy nhiên kết quả cho thấy đây là chuẩn viễn thông thành công nhất, cho dù quá trình thiết kế nó còn được giữ bí mật. Những cố gắng của các nhà thiết kế, bên cạnh các mục tiêu khác, là sao cho thuật toán mật mã tốt và tin cậy không rơi vào tay các nước khác.
Thế còn iregular clock làm việc như thế nào?
Hãy hình dung một tập khóa mật mã dưới dạng một tam giác lật ngược được điền từ dưới lên trên và có độ cao được xác định bởi độ dài khóa. Tùy thuộc vào hàm mật mã nào được sử dụng, tam giác sẽ được lấp đến vị trí có đánh dấu. Nếu hàm mật mã tối ưu thì tam giác sẽ được lấp đầy. Trước khi mã hóa, hàm sẽ chuyển đa thức được sử dụng trong quá trình mã hóa đi qua một dãy phép lặp và cùng với mỗi vòng, độ dài của đa thức lại tăng lên theo một trật tự ngẫu nhiên. Nếu không sử dụng irregular clock thì độ dài đa thức không thay đổi, số lượng cực đại của chúng giảm xuống và cái tam giác mà chúng ta hình dung sẽ không bao giờ được lấp đầy cho đến cùng.
Nói đơn giản, trong khi mã hóa tất cả có thể coi như một hệ phương trình. Mỗi bit đầu ra là một hàm của các bit đầu vào. Khi sử dụng irregular clock, các phương trình này trở nên rất dài. Nếu hệ thống mã hóa tốt, thậm chí chúng ta chẳng thể ghi lại các phương trình đó do không có đủ thời gian. Nhưng trong A5 - 2 vì không có các phần tử được chọn ngẫu nhiên nên việc thực hiện điều đó rất đơn giản. Chúng tôi đã ghi các phương trình và giải hệ mật, mặc dù về lý thuyết chúng tôi không thể làm điều đó hay bất cứ điều gì hơn thế.

Nhưng chính ông đã phá được A5-1, có phải không?
Đúng thế. Cả hai chuẩn đều dễ dàng bị phá, phá A5 - 2 là bài toán rất đơn giản. Vậy tất cả những cái đó có quan hệ như thế nào với GPRS? Chúng ta biết rằng nhóm SAGE đã biến một chuẩn trở nên tin cậy còn chuẩn thứ hai yếu hơn và vào năm 1979, nhóm này đã chế tạo ra GPRS. Chắc chắn những người tham gia nhóm SAGE đã đảm bảo chuẩn mới bằng chính irregular clock đã được họ tích hợp vào A5 - 1. Mọi người đều suy nghĩ như vậy, nhưng thực tế lại khác.
Thật khó tin là những người thiết kế lại bỏ đi chức năng mà họ biết rất rõ là rất cần để đảm bảo an toàn cho chuẩn, hơn nữa lần trước họ đã áp dụng chính công nghệ irregular clock đó để tạo ra sự bảo vệ mật mã tin cậy hơn.


Thế ông có cảm giác là điều đó cố tình được tạo ra để tạo điều kiện cho việc lấy thông tin?
Tôi không muốn áp đặt một ý nghĩ nào lên điều này. Tất nhiên anh có thể đi đến một kết luận như vậy, xác suất xảy ra điều này là có thể, nhưng để nói chính xác thì không một ai có thể khẳng định trừ những nhà thiết kế ra nó.
Tại sao một thời gian dài đã trôi qua trước khi xã hội biết về điều đó?
Hàm mật mã thì vẫn còn đó, chúng tôi không công bố ra vì tính bí mật. Tôi cho rằng     
iều này đã ngăn cản nhiều người tiến hành các phân tích tương ứng. Trong đó, khiếm khuyết của A5 đã được thông báo từ năm 1994, kết quả nghiên cứu khảo sát đã được gửi cho chuyên gia Rose Anderson ở Cambrigde và sau đó được công bố trên internet. Trong hồ sơ của GPRS tạm thời chưa hề có văn bản này.
Ông nói rằng, chặn bắt và giải mã dữ liệu được truyền qua GPRS khá dễ dàng, ý ông muốn nói về điều gì? Cần bao nhiêu thời gian để phá?
Bài toán này đơn giản nhất là ở những nước mà liên lạc bằng GPRS nói chung không được mã hóa. Cần nhấn mạnh là những trường hợp như thế rất nhiều. Với GSM thì bức tranh có khác, việc từ chối dùng mật mã cơ bản là ở một số nước có chính sách hạn chế dùng mật mã để bảo vệ thông tin. Nhưng nếu nói về GPRS thì tại châu Âu cũng có những nước không sử dụng mật mã, như thế họ dễ theo dõi lấy cắp thông tin hơn. Tại những nước này, chẳng hạn như Italia, việc phá GPRS là rất dễ. Tôi không kể tên những nước khác, nhưng những người quan tâm sẽ không khó khăn tự mình xác định tình trạng sử dụng mật mã tại các quốc gia đó.
Thế tại những quốc gia sử dụng mật mã thì cần bao nhiêu thời gian để để vượt qua bảo vệ?
Máy tính bình thường với chip bốn nhân vi xử lý thì mất khoảng 11 phút cho một lần phá. Một lượng thời gian tương đối nhỏ, chấp nhận được mặc dù có thể không quá nhỏ để tạo nên một mối đe dọa quy mô lớn, hơn nữa chúng tôi không tiết lộ hết mọi chi tiết cho phép làm tổn hại đến việc bảo vệ. Nhiệm vụ của chúng tôi chỉ là cảnh báo mọi người về điểm yếu của các chuẩn liên lạc di động.
Ông có suy nghĩ gì khi ông lại có thể phá các chuẩn đó hết lần này đến lần khác?
Không chỉ tôi. Tham gia vào công việc này có kỹ thuật tính toán và nhiều người khác, các nhà phân tích mã, các chuyên gia liên lạc vô tuyến. Thực ra, tôi chỉ thực hiện chức năng của thư ký báo chí.
Ông có thể nói gì về chuẩn cạnh tranh CDMA, chuẩn này đang được một số tổ chức vận hành sử dụng ví dụ Verizon và Sprint?
Chúng tôi chưa bao giờ nghiên cứu CDMA. Chuẩn này là thiết kế riêng của công ty Qualcomm, công ty này hoạt động chủ yếu trên lãnh thổ Mỹ và theo chúng tôi được biết, tại Mỹ không có nhiều nhà nghiên cứu và mã thám quan tâm đến mật mã di động, vậy nên tạm thời ở đây CDMA chưa phải chịu sự khảo sát nghiêm túc.
Tôi chỉ có thể nói rằng, CDMA đã trải qua nhiều giai đoạn phát triển hơn GSM. GSM không thay đổi trong suốt nhiều thập kỷ trong khi CDMA đã phải thay đổi nhiều lần về cấu trúc. Hơn mười năm trước là một mạng khác, còn GSM cho đến hôm nay vẫn vậy.
Như vậy người dùng đã biết rằng thực tế mỗi chuẩn bảo vệ mật mã GSM không an toàn. Họ phải làm gì?
Nhớ điều đó và cố gắng không chuyển các dữ liệu mật trực tiếp qua mạng di động.
Có thể nên bổ sung các mức bảo vệ mật mã khác, ngoài mức đã được nhà cung cấp đảm bảo?
Đối với điện thoại di động thì đang có một phần mềm như thế, nhưng nó không thuận lợi. Không thể chỉ đơn giản là chặn liên lạc lại và mã hóa, bởi cả hai người tham gia liên lạc cần sử dụng cùng một hệ mật. Một số công ty lớn có thể cho phép mình (và những cộng tác của họ) dùng điện thoại có bảo vệ bằng mật mã, nhưng giá thành của những thiết bị như thế có thể đến vài nghìn đô la. Có thể kể thêm Chaos Computer Club, tại đây, người ta sử dụng điện thoại có mật mã -  thiết bị không chỉ đảm bảo mã hóa mà còn đưa ra một danh mục các ứng dụng bên trong để người dùng có thể tin là trong hệ điều hành không có gián điệp hoặc con ngựa thành Trojan.
Ông có thể nói về các chương trình mật mã cho Android kiểu những sản phẩm như Whisper Systems đưa ra?

Đây là một sự lựa chọn chi phí thấp. Thuần túy nó là một phần mềm, nhưng đối với nhu cầu của phần lớn người dùng thì khả năng của nó là đủ đáp ứng. Những ứng dụng này đảm bảo mức mật mã bổ sung và chúng ta với tư cách người dùng đơn lẻ thì không cần nhiều hơn

Tin cùng chuyên mục

Tin mới